dimaonline Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть Cisco ASA 5510 Adaptive Security Appliance with Security Plus License and AIP-SSM-10 (chassis, software, 2 Gigabit Ethernet interfaces, 3 Fast Ethernet interfaces, 250 IPsec VPN peers, 2 SSL VPN peers, Active/Active high availability, 3DES/AES) - ASA5510-AIP10SP-K9   Версии: ASA 8.0(4)16 ASDM 6.1(5)57 IPS - IPS-K9-7.0-1-E3   Как обновлять ASA и ASDM известно (хотя читая релизы на ASA 8.4(1) я узнал, что он сильно изменился, типа нужно сначала на 8.3 переходить и downgrade в случае "чаго" сложный, так как не все номанды из текущего конфига воспринимаются, как следствие конфиг полностью нужно переделывать).   Меня больше интересует обновление IPS в теме Cisco Security Software   выложили кучу файлов : IPS-CS-MGR-sig-S567-req-E4.zip IPS-sig-S567-req-E4.pkg IOS-S556-CLI.pkg sigv5-SDM-S555.zip   Я вот не пойму - у меня сейчас версия оканчивается на E3. Подойдет ли версия от E4 (нужен ли какой-то переход-миграция) или нужно искать только от E3? Честно говоря не понимаю, как к этим файлам подступиться. Хоть бы ссылки на   инструкцию по обновлению указали (что первое обновлять, что второе и так далее). Всего записей: 237 | Зарегистр. 02-09-2007 | Отправлено: 14:59 27-05-2011

dimaonline Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да не слабо, только там не разъясняют, что эти файлы значат и для чего они. Например, чем отличается IPS-CS-MGR-sig-S567-req-E4.zip от IPS-sig-S567-req-E4.pkg или sigv5-SDM- ... ? мне кажется по сравнению с предыдущими вопросами эти вопросы не так тривиальны. Всего записей: 237 | Зарегистр. 02-09-2007 | Отправлено: 00:21 29-05-2011

dimaonline Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VPN PPTP на нем есть, но в старых версиях (просто уже непомню с какой версии PPTP убрали, а так он там был - сам настраивал где-то еще лет 8 назад) Всего записей: 237 | Зарегистр. 02-09-2007 | Отправлено: 17:13 08-06-2011

dimaonline Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не могу утверждать про 501, но 515 Version 6.3(3) был PPTP СЕРВЕРОМ (а не клиентом, т.е. Windows должен выступать PPTP клиентом). Начиная кажется с версии 7 эту фичу убрали.   Вот хотя бы пример http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080143a5d.shtml Всего записей: 237 | Зарегистр. 02-09-2007 | Отправлено: 15:10 09-06-2011 | Исправлено: dimaonline, 15:11 09-06-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору подскажите пожалуйста: тонель не хочет подниматься. Cisco ASA DMZ ---> Office_LAN - поднялся Cisco ASA LAN ---> Office_LAN - не поднимается.   Пробую с нуля создать тонели, настройка на стороне Cisco: Код:   tunnel-group xx.xx.xx.4 type ipsec-l2l tunnel-group xx.xx.xx.4 ipsec-attributes pre-shared-key ******** isakmp keepalive threshold 10 retry 2   access-list Untrust_cryptomap_20 extended permit ip LAN 255.255.255.0 Office_LAN 255.255.255.0 log disable crypto map Untrust_map 20 match address Untrust_cryptomap_20 crypto map Untrust_map 20 set peer xx.xx.xx.4 crypto map Untrust_map 20 set pfs group2 crypto map Untrust_map 20 set transform-set ESP-3DES-SHA crypto map Untrust_map interface Untrust   access-list Untrust_cryptomap_30 extended permit ip DMZ 255.255.255.0 Office_LAN 255.255.255.0 log disable crypto map Untrust_map 30 match address Untrust_cryptomap_30 crypto map Untrust_map 30 set peer xx.xx.xx.4 crypto map Untrust_map 30 set pfs group2 crypto map Untrust_map 30 set transform-set ESP-3DES-SHA crypto map Untrust_map interface Untrust   и оба тонеля поднимаются и работают.   Код:   clear isakmp sa   и всё, LAN тонель более не поднимается с ошибкой:   Цитата:   IPSEC: Received an ESP packet (SPI= 0xD75FC4A1, sequence number= 0x4432) from Office_Gate (user= xx.xx.xx.7) to yy.yy.yy.7.  The decapsulated inner packet doesn't match the negotiated policy in the SA.  The packet specifies its destination as 10.0.0.4, its source as 192.168.0.4, and its protocol as 17.  The SA specifies its local proxy as DMZ/255.255.255.0/0/0 and its remote_proxy as Office_LAN/255.255.255.0/0/0.     Может кто встречал как побороть ? Спасибо. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 03:33 13-08-2011 | Исправлено: slech, 03:34 13-08-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ESX091   Цитата: какое значение у DMZ, LAN и Office_LAN?   DMZ=172.16.0.0 LAN=172.16.1.0 OfficeLAN=192.168.0.0 Цитата:   странные acl, а именно сочетания LAN, DMZ, Office_LAN и маски 255.255.255.0   DMZ=172.16.0.0 255.255.255.0 LAN=172.16.1.0 255.255.255.0 OfficeLAN=192.168.0.0 255.255.255.0 вроде нормально всё: Цитата:   access-list Untrust_cryptomap_20 extended permit ip 172.16.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable access-list Untrust_cryptomap_30 extended permit ip 172.16.0.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable     Задача подключить офисную сеть к 2-ум подсетя которые на Cisco ASA.   Конфиг просто большой, даже незнаю что оттуда может помочь. Затык появляется именно с VNP. Бегал я по ASDM, пока Cisco не стала тяжело отзываться. Потом и вовсе перестала пакеты через себя пропускать. Каким-то чудом моя консоль уцелела. copy startup-config running-config - она долго что-то давила, что не может применить потому что уже есть. Потом reset и только после этого она ожила. Аптайм был более 2-ух лет, может поэтому её подколбасило так. Аж страшновато запускать ASDM уже. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 23:26 15-08-2011 | Исправлено: slech, 23:31 15-08-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: The packet specifies its destination as 10.0.0.4, its source as 192.168.0.4, and its protocol as 17 это я всё сети свои скрываю. правильно интерпретировать будет так: Цитата: The packet specifies its destination as 172.16.1.4, its source as 192.168.0.4, and its protocol as 17   Добавлено: Цитата: пора бы софт поменять.... так это жтоже непросто. железка то одна. хостинг в штатах, километров за 500 от ближайших сотрудников. вобщем всё как всегда. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 21:10 16-08-2011 | Исправлено: slech, 21:11 16-08-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование