The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco Авторизация и проброс портов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 10-Янв-07, 16:46 
Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.

Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п. Если я обращаюсь Pix:80 => server:port все тоже работает. Все перетсает работать когда я обращаюсь Pix:port => server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??

Устройство Cisco Pix 515e

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 10-Янв-07, 17:10 
СКОПИРОВАЛ НЕ ТО!!! Вот тут читать.

Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.

Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п.  Все перетсает работать когда я обращаюсь Pix:80 => server:port или Pix:port -> server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??

Устройство Cisco Pix 515e


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 11-Янв-07, 17:30 
>СКОПИРОВАЛ НЕ ТО!!! Вот тут читать.
>
>Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.
>
>Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п.  Все перетсает работать когда я обращаюсь Pix:80 => server:port или Pix:port -> server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??
>
>Устройство Cisco Pix 515e
Все дело в том что аутентифкация может осуществляться только для HTTP, FTP и Telnet. Если ты хочешь получить доступ по другим портам, то сначала аутентифицируйся с использованием этих протоколов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 11-Янв-07, 17:32 
>Все дело в том что аутентифкация может осуществляться только для HTTP, FTP
>и Telnet. Если ты хочешь получить доступ по другим портам, то
>сначала аутентифицируйся с использованием этих протоколов.

ок, как? что мне нужно сделать, чтобы авторизваться с помощью этих протоколов?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco Авторизация и проброс портов"  
Сообщение от buzz (??) on 11-Янв-07, 21:23 
>>Все дело в том что аутентифкация может осуществляться только для HTTP, FTP
>>и Telnet. Если ты хочешь получить доступ по другим портам, то
>>сначала аутентифицируйся с использованием этих протоколов.
>
>ок, как? что мне нужно сделать, чтобы авторизваться с помощью этих протоколов?
>
Наример поднять на пиксе Virtual Telnet или сначала полезть за пикс по HTTP =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 12-Янв-07, 10:02 
>Наример поднять на пиксе Virtual Telnet или сначала полезть за пикс по
>HTTP =)
Хорошо, как именнно это надо сделать? Я написал в Virtual HTTP ip адрес, если Pix:port и server:80 я вижу окно переадресации, при клике на ссылку ничего не происходит. Если Pix:port -> server:port не вылазит даже окно редиректа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 12-Янв-07, 12:16 
>>Наример поднять на пиксе Virtual Telnet или сначала полезть за пикс по
>>HTTP =)
>Хорошо, как именнно это надо сделать? Я написал в Virtual HTTP ip адрес, если Pix:port и server:80 я вижу окно переадресации, при клике на ссылку ничего не происходит. Если Pix:port -> server:port не вылазит даже окно редиректа.
Я не вижу что ты написал. Конфиг в студию.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 12-Янв-07, 12:26 
>Я не вижу что ты написал. Конфиг в студию.
Так работает

access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
aaa authentication match outside_authentication outside LOCAL

Вот так не работает

access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
aaa authentication match outside_authentication outside LOCAL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 12-Янв-07, 14:22 
>>Я не вижу что ты написал. Конфиг в студию.
>Так работает
>
>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
>static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
>aaa authentication match outside_authentication outside LOCAL
>
>Вот так не работает
>
>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
>static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
>aaa authentication match outside_authentication outside LOCAL
Во втором случае ты как авторизацию проходишь?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 12-Янв-07, 14:23 
>>>Я не вижу что ты написал. Конфиг в студию.
>>Так работает
>>
>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
>>static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
>>aaa authentication match outside_authentication outside LOCAL
>>
>>Вот так не работает
>>
>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
>>static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
>>aaa authentication match outside_authentication outside LOCAL
>Во втором случае ты как авторизацию проходишь?

во втором случае авторизация даже не запрашивается... Сразу ошибка

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 12-Янв-07, 14:44 
>>>>Я не вижу что ты написал. Конфиг в студию.
>>>Так работает
>>>
>>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
>>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
>>>static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
>>>aaa authentication match outside_authentication outside LOCAL
>>>
>>>Вот так не работает
>>>
>>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
>>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
>>>static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
>>>aaa authentication match outside_authentication outside LOCAL
>>Во втором случае ты как авторизацию проходишь?
>
>во втором случае авторизация даже не запрашивается... Сразу ошибка
Авторизуйся сначала по HTTP, а потом иди по этому порту.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 12-Янв-07, 15:49 

>Авторизуйся сначала по HTTP, а потом иди по этому порту.
как?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 12-Янв-07, 16:06 
>
>>Авторизуйся сначала по HTTP, а потом иди по этому порту.
>как?
Варианта как минимум два:
1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после чего для твоего IP будет открыт доступ через пикс.
2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь там имя и апроль и все - финиш.
Я ясно выражаюсь? :)
Кстати, какая версия пикса?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Cisco Авторизация и проброс портов"  
Сообщение от iNot email(??) on 12-Янв-07, 16:09 
>>
>>>Авторизуйся сначала по HTTP, а потом иди по этому порту.
>>как?
>Варианта как минимум два:
>1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по
>телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после
>чего для твоего IP будет открыт доступ через пикс.
>2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для
>авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь
>там имя и апроль и все - финиш.
>Я ясно выражаюсь? :)
>Кстати, какая версия пикса?
Делал по второму виду, тоесть. Все работает, прокинут 80 порт на 80 и 8011 на 8011. Включаем авторизацию, 80 на 80 работает, вылазит окно, все довольны. Если 8011 на 8011 пишет ошибку. Даже после авторизации 80 на 80.

Версия 7,2(2)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 12-Янв-07, 17:06 
>>>
>>>>Авторизуйся сначала по HTTP, а потом иди по этому порту.
>>>как?
>>Варианта как минимум два:
>>1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по
>>телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после
>>чего для твоего IP будет открыт доступ через пикс.
>>2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для
>>авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь
>>там имя и апроль и все - финиш.
>>Я ясно выражаюсь? :)
>>Кстати, какая версия пикса?
>Делал по второму виду, тоесть. Все работает, прокинут 80 порт на 80
>и 8011 на 8011. Включаем авторизацию, 80 на 80 работает, вылазит
>окно, все довольны. Если 8011 на 8011 пишет ошибку. Даже после
>авторизации 80 на 80.
>
>Версия 7,2(2)

http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_1/conf_gd/fwaaa.htm

Although you can configure the security appliance to require authentication for network access to any protocol or service, users can authenticate directly with HTTP(S), Telnet, or FTP only. A user must first authenticate with one of these services before the security appliance allows other traffic requiring authentication.

Возможно причина ошибки не в том что вы не авторизованы. Мне вот так сразу сложно сказать. Как вариант- поднимите virtual telnet. Я вам дал сцылку.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Cisco Авторизация и проброс портов"  
Сообщение от Федор on 04-Ноя-07, 11:13 
Уважаемые специалисты,
подскажите, пожалуйста,

Вот такая ситуация:
Настроен virtual telnet. Пользователь обращается к хосту, например, через RDP порт. Аторизация для этого соединения настроена. Перебросит ли ASA пользователя автомаматически на виртуальный ip адрес или нет?
Другими словами откроется ли у пользователя окно с приглашением для аутентификации или все закончится сообщением об ошибке?
В идеале нужно следующее: Пользователь обращается к хосту по порту, отличному от telnet, http ... Нужно, чтобы у него появилось приглашение для ввода логина и пароля. Если пользователь ввел верные данные, окно аутентификации закрывается и изначально инициированная пользоватеем сессия.
В таком виде это работает? Или пользователю потребуется открывть две сесии - сначала к виртуальному хосту для аутентификации, а затем уже к реальному хосту для работы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Cisco Авторизация и проброс портов"  
Сообщение от Федор on 04-Ноя-07, 11:20 
Уважаемые специалисты,
подскажите, пожалуйста,

Вот такая ситуация:
Настроен virtual telnet. Пользователь обращается к хосту, например, через RDP порт. Аторизация для этого соединения настроена. Перебросит ли ASA пользователя автомаматически на виртуальный ip адрес или нет?
Другими словами откроется ли у пользователя окно с приглашением для аутентификации или все закончится сообщением об ошибке?
В идеале нужно следующее: Пользователь обращается к хосту по порту, отличному от telnet, http ... Нужно, чтобы у него появилось приглашение для ввода логина и пароля. Если пользователь ввел верные данные, окно аутентификации закрывается, изначально инициированная пользоватеем сессия возобновляется и пользователь начинает нормальную работу.
В таком виде это работает? Или пользователю потребуется открывть две сесии - сначала к виртуальному хосту для аутентификации, а затем уже к реальному хосту для работы.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Cisco Авторизация и проброс портов"  
Сообщение от buzz_tuman email(ok) on 12-Янв-07, 14:57 
*
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру