Cisco 827 openzetten voor telnet/SSH vanaf internet

voor telnet van buiten hoef je in principe niks te configureren. Ik neem alleen niet aan dat je alles en iedereeen naar je router wil laten telnetten,dus het beste kan je een ACL maken waarbij je ip adressen 'permit'
Vanuit je lan gebruik je wellicht een 10, 192, of 172 adres om naar te telnetten, van buitenaf moet je uiteraard wel je publieke adres gebruiken.

Klinkt een beetje merkwaardig...
Dit is hoe ik het heb gedaan.


access-list 25 remark ###### Access-list for vty lines ######
access-list 25 permit x.x.x.x
access-list 25 permit x.x.x.x
access-list 25 permit x.x.x.x x.x.x.x

line vty 0 4
access-class 25 in
exec-timeout 0 0
password xxxxxxxxxxxx
login
transport preferred none

Uiteraard moet je op je interface waar je verkeer op binnenkomt geen DENY hebben van hetgene je met acl 25 permit. Dan wordt het namelijk alsnog geblocked

Standaard zou ie juist vanaf elke interface telnet/ssh moeten draaien.

Post je running-config eens.

Op de 800 Series met FW functionaliteit zit in de Device Manager meen ik ergens een vinkje voor 'hogere veiligheid'. Hiermee schakelt de router automatisch remote beheer vanaf internet uit evenals nog wat andere beveiligingen. Misschien loont het om even de Device Manager erbij te pakken en even rond te klikken.

Ik weet niet of dit de oplossing is voor je probleem, ik heb eens een keer de Device Manager moeten gebruiken _blegh en daar zag ik het ergens voorbij komen Het posten van je volledig configuratie (zonder geencrypte wachtwoorden en externe ip adressen uiteraard) maakt het oplossen van het probleem altijd een stuk makkelijker!

Beter dat je telnet gewoon helemaal niet gaat gebruiken, alleen ssh is een stuk veiliger.
Om de ssh deamon te starten moet je eerst een domain-name setten en een key genereren:

In de config mode
blah(config)#ip domain-name blah.nl

daarna de key genereren

blah(config)#crypto key generate

Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

Nu is je deamon gestart, maar we willen alleen versie 2 van ssh gebruiken dus tikken we in de config mode:

blah(config)#ip ssh version 2

Rest alleen nog een access-list en je vty's aanpassen:

blah(config)#access-list 1 remark USED FOR VTY 0 - 4
blah(config)#access-list 1 permit X.X.X.X 0.0.0.255 log << eventueel loggen

en je vty aanpassen

blah(config)#line vty 0 4
blah(config)#access-class 1 in
blah(config)#exec-timeout 120 0
blah(config)#transport input ssh

Op deze manier kan je veilig je cisco managen.

[ Voor 6% gewijzigd door Verwijderd op 22-05-2006 23:44 ]