wireless wpa2 senza mac address filtering?

[m0m0_78]

Ciao a tutti,

E' qualche sera che impazzisco dietro questa cosa..
Sto cercando di implementare wpa2 sotto un 877w con IOS 124.24T5, ma non mi è chiaro se è possibile autenticarsi senza filtrare i mac address.

Riassumo la parte per il wireless
sh run:

version 12.4

!
!
dot11 syslog
dot11 vlan-name WiFi vlan 1
!
dot11 ssid ****
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 *********
!


interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid ****
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
world-mode dot11d country IT both
l2-filter bridge-group-acl
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!


In pratica ho omesso: dot11 association mac-list 700 e relative acl.

Ma il client non si autentica.

In sostanza vorrei implementare wpa2, ma lasciare che gli amici si possano connettere al router senza dover registrare i mac address per agevolare l' associazione; come invece posso fare con WPA (encryption vlan 1 mode ciphers tkip).

Cosa mi dite in merito?

Grazie

[Rizio]

Per quel poco che posso capire io (che di wireless cisco ne ho configurati veramente pochi) fare così:
Nella definizione del ssid:

Codice: Seleziona tutto

!
dot11 ssid ****
 vlan 1
 authentication open
 authentication key-management wpa

Aggiungerei un 2 dietro l'authentication key-management facendola diventare

Codice: Seleziona tutto

authentication key-management wpa  2

(occhio che però questo credo dipenda anche dalla versione di ios che hai, verifica che sia supportata o eventualmente aggiorna)

E toglierei questa

Codice: Seleziona tutto

l2-filter bridge-group-acl

da qui:

Codice: Seleziona tutto

interface Dot11Radio0
 no ip address
 !
 encryption vlan 1 mode ciphers aes-ccm tkip
 !
 ssid ****
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
 world-mode dot11d country IT both
 l2-filter bridge-group-acl

Ma ripeto, non ho configurato tanti AP cisco perciò potrebbe essere una cavolata perciò magari aspetta che qualche guru del forum confermi o smentisca le mie modifiche.
Rizio

P.S. Alza anche il debug così da poter capire perchè non si autentica, questo è il sempre il primo passaggio imprescindibile per il troubleshooting.

[m0m0_78]

authentication key-management wpa 2

Ok questa non era possibile ma non serviva..

l2-filter bridge-group-acl

Questa invece era utile toglierla..

Ma in sostanza dopo aver provato altre versioni di IOS ed aver anche provato ad implementare DHCP senza riuscirci, ho messo mano alle ACL, ed in effetti il probema era li..

Ora Funziona quasi tutto, nel senso che rimanipolando le ACL, prendendo come base questa configurazione: http://www.ciscoforums.it/viewtopic.php?t=9006

Ora non riesco a stabilire il tunnel VPN da remoto. Ci riesco solo se annullo le ACL 101. quindi il blocco dovrebbe avvenire in entrata dalla Dialer0 per via delle ACL 101... Ma non trovo la soluzione..

Questa è la mia config:

[m0m0_78]

Eh... eccola qui...


version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service internal
service sequence-numbers
!
hostname pincopallino
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging message-counter syslog
logging queue-limit 10000
logging buffered 4096
logging console critical
enable secret 5 ******
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
dot11 syslog
dot11 vlan-name WiFi vlan 1
!
dot11 ssid pincopallino
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 **********
!
no ip source-route
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.250 192.168.1.254
!
ip dhcp pool wpa-psk
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.253
dns-server 212.216.112.112 208.67.222.222
lease infinite

ip cef
ip inspect log drop-pkt
ip inspect name Firewall cuseeme
ip inspect name Firewall dns
ip inspect name Firewall ftp
ip inspect name Firewall h323
ip inspect name Firewall https
ip inspect name Firewall icmp
ip inspect name Firewall imap
ip inspect name Firewall pop3
ip inspect name Firewall rcmd
ip inspect name Firewall realaudio
ip inspect name Firewall rtsp
ip inspect name Firewall esmtp
ip inspect name Firewall sqlnet
ip inspect name Firewall streamworks
ip inspect name Firewall tftp
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall vdolive
ip name-server 212.216.112.112
ip name-server 208.67.222.222
!
!
vpdn enable
!
!
!
username caio password 7 ************
username sempronio privilege 15 password 7 ***************
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group remote-vpn
key a1z2b3v4
dns 192.168.1.254
wins 192.168.1.254
domain workgroup
pool remote-pool
acl 158
save-password
split-dns workgroup
max-users 10
max-logins 10
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address Dialer0
crypto map remotemap client authentication list default
crypto map remotemap isakmp authorization list remotemap
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
archive
log config
hidekeys
!
!
!
bridge irb
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl bitswap both
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid pincopallino
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
world-mode dot11d country IT both
l2-filter bridge-group-acl
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
no ip address
ip tcp adjust-mss 1452
bridge-group 1
!
interface Dialer0
ip address negotiated
ip access-group 101 in
ip mtu 1492
ip inspect Firewall out
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ******@alice.it password 7 *********
ppp ipcp dns request
ppp ipcp wins request
crypto map remotemap
!
interface BVI1
ip address 192.168.1.253 255.255.255.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip local pool remote-pool 192.168.100.0 192.168.100.100
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.100.0 255.255.255.0 Dialer0
no ip http server
no ip http secure-server
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source static tcp 192.168.1.254 5969 interface Dialer0 5969
ip nat inside source static udp 192.168.1.254 4444 interface Dialer0 4444
ip nat inside source static udp 192.168.1.254 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.254 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.1.254 6868 interface Dialer0 6868
ip nat inside source list 1 interface Dialer0 overload
!
logging history notifications
no logging trap
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ***Traffico abilitato ad entrare nel router da internet***
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 169.254.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.0.2.0 0.0.0.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 198.18.0.0 0.1.255.255 any
access-list 101 deny ip 224.0.0.0 0.15.255.255 any
access-list 101 deny ip any host 255.255.255.255
access-list 101 remark *** ACL PER PAT ***
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 remark *** FINE ACL PER PAT ***
access-list 101 permit udp host 212.216.112.112 eq domain any
access-list 101 permit udp host 208.67.222.222 eq domain any
access-list 101 permit tcp 192.168.100.0 0.0.0.255 eq 139 any
access-list 101 permit udp 192.168.100.0 0.0.0.255 eq netbios-ns any
access-list 101 permit udp 192.168.100.0 0.0.0.255 eq netbios-dgm any
access-list 101 permit tcp any any eq 4662
access-list 101 permit udp any any eq 4672
access-list 101 permit tcp any any eq 4444
access-list 101 permit udp any any eq 6868
access-list 101 permit tcp any any eq 5969
access-list 101 permit gre any any
access-list 101 deny icmp any any echo
access-list 101 deny ip any any log
access-list 102 remark Traffico abilitato ad entrare nel router dalla ethernet
access-list 102 permit ip any host 192.168.1.253
access-list 102 deny ip any host 192.168.1.255
access-list 102 deny udp any any eq tftp log
access-list 102 deny ip any 0.0.0.0 0.255.255.255 log
access-list 102 deny ip any 10.0.0.0 0.255.255.255 log
access-list 102 deny ip any 127.0.0.0 0.255.255.255 log
access-list 102 deny ip any 169.254.0.0 0.0.255.255 log
access-list 102 deny ip any 172.16.0.0 0.15.255.255 log
access-list 102 deny ip any 192.0.2.0 0.0.0.255 log
access-list 102 deny ip any 192.168.0.0 0.0.255.255 log
access-list 102 deny ip any 198.18.0.0 0.1.255.255 log
access-list 102 deny udp any any eq 135 log
access-list 102 deny tcp any any eq 135 log
access-list 102 deny udp any any eq netbios-ns log
access-list 102 deny udp any any eq netbios-dgm log
access-list 102 deny tcp any any eq 445 log
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any host 255.255.255.255
access-list 102 deny ip any any log
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner motd ^CC
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end


In sostanza ho risolto i problemi wireless,ma ora non riesco ad aprire il tunnel per la VPN.
Se elimino le ACL 101 funziona, quindi è per forza un problema di ACL..

Suggerimenti?

[Rizio]

Prova a togliere le deny alla rete 192.168.100.0 presenti nell'acl101.
In caso così non funzioni azzera l'acl e rifalla considerando il deny implicito alla fine perciò usando solo le permit, poi, eventualmente, quando tutto gira come pare a te inserisci le varie deny esplicite -prima di tutte le altre regole- e riprova se tutto va.

Rizio

[m0m0_78]

In caso così non funzioni azzera l'acl e rifalla considerando il deny implicito alla fine perciò usando solo le permit

Facendo così il risultato non cambia, funziona tutto tranne il tunnel, quindi sembra che non sia un problema di deny esplicite, ma di una mancanza di permit esplicite.... dico bene? Ma non dovrebbe essere "permit gre any any che fa passare il traffico VPN?

[blublublu]

per VPN IPSec UDP/500, UDP/4500 e ESP.

[Rizio]

Facendo così il risultato non cambia, funziona tutto tranne il tunnel, quindi sembra che non sia un problema di deny esplicite, ma di una mancanza di permit esplicite.... dico bene? Ma non dovrebbe essere "permit gre any any che fa passare il traffico VPN?

Dai un'occhio eventualmente agli inspect. Non posso provare però non vorrei che ci fosse un inspect preciso per l'esp (ho vaghi ricordi a riguardo ma non uso più quegli apparati perciò non riesco a confermartelo).
In ultimo io per i tunnel gre cifrati uso queste permit:

Codice: Seleziona tutto

permit esp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.xxx
permit udp host xxx.xxx.xxx.xxx eq isakmp host xxx.xxx.xxx.xxx eq isakmp

Il fatto è che se va quando togli l'acl non c'è tanto da girarci intorno, il problema è lì.
Forse la cosa migliore che puoi fare è una ricerca direttamente sul sito cisco e vedrai che di documentazione e howto ne trovi a valanghe e senza continuare ad andare per tentativi.

Rizio