Cisco - angemeldete Benutzer?
Hallo liebe Gemeinde,
ich habe ein Problem. Und zwar habe ich ein CISCO 1712 im Einsatz, soweit jedoch nicht so schlimm ;).
Jetzt will ich mir die angemeldeten Benutzer bzw. Anmeldungshistorie sehen. Aber ich finde nix.
Kann man sich die Benutzer anzeigen lassen die sich per VPN verbunden haben und wenn ja wie?
Ich bekomme derzeit leider nur "denied"-Meldungen für Pings etc..
Irgend welche Ideen?
Ich kann mich über SDN einwählen (jedoch nicht ändern) sowie über telnet komme ich aufs System (Konfig. änderbar)
Mfg
Ralf
ich habe ein Problem. Und zwar habe ich ein CISCO 1712 im Einsatz, soweit jedoch nicht so schlimm ;).
Jetzt will ich mir die angemeldeten Benutzer bzw. Anmeldungshistorie sehen. Aber ich finde nix.
Kann man sich die Benutzer anzeigen lassen die sich per VPN verbunden haben und wenn ja wie?
Ich bekomme derzeit leider nur "denied"-Meldungen für Pings etc..
Irgend welche Ideen?
Ich kann mich über SDN einwählen (jedoch nicht ändern) sowie über telnet komme ich aufs System (Konfig. änderbar)
Mfg
Ralf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 36166
Url: https://administrator.de/contentid/36166
Ausgedruckt am: 26.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
hallo ralph,
versuch es mal mit
"show crypto session detail"
kurzversion: "sh cry sess det"
sind dies viele ? ansonsten kannst du nach einer speziellen suchen, indem du das kommando mit
| include gesuchter-name
ergänzt.
ps: "|" ist die 'pipe' - <AltGr> und < drücken ) und sag bescheid, ob es was bringt ....
versuch es mal mit
"show crypto session detail"
kurzversion: "sh cry sess det"
sind dies viele ? ansonsten kannst du nach einer speziellen suchen, indem du das kommando mit
| include gesuchter-name
ergänzt.
ps: "|" ist die 'pipe' - <AltGr> und < drücken ) und sag bescheid, ob es was bringt ....
hallo ralph,
versuch mal noch
sh crypto isakmp peers
wenn du einen sauberen log willst, sollte ein radius (free oder windows) oder tacacs-server (cisco) als authentifizierungs-db benutzt werden. Diese können dann z.B. auch deine windows domäne benutzen, so dass sich die user mit ihren gewohnten passworten am vpn anmelden können. auch verschiedene gruppen sind dann möglich und zuweisung von access-listen ))
ggf. kann man auch versuchen diverse debugs zu verwenden (muss man aber nach jedem reboot neu setzen)
z.B.
debug crypto isakmp
oder andere und versuchen, ob man da den user sieht.
das ganze dann auf einen syslogserver loggen und vielleicht einmal am tag das log per script auswerten auswerten.
musst du selbst etwas scipteln
leider gibt es keine vernünftige history (gibts auch beim isdn nicht).
leider habe ich hier keine vpn-clients an einem ios-router (noch nicht), so dass ich die phase2-authentication mit dem user nicht für dich suchen kann.
aber vielleicht kommst du mit diesen infos zurecht.
gruss
olli
versuch mal noch
sh crypto isakmp peers
wenn du einen sauberen log willst, sollte ein radius (free oder windows) oder tacacs-server (cisco) als authentifizierungs-db benutzt werden. Diese können dann z.B. auch deine windows domäne benutzen, so dass sich die user mit ihren gewohnten passworten am vpn anmelden können. auch verschiedene gruppen sind dann möglich und zuweisung von access-listen ))
ggf. kann man auch versuchen diverse debugs zu verwenden (muss man aber nach jedem reboot neu setzen)
z.B.
debug crypto isakmp
oder andere und versuchen, ob man da den user sieht.
das ganze dann auf einen syslogserver loggen und vielleicht einmal am tag das log per script auswerten auswerten.
musst du selbst etwas scipteln
leider gibt es keine vernünftige history (gibts auch beim isdn nicht).
leider habe ich hier keine vpn-clients an einem ios-router (noch nicht), so dass ich die phase2-authentication mit dem user nicht für dich suchen kann.
aber vielleicht kommst du mit diesen infos zurecht.
gruss
olli
hallo ralph,
du hast die die access-listen mit 'sh access-lists' anzeigen lassen.
da ich die netzwerkstruktur und die gebundenen adressen nicht kenne, kann ich nicht viel dazu sagen.
die einzelnen dienste kennst du ?
ansonsten schau mal im internet unter 'portnumbers' oder 'portnummern'-liste oder schau dir auf deinem rechner die "sevices"-datei an (unix: /etc/services) - dort stehen zumindest die gängigsten drin.
schlecht ist der eintrag
100 permit icmp any any (144 matches)
dieser erlaubt icmp (ping, traceroute) von jedem zu jedem.
man sollte diesen zumindest auf
100 permit icmp any any host-unreachable
ändern.
so dass wenigstens die fehler-korrektur des netzwerkes funktioniert, aber nicht jeder das netz tracen kann.
gruss
olli
du hast die die access-listen mit 'sh access-lists' anzeigen lassen.
da ich die netzwerkstruktur und die gebundenen adressen nicht kenne, kann ich nicht viel dazu sagen.
die einzelnen dienste kennst du ?
ansonsten schau mal im internet unter 'portnumbers' oder 'portnummern'-liste oder schau dir auf deinem rechner die "sevices"-datei an (unix: /etc/services) - dort stehen zumindest die gängigsten drin.
schlecht ist der eintrag
100 permit icmp any any (144 matches)
dieser erlaubt icmp (ping, traceroute) von jedem zu jedem.
man sollte diesen zumindest auf
100 permit icmp any any host-unreachable
ändern.
so dass wenigstens die fehler-korrektur des netzwerkes funktioniert, aber nicht jeder das netz tracen kann.
gruss
olli