Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
asm74
несколько раз прочитал
"Второй вопрос - где прочитать, как открытые с одного белого адреса порты можно мапить на несколько хостов внутри локалки, например 212.154.210.6:8080 на 192.168.1.10:8080, 212.154.210.6:8081 на 192.168.1.15:8081 и тд. Те мануалы что я нашёл, подразумевают схему один белый адрес и порт - один внутренний адрес и порт"
и не понял отличия между тем, что надо и тем, что написано в мануалах.
посоветовали верно
static (inside,outside) tcp 212.154.210.6 8080 192.168.1.10 8080 netmask 255.255.255.255  
static (inside,outside) tcp 212.154.210.6 8081 192.168.1.15 8081 netmask 255.255.255.255  
 
не забудьте открыть соответствующие порты на асе.
 
Сервер на том же интерфейсе, что и пользователи?
не пробовали вынести его в отдельный интерфейс, например dmz?

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 12:17 19-11-2009 | Исправлено: ESX091, 13:02 19-11-2009
jofri09

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здраствуйте. У меня проблема с фаерволом cisco pix 506e.  
Не осталось ничего от него. Только сетевой шнур. Вопросы: используем провода кросс-овер.? Как попасть в его конфиги? Если нет консольного кабеля. Может его спаять? Распайку никак не пойму. Рдж45-да9. Такая же? Спасибо.

Всего записей: 2 | Зарегистр. 18-11-2009 | Отправлено: 13:01 19-11-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://www.tts.lt/wired/data/CiscoConsole9.html

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 13:05 19-11-2009
asm74



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Delfinok
спасибо за ответ.

Цитата:
Не очень понятен смысл такого сценария.. Зачем из той же подсети, что и сервер назначения, пытаться достучаться до него через внешний IP шлюза..

Проблема примерно таже, что и описана здесь:
http://forum.ru-board.com/topic.cgi?forum=8&topic=0854&start=60#12
 
ДНС указывает на реальный адрес. Когда пользователь снаружи, всё работает нормально, когда внутри - тут либо надо поднимать отдельный ДНС для этой же зоны с указанием внутреннего адреса, либо выносить ДНС куда то наружу и включать преобразование ДНС-ответов в ASA. Вариант с исправлением файла hosts, как у автора поста выше, мне не подходит, второй ДНС поддерживать ради 3-4 хостов, которые доступны из интернета - тоже выглядит как костыль.

Цитата:
И понятия "белая" "серая" я встречал только в отношении зарплаты =)  

Вроде бы в русском это устойчивые выражения:
http://www.google.com/search?q=%D0%B1%D0%B5%D0%BB%D1%8B%D0%B9+ip+%D0%B0%D0%B4%D1%80%D0%B5%D1%81
http://www.google.com/search?q=%D1%81%D0%B5%D1%80%D1%8B%D0%B9+ip+%D0%B0%D0%B4%D1%80%D0%B5%D1%81
 
Добавлено:
ESX091

Цитата:
Сервер на том же интерфейсе, что и пользователи?  
не пробовали вынести его в отдельный интерфейс, например dmz?

 
нет, для серверов есть отдельные реальные адреса, есть такая возможность. Не хотелось бы выносить КД и Exchange в DMZ, но если других вариантов нет, то буду пробовать так.

Всего записей: 261 | Зарегистр. 30-12-2003 | Отправлено: 18:53 19-11-2009
at200859



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Провайдер подключает к интернет через PPPoE. Протокол проверки пароля MS-CHAP. По моей просьбе провайдер включил поддержку MS-CHAP версии 1 и 2. Никак не могу поднять PPPoE на моей ASA 5505 (ver 8.2(1)).
Настройка в ASA 5505:
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group yyy
 ip address pppoe
 
vpdn group yyy request dialout pppoe
vpdn group yyy localname xxx
vpdn group yyy ppp authentication mschap
vpdn username xxx password ********* store-local
 
На ASA 5505 включил:
debug pppoe error 255
debug pppoe event 255
debug pppoe packet 255
 
и получил такой лог:
PPPoE: send_padi:(Snd) Dest:ffff.ffff.ffff Src:001d.45fd.565f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
PPPoE: Type:0101:SVCNAME-Service Name Len:0
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a5f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:07=PADO Sess:0 Len:54
PPPoE: Type:0102:ACNAME-AC Name Len:6
PPPoE: pppoe1
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0104:ACCOOKIE-AC Cookie Len:20
PPPoE: AF205E21
PPPoE: 119D7EB2
PPPoE: 0BFD40B2
PPPoE: 7C62E719
PPPoE:
 
PPPoE: C6050000
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PADO
PPPoE: PPPoE: Service name 'any' not found in PADO
PPPoE: send_padr:(Snd) Dest:0026.18bc.4a5f Src:001d.45fd.565f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:19=PADR Sess:0 Len:54
PPPoE: Type:0102:ACNAME-AC Name Len:6
PPPoE: pppoe1
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0104:ACCOOKIE-AC Cookie Len:20
PPPoE: AF205E21
PPPoE: 119D7EB2
PPPoE: 0BFD40B2
PPPoE: 7C62E719
PPPoE:
 
PPPoE: C6050000
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a6d Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:07=PADO Sess:0 Len:54
PPPoE: Type:0102:ACNAME-AC Name Len:6
PPPoE: pppoe2
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0104:ACCOOKIE-AC Cookie Len:20
PPPoE: 398B5253
PPPoE: ABA45388
PPPoE: D15DCB34
PPPoE: C2CA208D
PPPoE:
 
PPPoE: C6050000
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PADO
PPPoE: PPPoE: Unsolicited PADO, Invalid session state
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a5f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:65=PADS Sess:4 Len:20
PPPoE: Type:0101:SVCNAME-Service Name Len:8
PPPoE: ts-pppoe
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 0000002F
PPPoE: PADS
PPPoE: IN PADS from PPPoE tunnel
PPPoE: Service name 'any' not found in PADS
PPPoE: Opening PPP link and starting negotiations.
PPPoE: PPPoE:(Rcv) Dest:001d.45fd.565f Src:0026.18bc.4a5f Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:A7=PADT Sess:4 Len:43
PPPoE: Type:0203:GENERICERR-Generic Error Len:39
PPPoE:
 
PPPoE: RP-PPPoE: Child pppd process terminated
PPPoE: PADT
PPPoE: Shutting down client session
 
Для проверки кабеля, правильности логин-пароля смог успешно подключиться из-под Windowxs XP используя протоколы MS-CHAP версии 1 и 2 по отдельности. Но что делать с ASA 5505? Как на ней запустить PPPoE? Подскажите пожалуйста.

Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 17:26 23-11-2009 | Исправлено: at200859, 11:07 27-11-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
at200859
 
Какой mtu на outside интерфейсе?
Должен быть
mtu outside 1492

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 13:27 27-11-2009
at200859



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091

Цитата:
mtu outside 1492  

да. именно такой и есть.

Всего записей: 53 | Зарегистр. 18-02-2003 | Отправлено: 13:32 27-11-2009
zeropv



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Помогите разобраться с PIX 506E (6.3(5))
Пикс находится в локалке 10.0.26.x Настроен NAT (PAT), который выпускает сетку 192.168.0.x в 10.0.0.0 через айпи внешнего интерфейса. на обоих интерфейсах ip any any Все просто. Делалось для доступа в интеренет нескольким машинам, к-е идут через http-проксю под одним аккаунтом. Интернет работеает. НО проблема с Microsoft network или netbios... хз. заключается в следующем. Если одна из машин (192.168.0.х) копирует файл с \\server1\shara_x и при этом к  \\server1\shara_y подключается другая машина из 192.168.0.x происходит обрыв связи.  
В логах пикса есть сообщения связанные с RESET-I RESET-O.

Всего записей: 1 | Зарегистр. 22-07-2009 | Отправлено: 13:46 02-12-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
at200859
если проблема не решилась, то постараюсь кошку притащить домой и потестить.
полного конфига не видел, выложи или скиньте в личку плз
как вариант ip address outside pppoe setroute
или ip address outside х.х.х.х 255.255.255.0 pppoe

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 14:53 04-12-2009 | Исправлено: ESX091, 14:54 04-12-2009
molotok666

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
 
Подскажите, может ли PIX 501 работать как маршрутизатор. Необходим доступ к сети за inside интерфейсом и наоборот. Если возможно с описанием данного решения.

Всего записей: 15 | Зарегистр. 22-04-2007 | Отправлено: 10:09 24-12-2009
taelas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
molotok666
укажи конфигурацию сети поточнее.

Всего записей: 158 | Зарегистр. 24-01-2006 | Отправлено: 13:43 26-12-2009
molotok666

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
inside 192.168.1.0/24
outside 192.168.2.0/24

Всего записей: 15 | Зарегистр. 22-04-2007 | Отправлено: 12:27 28-12-2009
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
molotok666
пиксы и работают как маршрутизаторы.
если точнее опишите, что требуется и какой софт стоит на писке, то будет и решение.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 10:32 29-12-2009
3I4I5D

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть вопрос к спецам по VPN на Cisco (PIX 515E)
 
Есть провайдер, на котором поднят VPN сервер, необходимо к нему подключить клиентом мой PIX (515E)  
 
Делаю так: (из config)

Код:
PIX Version 8.0(4)  
!
interface Ethernet0
 nameif outside
 security-level 0
 pppoe client vpdn group mag
 ip address pppoe setroute  
!
vpdn group mag request dialout pppoe
vpdn group mag localname vpn.user
vpdn group mag ppp authentication chap
vpdn username vpn.user password ******** store-local
!

Остальное по умолчанию
 
 
Запускаю дебуг pppoe:

Код:
pix(config)# deb pppoe er
pix(config)# deb pppoe ev
pix(config)# deb pppoe pac

 
дебаг показывает:

Код:
PPPoE: send_padi:(Snd) Dest:ffff.ffff.ffff Src:000d.28b1.a22d Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:09=PADI Sess:0 Len:12
PPPoE: Type:0101:SVCNAME-Service Name Len:0
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:4
PPPoE: 00000001
PPPoE: padi timer expired

 
Запускаю каптуру

Код:
pix# cap all int outside

 
Каптура показывает, что пакеты выходят:

Код:
PPPoE Session ID 0 len 12: PPPoED: Active Discovery Initiation (PADI)

 
Связи нет    :(
 
Настраиваю клиента VPN в винде, связывается прекрасно. При этом каптура в PIXе (PIX и винда в одном хабе) показывает:

Код:
PPPoE Session ID 0 len 19: PPPoED: Active Discovery Initiation (PADI)

 
дебаг в PIXе показывает:

Код:
PPPoE: PPPoE:(Rcv) Dest:ffff.ffff.ffff Src:001a.13b3.b94c Type:0x8863=PPPoE-Discovery
PPPoE: Ver:1 Type:1 Code:09=PADI Sess:0 Len:19
PPPoE: Type:0101:SVCNAME-Service Name Len:3
PPPoE: stk
 
PPPoE: Type:0103:HOSTUNIQ-Host Unique Tag Len:8
PPPoE: 0F000000
PPPoE: C5000000
PPPoE: PADI

 
Как не трудно заметить разница в Service Name и в Host Unique.  
 
В винде при настройке клиента имя сервиса "stk" вносится в ручную, вопрос:
1. Как в пиксе ввести Service Name?
2. Как настроить Host Unique Tag?
Да, если в винде имя сервиса "stk" убрать, то связи, так же как и на пиксе, не будет.
 
В винде при настройке клиента выбираю протокол проверки пароля "chap", после того как связь установилась, свойства соединения показывает тип проверки "MD5 CHAP"
3. Как в пиксе можно это сделать?
 
Кто знает, подскажите куда курить мануал? Уже неделю маюсь   :[
Спасибо!

Всего записей: 4 | Зарегистр. 17-01-2010 | Отправлено: 19:02 17-01-2010 | Исправлено: 3I4I5D, 19:23 17-01-2010
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
3I4I5D
А лицензия случаем не unrestricted?
Если нет, то покажите
show ip address outside pppoe
show vpdn session pppoe
show vpdn pppinterface

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 23:03 17-01-2010
3I4I5D

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut
 
лицензия restricted
 

Код:
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
ISAKMP peers: Unlimited

 
Есть еще ключ на VPN-3DEC-AES
 

Код:
Failover: Disabled  
VPN-DES: Enabled    
VPN-3DES-AES: Enabled    
FO: Disabled  
FO-AA: Disabled  
Security Contexts: Default    
GTP/GPRS: Disabled  
 

 
не работает ни там, ни там...
 
"show ..." пока не могу выдать (далеко) но ничего интересного там нет, вообще ничего,  
show vpdn session state выдает, что-то типа stat SEND (по памяти) и все, остальное все пусто... только где-то счетчик посылок увеличивается, не помню точно где
 
Если "show ..." все еще нужны, вечером выдам
 
Суть в том что если в винде имя сервиса поменять на любое другое кроме "stk" то происходить в точности то же самое, то есть через 30 сек - timer expired

Всего записей: 4 | Зарегистр. 17-01-2010 | Отправлено: 07:40 18-01-2010 | Исправлено: 3I4I5D, 07:50 18-01-2010
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
3I4I5D
хорошо, а если группу назвать не mag, а stk ? Но этим поле svcname не измените. По сути-то конфигурация правильная. Имя пользователя такое и есть ?
PS Кстати, частенько такое решение стало встречаться у провадеров, этим фактически отрубают возможность ипользования cisco.

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 10:34 18-01-2010 | Исправлено: slut, 10:47 18-01-2010
3I4I5D

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut
Только что разговаривал с провайдером (с поддержкой) пытались с двух сторон проверить связь
Действительно пустое поле сервиса они не поддерживают
Признался что такие проблемы у них уже были, посоветовал обратится к менеджерам с целью разруливания...
Они ведь всю циску кидают этим...
Циска тоже хороша, есть поле по стандарту? - почему оно должно быть пустым и неизменяемым?
 
Даж не знаю, как рулить...

Всего записей: 4 | Зарегистр. 17-01-2010 | Отправлено: 11:04 18-01-2010
foruru

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
здравствуйте, уважаемые!
Помогите разобраться с pix 506. Пытаюсь настроить интернет для локальной сети. Pix принимает настройки провайдера через dhcp на outside. С него все ip адреса внешние пинугются нормально. Т.е. интернет есть. У пользователей интернет тоже как бы есть, но только выход в инете по ip-адресам веб-ресурсов катит. DNS проавайдера не видит никто. В самом пиксе также не понятно где ДНС провайдера вписывать.
DHCP сервер для внутренней сети отключен.
По идее все долджно быть легко и просто, но не получается чего-то..

Всего записей: 1 | Зарегистр. 10-04-2006 | Отправлено: 15:40 18-01-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
foruru
попробуйте команду
dns domain-lookup outside

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 14:59 25-01-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru