Enda en ny ruter i heimen, nå en Cisco 2851

[ChrisCo]

Ja riktig... Hr du en server eller enhet på innsida som du kan kjøre VPN server på? Det er det beste. Da tillater du interne adresser og blokker alt annet. Det er det jeg har gjort..

[toreae]

Ingen VPN

[ChrisCo]

Nei ok. Men legger du inn det jeg har kommet med, så får ingen andre tilgang til å forsøke å logge inn...

[toreae]

Har lagt inn det du kom med, og nå får ikke jeg komme inn... Via SSH (og telnet) på lokalnett.

[ChrisCo]

Post relevant konfig.

[toreae]

ip access-list extended Brannmur

 permit tcp any host 192.168.100.100 eq 10000 m.fl.

 deny ip any any

 

line vty 0 988

access-class Brannmur in

end

[ChrisCo]

Er det alt du har under VTY?

[toreae]

Det må bli i morgen. Men har bare lagt til SSH fra før. Tok ikke backup running-config, så det tar litt tid.

[toreae]

Det ble ikkeno i dag heller. Alt for travelt på en søndag.

[toreae]

Det jeg fikk etter å ha skrevet inn det som står i post #46

line vty 0 4

 access-class Brannmur in

 password 7 1234567890ABCDEF0123

 transport input telnet ssh

line vty 5 15

 access-class Brannmur in

 password 7 ABCDEF1234567890ABCD

 transport input telnet ssh

line vty 16 988

 access-class Brannmur in

 transport input all

 

 

Men om den bare sperrer port 22 kan man vel bruke?

Firewall#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Firewall(config)#access-list 199 deny tcp any any eq 22    

Firewall(config)#access-list 199 permit ip any any

Firewall(config)#int Gi0/0

Firewall(config-if)#ip access-group 199 in

Firewall(config-if)#exit

Firewall(config)#exit

 

Og vil man ha sperret flere porter kan man bruke flere linjer som: access-list 199 deny tcp any any eq 22, og bare bytt ut 22 med annet port nummer?

Eller er jeg på villspor?

[ChrisCo]

Ser ikke så gæli ut det ved første øyekast.. Bare å implementere og se det

[toreae]

Går ut fra at du svarte på mitt forslag. Hva med konfigen som du ba om?

[ChrisCo]

Har du ikke lagt denne konfigen? Funker det ikke som tenkt?

[toreae]

Post #50 første halvdel svarer jeg deg på spørsmålet ditt i post #47.

 

Post #50 andre halvdel spør jeg: Hvis din konfigs eneste oppgave er å sperre port 22 for trafikk utenfra, kan jeg like godt bruke den konfigen (som står i andr halvdel av post # 50)

[toreae]

Jeg betaler for Dynamic DNS hos noip.org. Der har jeg lagd en gruppe. Men å konfigurere det på 2851 er noe herk (har vel nemt det før).

 

ip ddns update method ddns2

 interval maximum 0 0 5 0

 interval minimum 0 0 4 0

 HTTP

  add h t t p : // min-gruppe#brukernavn:[email protected]/nic/update?hostname=min-gruppe&myip=

  remove h t t p : // min-gruppe#brukernavn:[email protected]/nic/update?hostname=min-gruppe&myip=

 

interface GigabitEthernet0/0

 ip ddns update ddns2

 

Jeg får ikke oppdatert for jeg har gjort noe feil, åpenbart. Men sletter jeg konfig og prøver på nytt, så husker ruteren den gamle konfigen og prøver å oppdatere den også. Samtidig. Kjedelig når man skal feilsøke.

 

Det man skal skrive er:

 h t t p : // min-gruppe:brukernavn:pass..... Men

Note: Some clients don’t like a colon( : ) character as a separator, you can use the url encoded colon character %3A %23 or # if you run into this issue.

 

Er det noen som har fått dette til? Hvilket tegn skal man bruke før brukernavn, og er det det vanlige passordet man skal bruke, eller er det passordet for gruppen?

 

Edit: Glemte å ta med at en reload fikser DDNS-problemet. Er det noe cache ellerno som kan slettes?

Endret 28. august 2017 av toreae

[ChrisCo]

 

 

Post #50 første halvdel svarer jeg deg på spørsmålet ditt i post #47.

 

Fjern det du har og legg inn dette:

 

line vty 0 988

 access-class Brannmur in

 privilege level 15

 login local

 transport input telnet ssh

 transport output telnet ssh

 

 

 

Post #50 andre halvdel spør jeg: Hvis din konfigs eneste oppgave er å sperre port 22 for trafikk utenfra, kan jeg like godt bruke den konfigen (som står i andr halvdel av post # 50)

 

Jeg sperrer ikke for port 22. Jeg har sperret all tilgang utenfra og tillater kun fra internt. Må koble til VPN servern min for å komme fra innsiden.

 

Ang. DDNS - Tror det er noe bug med oppdateringen i IOS.. Fikk det aldri til funke selv.. Kjøp deg heller et domene.. Koster deg en drøy 10'er i mnd... Mye bedre..

[toreae]

Gikk litt feil med login local:

 

carter(config-line)#privilege level 15

carter(config-line)#login local

                            ^

% Invalid input detected at '^' marker.

 

Carter(config-line)#login ?    

  authentication  Authentication parameters.

  ctrlc-disable   Disable CONTROL-C during login.

[ChrisCo]

Det var rart... Har du lagt inn

 

• service password-encryption
• enable secret <passord>
• ip domain name <whatever>
• username <whatever> privilege 15 secret <passord>
• ip ssh version 2

Kan ikke huske å ha vært borti noen bokser uten den kommandoen...

[toreae]

Yepp, alle sammen. Når jeg tenker meg om hadde jeg problemer med dette da jeg konfigurerte SSH2.

 

 

 

 

Edit: Jeg har også:

aaa new-model

 

Da skal man vist bruke:

login authentication ?

  WORD     Use an authentication list with this name.

  default  Use the default authentication list.

 

Har brukt:

login authentication <whatever>

• username <whatever> privilege 15 secret <passord>
   
• Men får
• Carter(config-line)#login authentication <whatever>  
  AAA: Warning authentication list "<whatever>" is not defined for LOGIN.
•  

  Så jeg mangler tydeligvis noe.

Endret 2. september 2017 av toreae

[ChrisCo]

Kommer vel ganske klart frem at du ikke har laga en liste som heter <whatever>... Og username har ikke noe med aaa å gjøre... 

 

Dropp aaa... Holder lenge med vanlig login..