[ImoLUG] Client PPTP dietro ad un Cisco877-k9

Riccardo Dal Fiume dalfiume.r@gmail.com
Dom 19 Dic 2010 16:42:14 CET 

Ciao!

Una domanda, la configurazione che hai postato funziona solo se
utilizzo il firewall classico o anche la configurazione a zone?
Ho provato ad implementarlo in una configurazione a zone e non ha funzionato.
Per ora ho tolto completamente il firewall lasciando le regole minime
e va, l'icmp l'ho tolto, non mi sembrava necessario, ho fatto male?

Il 06 dicembre 2010 22:03, Fabrizio Canonici <f.canonici@gmail.com> ha scritto:
> Ciao Riccardo,
> ti ho chiesto la cfg proprio per capire come era configurato il CBAC, la
> funzionalità firewall degli IOS Cisco fa si che gli inspect a volte causino
> dei problemi, tipicamente sui firewall pix/asa è necessario abilitare
> l'inspection del protocollo pptp (porta 1723) altrimenti la connessione non
> si instaura, sui router non credo ci sia, ma onestamente non ne ho mai avuto
> bisogno, ho dato un'occhiata alla cfg e secondo me il problema potrebbe
> essere la configurazione invertita del CBAC, tipicamente l'inspect dei
> protocolli si applica sull'interfaccia interna, nel tuo caso le vlan, e una
> access-list sulla dialer 1 (la tua outside) per definire il traffico che può
> entrare da internet verso la rete interna.
>
> In sostanza il CBAC non fa altro che aprire delle sessioni dinamiche che
> permettono al traffico da dentro verso fuori di rientrare, pensa se avessi
> solo la acl sull'outside, il traffico uscirebbe ma non tornerebbe al
> mittente.
>
> Prova così, prendi la cfg con il fiewall e da riga di comando dai queste
> istruzioni (puoi fare un mero copia incolla, dovrei averla tarata per le tue
> interfacce) :
>
> conf t (per entrare in configurazione)
>
> ip access-list extended ACCESSO
>  permit icmp any any
>  deny   ip any any log
> exit
>
> interface Vlan1
>  ip inspect CCP_LOW in
> exit
>
> interface Vlan2
>  ip inspect CCP_LOW in
> exit
>
> interface Vlan3
>  ip inspect CCP_LOW in
> exit
>
> interface Dialer1
> no ip inspect CCP_LOW out
> ip access-group ACCESSO in
> exit
> exit
>
> wr mem
>
> In sostanza crei una access list 'named' dove decidi il traffico consentito
> da internet verso dentro, nel caso specifico solo il ping e poi logghi tutti
> i deny, assegni ad ogni vlan il firewall e per ultimo lo togli dalla dialer1
> e associ l'access list ACCESSO.
>
> Ho un router cisco anch'io con il cbac e non ho problemi con i client pptp,
> almeno quelli nativi di microsoft, ho fatto qualche test per conferma e
> oltre alla connessione andata a buon fine, vedo anche sul router le sessioni
> :
>
>  Session 81A7A84C (192.168.240.111:50342)=>(82.187.100.59:1723) tcp SIS_OPEN
>
> Il comando da dare per vedere, sempre da riga di comando (lavoro solo con
> quella sui router con l'interfaccia grafica non ti so aiutare) le sessioni è
> : show ip inspect all.
>
> Se navighi significa che non sono i parametri dell'interfaccia che ti creano
> i problemi, quindi puoi tranquillamente lasciare stare quella parte e
> concentrarti sulla funzionalità di firewall.
>
> Prova e fammi sapere.
> Ken
>
>
>
> 2010/12/6 Riccardo Dal Fiume <dalfiume.r@gmail.com>
>>
>> Ho fatto qualche prova, ho cambiato da pppoe a pppoa e ho tolto alcune
>> cose che non servivano.
>> Ho provato a connettermi SENZA il firewall settato tramite il wizard e
>> CON. Ovviamente CON il firewall settato non va nulla metre sembra
>> funzionare senza problemi SENZA firewall settato.
>>
>> Questa è la configurazione con cui funziona.
>>
>>
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
>



-- 
               Riccardo Dal Fiume,
               Responsabile IT
               Dal Fiume Group Srl

Maggiori informazioni sulla lista ImoLUG