[ImoLUG] Client PPTP dietro ad un Cisco877-k9

Fabrizio Canonici f.canonici@gmail.com
Lun 6 Dic 2010 22:03:30 CET 

Ciao Riccardo,
ti ho chiesto la cfg proprio per capire come era configurato il CBAC, la
funzionalità firewall degli IOS Cisco fa si che gli inspect a volte causino
dei problemi, tipicamente sui firewall pix/asa è necessario abilitare
l'inspection del protocollo pptp (porta 1723) altrimenti la connessione non
si instaura, sui router non credo ci sia, ma onestamente non ne ho mai avuto
bisogno, ho dato un'occhiata alla cfg e secondo me il problema potrebbe
essere la configurazione invertita del CBAC, tipicamente l'inspect dei
protocolli si applica sull'interfaccia interna, nel tuo caso le vlan, e una
access-list sulla dialer 1 (la tua outside) per definire il traffico che può
entrare da internet verso la rete interna.

In sostanza il CBAC non fa altro che aprire delle sessioni dinamiche che
permettono al traffico da dentro verso fuori di rientrare, pensa se avessi
solo la acl sull'outside, il traffico uscirebbe ma non tornerebbe al
mittente.

Prova così, prendi la cfg con il fiewall e da riga di comando dai queste
istruzioni (puoi fare un mero copia incolla, dovrei averla tarata per le tue
interfacce) :

conf t (per entrare in configurazione)

ip access-list extended ACCESSO
 permit icmp any any
 deny   ip any any log
exit

interface Vlan1
 ip inspect CCP_LOW in
exit

interface Vlan2
 ip inspect CCP_LOW in
exit

interface Vlan3
 ip inspect CCP_LOW in
exit

interface Dialer1
no ip inspect CCP_LOW out
ip access-group ACCESSO in
exit
exit

wr mem

In sostanza crei una access list 'named' dove decidi il traffico consentito
da internet verso dentro, nel caso specifico solo il ping e poi logghi tutti
i deny, assegni ad ogni vlan il firewall e per ultimo lo togli dalla dialer1
e associ l'access list ACCESSO.

Ho un router cisco anch'io con il cbac e non ho problemi con i client pptp,
almeno quelli nativi di microsoft, ho fatto qualche test per conferma e
oltre alla connessione andata a buon fine, vedo anche sul router le sessioni
:

 Session 81A7A84C (192.168.240.111:50342)=>(82.187.100.59:*1723*) tcp
SIS_OPEN

Il comando da dare per vedere, sempre da riga di comando (lavoro solo con
quella sui router con l'interfaccia grafica non ti so aiutare) le sessioni è
: show ip inspect all.

Se navighi significa che non sono i parametri dell'interfaccia che ti creano
i problemi, quindi puoi tranquillamente lasciare stare quella parte e
concentrarti sulla funzionalità di firewall.

Prova e fammi sapere.
Ken



2010/12/6 Riccardo Dal Fiume <dalfiume.r@gmail.com>

> Ho fatto qualche prova, ho cambiato da pppoe a pppoa e ho tolto alcune
> cose che non servivano.
> Ho provato a connettermi SENZA il firewall settato tramite il wizard e
> CON. Ovviamente CON il firewall settato non va nulla metre sembra
> funzionare senza problemi SENZA firewall settato.
>
> Questa è la configurazione con cui funziona.
>
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20101206/e60049ef/attachment.htm>

Maggiori informazioni sulla lista ImoLUG