[Cisco] Statefull Firewall + NHRP - Netwerken

dinsdag 28 september 2004 23:17

Acties:

Verwijderd

Topicstarter

Ik heb een Hub + Spoke config draaien met 7 spokes en 1 hub
op elke spoke heb ik een statefull firewall, deze werkt ook.
Nu wil ik op de hub router ook een statefull firewall activeren
echter kom ik er niet achter welke poorten er open moeten staan
(en welke protocollen evt../protocolnummers..)
om nhrp (next hop resolution protocol) door te laten.
Ik heb al geprobeerd met deny ip any any log om te kijken wat er binnenkomt
maar volgens mij is het nhrp protocol dus een ander protocol nummer

iemand ervaring hiermee ?

dinsdag 28 september 2004 23:27

Acties:

Verwijderd

PNS > NT

woensdag 29 september 2004 09:30

Acties:

Verwijderd

Verwijderd schreef op 28 september 2004 @ 23:17:
Ik heb een Hub + Spoke config draaien met 7 spokes en 1 hub
op elke spoke heb ik een statefull firewall, deze werkt ook.
Nu wil ik op de hub router ook een statefull firewall activeren
echter kom ik er niet achter welke poorten er open moeten staan
(en welke protocollen evt../protocolnummers..)
om nhrp (next hop resolution protocol) door te laten.
Ik heb al geprobeerd met deny ip any any log om te kijken wat er binnenkomt
maar volgens mij is het nhrp protocol dus een ander protocol nummer

iemand ervaring hiermee ?

bedoel je nu dat je op elke poot van de hub m.u.v. de link naar boven toe ook een firewall wil zetten ?

Betekend dit niet gewoon dat je de integriteit van je topologie wantrouwd ?

woensdag 29 september 2004 10:37

Acties:

Verwijderd

Topicstarter

Nee ik heb een dynamische multipoint VPN draaien
op basis van een Hub & Spoke configuratie. Waarbij de spokes een dynamisch
ip adres binnen de vpn kunnen hebben en de hub dus een statisch ip adres
alle VPN tunnels worden dus dynamisch opgebouwd.

Mijn vraag is als ik op de hub router een statefull Firewall activeer
dan wil ik dus weten wleke poorten en protocolnummers evetueel open moeten
staaan in de access-list om het te laten werken, ik heb al van alles geprobeerd
met deny any any log om te kijken wel verkeer er wordt genegeerd, maar
ook daarmee krijg ik het protocol nummer niet te pakken....

wat je hier zegt :
bedoel je nu dat je op elke poot van de hub m.u.v. de link naar boven toe ook een firewall wil zetten ?

Betekend dit niet gewoon dat je de integriteit van je topologie wantrouwd ?
snap ik eerlijk gezegt niet ?
ik bedoel wel hUb in de zin van hub en spoke config zie plaatje:
Afbeeldingslocatie: http://www.cisco.com/univercd/illus/8/89/82589.gif

Afbeeldingslocatie: http://www.cisco.com/univercd/illus/8/89/82589.gif

woensdag 29 september 2004 15:12

Acties:

Verwijderd

welk type vpn gebruik je ?

•IPSec (RFC 2401-2411, 2451)

•GRE (RFC 1701-1702)

•L2TP (RFC 2661)

•PPTP (RFC 2637)

woensdag 29 september 2004 16:16

Acties:

Krooswijk.com

Ik gebruik een GRE Tunnel, maar voordat er een GRE tunnel wordt gemaakt
wordt er middels het NHRP Protocol informatie uitgewisseld
mijn vraag is over welke poort gaat dit verkeer en evt welk protocol nummer ?
dus voordat de GRE tunnel wordt opgebouwd, wordt er met NHRP uitgewisseld
hoe de tunnel moet worden opgebouwd. en dat verkeer wil ik ook permitten
dus een accesslist van het type permit any any eq gre gaat niet werken

woensdag 29 september 2004 18:41

Acties:

Verwijderd

Krooswijk.com schreef op 29 september 2004 @ 16:16:
Ik gebruik een GRE Tunnel, maar voordat er een GRE tunnel wordt gemaakt
wordt er middels het NHRP Protocol informatie uitgewisseld
mijn vraag is over welke poort gaat dit verkeer en evt welk protocol nummer ?
dus voordat de GRE tunnel wordt opgebouwd, wordt er met NHRP uitgewisseld
hoe de tunnel moet worden opgebouwd. en dat verkeer wil ik ook permitten
dus een accesslist van het type permit any any eq gre gaat niet werken

voor gre is dat een eitje aangezien cisco daar gewoon het gre statement in access-listen voor heeft dus zoiets als permit gre any any.

voor NHRP moet je

http://www.cisco.com/univ...c/1cprt2/1cipadr.htm#3881

even lezen

[ Voor 10% gewijzigd door Verwijderd op 29-09-2004 19:30 ]