Всем привет!
недавно поставили новый маршрутер - и у меня нес-ко вопросов.
1. subj - К циске коннектится VPN IPSec client. Неправильная вещь - access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес источника) не тот что идет по инету а тот(внутренний) что назначен клиенту из local pool. Как изменить порядок?
Что-то слышал про loopback интерфейс - а как воспользоваться не знаю.2. Никак не удается скопировать конфигурационный файл ни по ftp ни по scp.
IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
Работает только tftp - но он говорят небезопасен.
Вот что пишет при попытке копировать running-conf по scp
%Error writing scp (Protocol error)
Кстати ssh на этот же хост(куда хочу скопировать) работает нормально
Вот по ftp
%Error writing ftp (Undefined error)
3. Как отключить bootps udp/67 ?
>Всем привет!
>недавно поставили новый маршрутер - и у меня нес-ко вопросов.
>1. subj - К циске коннектится VPN IPSec client. Неправильная вещь -
>access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес
>источника) не тот что идет по инету а тот(внутренний) что назначен
>клиенту из local pool. Как изменить порядок?
>Что-то слышал про loopback интерфейс - а как воспользоваться не знаю.
>sh ver напиши и кусок конфига, касающего настроек IPSec
>2. Никак не удается скопировать конфигурационный файл ни по ftp ни по
>scp.
>IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
>Работает только tftp - но он говорят небезопасен.
>Вот что пишет при попытке копировать running-conf по scp
>%Error writing scp (Protocol error)
>Кстати ssh на этот же хост(куда хочу скопировать) работает нормально
>Вот по ftp
>%Error writing ftp (Undefined error)
>
>3. Как отключить bootps udp/67 ?
>>Всем привет!
>>недавно поставили новый маршрутер - и у меня нес-ко вопросов.
>>1. subj - К циске коннектится VPN IPSec client. Неправильная вещь -
>>access-lists работают после того как пакет расшифруется - т.е. фильтруется(например адрес
>>источника) не тот что идет по инету а тот(внутренний) что назначен
>>клиенту из local pool. Как изменить порядок?
>>Что-то слышал про loopback интерфейс - а как воспользоваться не знаю.
>>
>
>sh ver напиши и кусок конфига, касающего настроек IPSec
>
>>2. Никак не удается скопировать конфигурационный файл ни по ftp ни по
>>scp.
>>IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
>>Работает только tftp - но он говорят небезопасен.
>>Вот что пишет при попытке копировать running-conf по scp
>>%Error writing scp (Protocol error)
>>Кстати ssh на этот же хост(куда хочу скопировать) работает нормально
>>Вот по ftp
>>%Error writing ftp (Undefined error)
>>
>>3. Как отключить bootps udp/67 ?Вот полностью sh ver
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 25-Nov-03 11:18 by kellythw
Image text-base: 0x80008120, data-base: 0x81038E6CROM: System Bootstrap, Version 12.2(7r)XM1, RELEASE SOFTWARE (fc1)
cs1720 uptime is 1 week, 6 days, 23 hours, 55 minutes
System returned to ROM by power-on
System restarted at 08:44:07 MSK Mon Dec 29 2003
System image file is "flash:c1700-k9o3sy7-mz.123-5a.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.htmlIf you require further assistance please contact us by sending email to
export@cisco.com.cisco 1721 (MPC860P) processor (revision 0x200) with 114688K/16384K bytes of memory.
Processor board ID FOC07380T5N (1913404751), with hardware revision 0000
MPC860P processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
2 Ethernet/IEEE 802.3 interface(s)
1 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)Configuration register is 0x2102
А это IPSecaaa new-model
!
!
aaa authentication login USRAUTH local
aaa authorization network GRPAUTH local
aaa session-id common!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ATRgroup
key test
domain test.com
pool LOCPOOL
acl 108
!
!
crypto ipsec transform-set ATRSET esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set ATRSET
!
!
crypto map ATRMAP client authentication list USRAUTH
crypto map ATRMAP isakmp authorization list GRPAUTH
crypto map ATRMAP client configuration address respond
crypto map ATRMAP 10 ipsec-isakmp dynamic DYNMAPip local pool LOCPOOL 192.168.1.1
access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1
access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1это нужно для split-tunelling'а...
>access-list 108 permit ip 10.0.0.0 0.0.255.255 host 192.168.1.1
>
>это нужно для split-tunelling'а...
ВОЛКА, не понял, что ты здесь имеешь ввиду?
Что такое split tunelling?
По поводу tftpПоставь tftp server на свой комп, запусти его, скопируй config (а лучше и сам IOS) и отключи его, и никто не достучится ...
>По поводу tftp
>
>Поставь tftp server на свой комп, запусти его, скопируй config (а лучше
>и сам IOS) и отключи его, и никто не достучится ...
>