Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA
 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 
Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
это асе скажите =)

вы не совcем верно меня поняли, вот как верно выглядит моя ситуация:
 
Cisco ASA DMZ ---> Office_LAN - поднялся
Cisco ASA LAN ---> Office_LAN - не поднимается.  
 
Мои сети
Код:
 
DMZ=172.16.0.0 255.255.255.0
LAN=172.16.1.0 255.255.255.0
Office_LAN=192.168.0.0 255.255.255.0  

 
Настройки Cisco ASA 5510
Код:
 
tunnel-group xx.xx.xx.4 type ipsec-l2l
tunnel-group xx.xx.xx.4 ipsec-attributes
pre-shared-key ********
isakmp keepalive threshold 10 retry 2
 
access-list Untrust_cryptomap_20 extended permit ip LAN 255.255.255.0 Office_LAN 255.255.255.0 log disable
crypto map Untrust_map 20 match address Untrust_cryptomap_20
crypto map Untrust_map 20 set peer xx.xx.xx.4
crypto map Untrust_map 20 set pfs group2
crypto map Untrust_map 20 set transform-set ESP-3DES-SHA
crypto map Untrust_map interface Untrust
 
access-list Untrust_cryptomap_30 extended permit ip DMZ 255.255.255.0 Office_LAN 255.255.255.0 log disable
crypto map Untrust_map 30 match address Untrust_cryptomap_30
crypto map Untrust_map 30 set peer xx.xx.xx.4
crypto map Untrust_map 30 set pfs group2
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map interface Untrust
 

 
Ошибки на Cisco ASA 5510
Код:
 
IPSEC: Received an ESP packet (SPI= 0xD75FC4A1, sequence number= 0x4432) from Office_Gate (user= xx.xx.xx.7) to yy.yy.yy.7.  The decapsulated inner packet doesn't match the negotiated policy in the SA.  The packet specifies its destination as 172.16.1.4 its source as 192.168.0.4, and its protocol as 17.  The SA specifies its local proxy as DMZ/255.255.255.0/0/0 and its remote_proxy as Office_LAN/255.255.255.0/0/0.  

 

 

Цитата:
а что непростого? downtime = время перезгрузки. примерно 2 минуты.  

ну мне страшновато такое делать, работает и нихай себе.
я бы с радостью обновился.  
а если железка не стартанёт, а если конфиг не подхватится ?
500 км быстрым темпом, часа через 3 будем на месте.
доунтайм получится приличным.
На чальство за короткие дауны мечет, а тут неизвестность.
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 17:34 18-08-2011 | Исправлено: slech, 17:39 18-08-2011
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
по тому куску, который присылаете - все ок.
что нужно для разбора полетов - я уже писал.
500 км или 5 тыс км.. какая разница?

Цитата:
а если железка не стартанёт, а если конфиг не подхватится ?  

пока такого не было=))) тьфу-тьфу...
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 12:55 19-08-2011
slech



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
Ну значит проблема может быть на другой стороне - где Mikrotik.
До этого стоял NetGear и оба тунельчика работали как нужно.
 
Спасибо.
 

Цитата:
500 км или 5 тыс км.. какая разница?  

в том как быстро мы сумеем добраться до устройства и решить проблему.
Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 13:05 19-08-2011 | Исправлено: slech, 16:14 19-08-2011
darkomen



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день , наблюдается медленная скорость передачи данных внутри ипсек туннеля на cisco asa 5520 5510 какие значения mtu tcpmss должны быть выставлены?
Всего записей: 272 | Зарегистр. 26-08-2003 | Отправлено: 17:16 25-08-2011
zubastiy

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
 
Подскажите, как правильно реализовать ограничения доступа.
 
Есть центральный офис, PIX515 и удаленный офис, ASA5505, IPSec между объектами, траффик бегает.
 
Каким образом можно запретить обращения любых хостов (кроме исключений) из центрального офиса в удаленный, но оставить возможность обращаться из удаленной сети в центральный офис без ограничений?
Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 15:09 27-08-2011
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zubastiy
vpn filter
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 08:59 30-08-2011
zubastiy

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть решение попроще (на антициско подсказали). Повесил ACL для разрешенных хостов на PIX и второй ACL запрещающих всех в удаленную сеть. Работает.
Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 12:36 30-08-2011 | Исправлено: zubastiy, 15:59 01-09-2011
zubastiy

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
 
Есть asa5505 и на ней надо подменять адрес source пакета приходящего из другой сети.
 
На антициске посоветовали следующую схему
все ip пакеты от 192.168.2.200 к 192.168.49.2 подменять на source 10.10.192.1 ну и обратно тоже
 
access-list SIEMENS extended permit ip host 192.168.2.200 host 192.168.49.2  
 
static (outside,inside) 10.10.192.1 access-list SIEMENS
 
и оно работает для tcp icmp но не работает для udp
делал телнет на 80 порт и пинговал - работает.
сделал nslookup - не работает.  
регистрация телефона (udp по порту 5060) не работает.
 
ICMP outside 10.10.192.1:13330 inside 192.168.49.2:0, idle 0:00:00, bytes 224
TCP outside 10.10.192.1(192.168.2.200):48298 inside 192.168.49.2:80, idle 0:00:26, bytes 0, flags UB
UDP outside 192.168.2.200:48906 inside 192.168.49.2:53, idle 0:01:33, bytes 84, flags -  
UDP outside 192.168.2.200:45156 inside 192.168.49.2:53, idle 0:01:33, bytes 46, flags -
UDP outside 192.168.2.200:5060 inside 192.168.49.2:5060, idle 0:00:26, bytes 179955, flags -
ICMP outside 10.10.192.1:13330 inside 192.168.49.2:0, idle 0:00:00, bytes 224
 
добавлял правило явно для UDP но не работает.
 
у udp псевдозаголовки с адресатом и получателем и мб по этому аса не подменяет адреса.
 
как заставить работать подмену адресов для udp ?
Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 20:26 14-09-2011 | Исправлено: zubastiy, 20:28 14-09-2011
AlOne



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Господа, обратите, плиз, внимание на сегодняшнюю вакансию. Может заинтересует кого? Горит.
Всего записей: 695 | Зарегистр. 14-11-2003 | Отправлено: 12:01 15-09-2011
iiihypok87



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый, для кого и утро. Прошу подсказать по настройке PIXа. Столкнулся с ними совсем недавно, поэтому не всё ещё знаю как писать и мог упустить что то в конфиге, вот и прошу указать на ошибку. PIX 525.  
 
IMHO. проблему решил, всем спасибо. сам додумался
Всего записей: 1 | Зарегистр. 12-10-2011 | Отправлено: 06:31 12-10-2011 | Исправлено: iiihypok87, 13:14 14-10-2011
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пришлось переставлять винду, кто подскажет ASDM-IDM Launcher v 1.5(41), под какой версией явы работает, со свежими никак запускаться нехочет?
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 12:52 12-10-2011
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Под 1.6.0_02 работало точно.
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 15:00 12-10-2011
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Под 1.6.0_02 работало точно.

Неповеришь, на старой тачке у меня работал под 1.6.22, причем стояли оба билда и 32 и 64 бит, а на новой с шестой версией нифига нехочет, сначала говорит, что типа с длл проблемы, а потом типа с явой, на последней 5-ой версии заработал
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 15:41 12-10-2011
root0



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
to Vic
 
Скорее всего причина не в ЯВЕ - если ты крутил настроки SSL на АСЕ, то поставь их по умолчанию и тогда все заработает ))))
 
P.S. Сам когда-то попадался на это фигне, а так ASDM работает с любои версии JAVA
Всего записей: 3965 | Зарегистр. 26-09-2008 | Отправлено: 16:10 12-10-2011
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
root0

Цитата:
корее всего причина не в ЯВЕ - если ты крутил настроки SSL на АСЕ, то поставь их по умолчанию и тогда все заработает ))))

 
А я грешу на нею, т.к. на пятой версии заработало, и ругается она на явские длл-ки
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 16:31 12-10-2011 | Исправлено: Vic, 16:35 12-10-2011
root0



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
to Vic
 
Чудес не бывает - была аналогичная ситуация на каких-то версиях работало на каких-то нет  
 
P.S. Посмотри на других устроиствах если таковы имеются )))))
Всего записей: 3965 | Зарегистр. 26-09-2008 | Отправлено: 16:45 12-10-2011 | Исправлено: root0, 16:47 12-10-2011
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
root0

Цитата:
P.S. Посмотри на других устроиствах если таковы имеются )))))

 
Да другие устройства имеются, ситуация абсолютна одинакова на всех устройствах, что толку, говорю на этапе запуска все валится, т.е. даже до логона недоходит
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 18:15 12-10-2011 | Исправлено: Vic, 18:20 12-10-2011
St_lt_rub

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
 
Имеем вот такую схему:
http://img839.imageshack.us/img839/6610/bb4eqgqbeaemaqybdsenqq9.png
 
PIX-525, Software Version 7.2(3)
 
Должно быть: два маршрутизатора (R2,R3) обращаясь телнетом(как пример) из внешней сети на PIX (на два разных адреса (172.16.1.11 для R2 и 172.16.1.12 для R3)) оба должны попадать на маршрутизатор (R1) находящийся во внутренней сети, причем попадать на один и тот же адрес.
 
PIX
Код:
!
interface Ethernet0
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface Ethernet1
nameif outside
security-level 0
ip address 172.16.1.1 255.255.255.0
!
access-list NAT1 extended permit ip host 192.168.1.1 host 172.16.1.2
access-list NAT2 extended permit ip host 192.168.1.1 host 172.16.1.3
access-list TEST extended permit ip any any
static (inside,outside) 172.16.1.11  access-list NAT1
static (inside,outside) 172.16.1.12  access-list NAT2
access-group TEST in interface outside
 
 
Далее с R2 и R3 пробуем зайти на R1:
Код:
R2#telnet 172.16.1.11
Trying 172.16.1.11 ... Open
User Access Verification
Username: admin
Password:
R1>
 
R3# telnet 172.16.1.11
Trying 172.16.1.11 ... Open
User Access Verification
Username: admin
Password:
R1>
 
 
Как видим с R3 также есть доступ хотя по 172.16.1.11 быть его не должно, смотрим packet-tracer, обращаем внимание на Phase: 2 и 6
 
Код:
pix-test(config-if)# packet-tracer input outside tcp 172.16.1.3 telnet 172.16.1.11  telnet detailed
 
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
 
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,outside) 172.16.1.11  access-list NAT1
  match ip inside host 192.168.1.1 outside host 172.16.1.2
    static translation to 172.16.1.11
    translate_hits = 0, untranslate_hits = 4
Additional Information:
NAT divert to egress interface inside
Untranslate 172.16.1.11/0 to 192.168.1.1/0 using netmask 255.255.255.255
 
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group TEST in interface outside
access-list TEST extended permit ip any any
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x391b5c8, priority=12, domain=permit, deny=false
        hits=4, user_data=0x391b588, cs_id=0x0, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0
 
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in  id=0x3936fa0, priority=0, domain=permit-ip-option, deny=true
        hits=4, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0
 
Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
static (inside,outside) 172.16.1.12  access-list NAT2
  match ip inside host 192.168.1.1 outside host 172.16.1.3
    static translation to 172.16.1.12
    translate_hits = 0, untranslate_hits = 1
Additional Information:
Forward Flow based lookup yields rule:
out id=0x391b0e8, priority=5, domain=nat-reverse, deny=false
        hits=2, user_data=0x391ae08, cs_id=0x0, flags=0x0, protocol=0
        src ip=172.16.1.3, mask=255.255.255.255, port=0
        dst ip=192.168.1.1, mask=255.255.255.255, port=0
 
Phase: 6
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) 172.16.1.11  access-list NAT1
  match ip inside host 192.168.1.1 outside host 172.16.1.2
    static translation to 172.16.1.11
    translate_hits = 0, untranslate_hits = 4
Additional Information:
Reverse Flow based lookup yields rule:
in  id=0x391a9e0, priority=5, domain=host, deny=false
        hits=9, user_data=0x391a458, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=192.168.1.1, mask=255.255.255.255, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0
 
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in  id=0x390fc00, priority=0, domain=permit-ip-option, deny=true
        hits=4, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=0.0.0.0, mask=0.0.0.0, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0
 
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 4, packet dispatched to next module
Module information for forward flow ...
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_fp_tracer_drop
snp_ifc_stat
 
Module information for reverse flow ...
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_fp_tracer_drop
snp_ifc_stat
 
Phase: 9
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.1.1 using egress ifc inside
adjacency Active
next-hop mac address ca00.17d0.0000 hits 76
 
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
 
 
Понятно что acl TEST можно сделать более конкретным и все будет работать как надо, но поставлено условие: acl TEST должен быть максимально общим
 
Вобщем вопрос в следующем: почему так происходит, ведь тип транслируемого трафика явно указан и как это побороть при условии, что отфильтровать входящий трафик с помощью ACL мы не можем.
Всего записей: 3 | Зарегистр. 19-10-2011 | Отправлено: 11:52 20-10-2011
dagestanec



Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
123
Всего записей: 26 | Зарегистр. 05-04-2005 | Отправлено: 15:39 09-11-2011
koeagla

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добрый день, ни разу не пользовался cisco тем более asa. принесли 5010 и 5005 АСАшки
сказали надо настроить, чтобы работало, мало того , что циско , так еще и асашка ( специфичная штука ). Может кто нибудь подсказать - как реализовать туннель между цисками лучше в конфигах, чтобы было откуда отталкиваться, примеры найденные в инете или просто ошибку при вписании конфига дают или просто не так работают , а времени изучать нет, мешают другие задачи
схема сети  
10.10.2.x сеть локальная <--> 10.10.2.254 (ASA5510) 10.1.1.1 -----------vpn от провайдера прозрачный  (еще возможен второй канал через инет )    10.1.1.2 (ASA5505) 10.10.3.x
 
но будет еще две точки подключаемые или через впн от провайдера прозрачный для нас  
тоже на ASA5505 10.10.4.x 10.10.5.x внутренние сети  
и хотелось бы организовать возможность подключения к циске через инет по впн компов или длинк роутеров...
 
сейчас сделано все на длинках.
Всего записей: 1 | Зарегистр. 02-04-2008 | Отправлено: 12:59 24-11-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru