[cisco-ttl] Pix üstünde remote access vpn+radius

From: OGUZ ISLAM EMLIK <oguz_islam_at_....>
Date: Wed Nov 15 2006 - 17:27:07 EET


herkese merhaba,
mail gruba yeni katildim, bu da ilk gruba ilk mailim..

sistemimde kullanicilarim icin, pix 6.3(5) üzerinde remote access vpn konfigurasyonunu yaptim ve bu konfigurasyona gore kullanicilarim agima baglaniyorlar. (VPN Client 3.5 ile)

Pix, Redhat Linux 4 Update2 uzerinde kurulu olan freeradius 1.0.1-3'tan baglanan her kullanici icin cisco-avpair yardimiyla verilen acl'leri download ediyor. Kullanici sisteme baglandiginda gercekten "sh access-list" ile baktigimda AAA-user-user_name seklinde acllerin indirildigini ve hitcountlarinin arttigini goruyorum.

 Ancak radiustan "permit ip any any" acl'i ile baglanan bir user icin dahi bircok makina icin dns'ten ismi cozmesine karsilik baglanirken Time Out aliyorum(kaldiki ip'leri ile de ulasamiyorum). Ve bu ayni ip blogunda ve ayni switch altinda bulunan ve yapilandirilmasi tamamen ayni olan 2 makinamda oluyor. appsrv1(10.1.1.21) ve appsrv2(10.1.1.42) isimli 2 tane makinamdan ornek vermek gerekirse, her baglantida appsrv1'de hicbir problem yasamadan herturlu baglantiyi gerceklesitirirken, appsrv2 makinasina hicbir suretle baglanamiyor, surekli timed out aliyorum. ayrica sunuda belirtmek isterim network yuku acisindan appsrv1 appsrv2'ye gore daha yukte calisiyor. herseferinde appsrv1'de problem olmamasi ancak appsrv1'de olmasi konsunda da hicbir fikrim yok, daha once dedigim gibi makinalar tamamen ayni.

aslinda problemin neden kaynaklandigini tam olarak anlamis degilim. sizce ne olabilir.

pix configurasyonu



ip local pool vpn_ippool_sistem 10.1.253.1 mask 255.255.255.252
....
aaa-server rasvpnauth protocol radius 
aaa-server rasvpnauth max-failed-attempts 3 
aaa-server rasvpnauth deadtime 10 
aaa-server rasvpnauth (intf2) host 10.2.20.10 **** timeout 5

....

sysopt connection permit-ipsec
crypto ipsec transform-set vpn_tset_esp3des_espshahmac esp-3des esp-sha-hmac crypto dynamic-map vpn_dynmap 60 set transform-set vpn_tset_esp3des_espshahmac
....

crypto map rtptrans 21 ipsec-isakmp
....

crypto map rtptrans 60 ipsec-isakmp dynamic vpn_dynmap crypto map rtptrans client authentication rasvpnauth

....

vpngroup vpn_group_sistem address-pool vpn_ippool_sistem
vpngroup vpn_group_sistem dns-server 10.1.1.25
vpngroup vpn_group_sistem wins-server 10.1.254.43 10.1.1.22
vpngroup vpn_group_sistem default-domain mydomain.sec
vpngroup vpn_group_sistem idle-time 1800
vpngroup vpn_group_sistem password ****
-------------------------------------------------------------------------------






 
____________________________________________________________________________________
Sponsored Link

Online degrees - find the right program to advance your career. Www.nextag.com

[Non-text portions of this message have been removed] Received on Wed Nov 15 17:51:22 2006

This archive was generated by hypermail 2.1.8 : Wed Nov 15 2006 - 17:51:31 EET