lim Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору День добрый! Подскажите, а можно ли каким-то образом на ASA установить фильтр на IP для определённой tunnel-group. Т.е. чтобы определённый vpn устанавливался только с определённого IP-source? Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 07:02 21-03-2012

Bock Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору http://cisco-ru.livejournal.com/341877.html - мне там помогли. Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 23:35 21-03-2012

lim Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Спасибо за ответ, но всё же vpn-filter используется для ограничения доступа к сетям, которые передаются внутри тоннеля. А меня интересовал вариант установки IPSec c определённого внешнего IP-адреса. Поправьте меня если я не прав... Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 06:20 23-03-2012 | Исправлено: lim, 06:41 26-03-2012

Bock Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ты про lan2lan или обычный впн, когда пользователь подключается? Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 21:25 01-04-2012

lim Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я про remote access клиента, не про lan2lan. Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 05:18 02-04-2012

Supap1ex Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Коллеги есть вопрос: Есть ASA 5510 (8.4.2). inside - 192.168.1.0/24 outside - 77.1.1.1/29   в inside есть SERVER 192.168.1.2 port 8888 (tcp)   Юзеры хотят подключаться (так как мобильные и работают как внутри сети так и снаружи) к серверу по внешнему IP (outside).   Static NAT для удаленных юзеров работает нормально, а для внутренних коннекты не проходят. То есть соединиться с сервером из внутренней сетки по внешнему адресу не получается.   Много копал в сети - бытует мнение что так работать не будет, но однозначного ответа не нашел.   Собс-но вопрос - можно ли как то это настроить (192.168.1.99 -> 77.1.1.1:8888).   Буду очень благодарен. Всего записей: 257 | Зарегистр. 30-07-2003 | Отправлено: 18:19 05-04-2012

lim Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ESX091 Что-то мы друг друга не понимаем вроде бы... Цитата: tunnel-group 1.1.1.1 type remote-access Здесь "1.1.1.1" - Название tunnel-group и больше ничего. Мой вопрос был об ограничении по адресу инициатора соединения. Т.е. vpn по определённой группе нужно установить с одного IP, а при попытке соединения с другого IP происходил refuse. Может быть в данной задаче конечно и нет большого  практического смысла, но возможность интересует... Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 06:09 06-04-2012

Supap1ex Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ESX091 Сейчас и до этого момента для такого доступа используется сервачок на фре и там фаером делаются редиректы. После того как начали строить впн возникло странное желание оставить тот же механизм (по крайней мере на какое то время) - надеюсь удастся уломать сделать как правильно.   днсами не покатит - юзаются айпи адреса. Всего записей: 257 | Зарегистр. 30-07-2003 | Отправлено: 10:54 06-04-2012

lim Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: это с чего взяли... Как обычно пользуясь help'ом увидел: Цитата: ciscoasa(config)# tunnel-group ? configure mode commands/options:   WORD < 65 char  Enter the name of the tunnel group     Железо и софт: ASA5520 System image file is "disk0:/asa803-k8.bin" Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 06:16 09-04-2012

lim Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Sterh84 Спасибо! Я собственно к этому уже пришёл Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 14:16 09-04-2012

Supap1ex Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Коллеги подскажите где копать:   Цитата: Есть сайт-то-сайт впн (сети 10.1.1.0, 10.1.2.0, 10.1.3.0, ... 10.1.14.0 /24), нужно чтобы так называемые "клиенты (10.1.2.0-10.1.14.0) " ходили в инет через так называемый "центральный офис (10.1.1.0)"... Сейчас они (клиенты) ходят в инет напрямую. - Это решено....   На стороне "клиента" прописано в криптомапе source = client_net/24 dest = any Убран НАТ client_net в Инет На стороне "центра" прописано в криптомапе source = any dest = client_net/24 Добавлен НАТ client_net/24 в Инет   Дополнительные вопрос - как настроить (куда копать) доступ к Инету у "клиента" при пропадании ВПНа с центром.   Спасибо. Всего записей: 257 | Зарегистр. 30-07-2003 | Отправлено: 17:01 07-05-2012 | Исправлено: Supap1ex, 15:18 14-05-2012

Bock Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Повторилась ситуация. Прошивка была всё та же - 8.4.2. Обновил до 8.4.4, будем наблюдать. Опять в логах было: Jun 12 2012 15:28:32: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x7460ba68   Правда, в этой ASA сдохла флэшка, перешёл на standby. keepalive были стандартные (10 секунд).   И ещё нашёл замечательную команду: sysopt connection preserve-vpn-flows   А то "сломанные трубы" достали, когда ssh отваливается, а ipsec туннель падал и переподнимался. Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 00:54 15-06-2012

Bock Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору При версии 8.4.4 случаи с коллизиями участились, но отвала канала не происходит: asa-5520/act#                    sh log | i Phase 2 rekey collision Jun 14 2012 22:24:32: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c6d8 Jun 15 2012 06:07:18: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c690 Jun 15 2012 06:31:14: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c690   Самое обидное, что со стороны 5580 ничего не видно - таких сообщений нет. Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 13:13 15-06-2012

Bock Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору И опять я. Проблема в чём - полетела флэшка в одной из ASA, работающих в active/standby. Флэшку заменили, но как и понятно, конфигурация есть только с той ASA, которая активна. НО. Я загнал ту конфигурацию в startup-config, но пока не перезагружал (там пока стрёмно это делать, если что-то пойдёт не так). Получится, что с одной стороны будет: failover failover lan unit secondary   И на второй будет тоже самое. Можно ли просто startup-config подправить и вписать туда primary или же ASA как-то просчитает чек-сум и не загрузится с того конфига? Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 01:40 16-06-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование