Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
niask



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slaj1
спасибо, но всё оказалось банальнее: нашёл хост-имена в конфиг-файлах софтины в ProgramData

Всего записей: 325 | Зарегистр. 20-09-2007 | Отправлено: 10:38 27-10-2014
andreypodlec



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть anyconnect hub настроенный на маршрутизаторе Cisco 2921, авторизация доменная через NPS(windows 2008r2) по логину и паролю, а есть второй HUB на ASA 5505, там тоже доменная авторизация на без NPS и по сертификатам, возможно ли сделать авторизацию по сертификатам на 2921?
 
 
P.S.: Вопрос может не совсем в ту ветку, но другой не нашёл.
 

Всего записей: 41 | Зарегистр. 29-10-2014 | Отправлено: 17:53 30-10-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
andreypodlec
Цитата:
Вопрос может не совсем в ту ветку
Ну почему же, в самое яблочко...
Вот, посмотри это, возможно, подойдет:
Cisco ASA SSLVPN using Certificates for 2-factor Auth


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16717 | Зарегистр. 13-06-2007 | Отправлено: 23:21 30-10-2014
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
народ, а есть в AnyConnect логирование на стороне клиента? Чтобы весь процесс подключения макисмально подробно слить в файл?
 
Или все, что есть это в убогом формате Event Viewer ?
 
DART собирает безумную кучу всего. А нужно всего лишь  включить лог на debug level на минутку, и глянуть, что там в момент подключения происходить.  
В VPN Client это было реализованно прекрасно.

Всего записей: 147 | Зарегистр. 21-02-2007 | Отправлено: 20:00 29-12-2014
whaleshark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 513 | Зарегистр. 28-06-2009 | Отправлено: 20:27 29-01-2015 | Исправлено: whaleshark, 23:11 29-01-2015
corlovito

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот что умные люди пишут по поводу AnyConnect логов
 
1. Choose Start -> Run
 
2. Type in eventvwr.msc /s
 
3. Expand the "Applications and Services Logs" portion of the tree
 
4.Right-click the Cisco AnyConnect VPN Client log, and select Save Log File AsAnyConnect.evt
 
Note:Always save it as the .evt or .evtx file format.

Всего записей: 8 | Зарегистр. 16-04-2012 | Отправлено: 09:03 30-01-2015
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
corlovito
 
Это тот же самый Event Viewer и есть. Инструкция как экспортировать данные из Event Viewer.

Всего записей: 147 | Зарегистр. 21-02-2007 | Отправлено: 16:34 30-01-2015
whaleshark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста, как лучше сделать.
Не хочется вывешивать доступ к ASA c правилом ssh 0.0.0.0 0.0.0.0 outside. Но иногда требуется подключится удаленно из разных мест, хочется сделать, чтобы был доступ только через inside интерфейс после подключения по VPN. При этом рассматриваю худший вариант, что вся инфраструктура лежит и нормально работает только ASA.
Версия софта ASA Version 9.1(5)21
VPN - anyconnect SSLVPN, лицензии premium.

Всего записей: 513 | Зарегистр. 28-06-2009 | Отправлено: 20:11 31-01-2015
schukin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
niask
В Cisco VPN client были "волшебные" файлики *.pcf в каталоге Program Files\CIsco VPN Client\Profiles в которых хранилась вся информация по прописанным хостам. Возможно в Anyconnect подобная система.

Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 17:34 09-04-2015
Renua



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день, уважаемые форумчане.
столкнулся с проблемой: на один белый ip-адрес необходимо повесить несколько типов vpn (1 - site-to-site и  10 - l2tp-over-IPSec). Подскажите, возможно ли такое реализовать на ASA 5510? В данный момент реализован только site-to-site. Работает в штатном режиме. Заранее благодарю за помощь

Всего записей: 27 | Зарегистр. 22-10-2014 | Отправлено: 11:31 19-06-2015
patsev anton

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
Скажите, пожалуйста, можно ли подгрузить модули FirePOWER для виртуальной Cisco ASAv ?

Всего записей: 72 | Зарегистр. 16-06-2008 | Отправлено: 10:03 18-08-2015
masfik

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
День добрый!
Возникла проблема в настройке Cisco ASA 5505. Сам новичок в cisco.
Стуктура сети
из консоли с asa пингуется и интернет и обе сети. а из первой сети во вторую и во внешний интернет доступа нет. В интернете копал капал - не какапал решения, помогите пожалуйста.
конфиг asa

Код:
 
ASA5505(config)# sh ru
: Saved
:
ASA Version 8.0(3)6
!
hostname ASA5505
enable password E7WHqE1TxQp770v/ encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.1.200 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 outside
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 outside
telnet timeout 5
ssh 192.168.2.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
dhcpd dns 192.168.1.1
!
dhcpd address 192.168.2.2-192.168.2.254 inside
dhcpd enable inside
!
 
threat-detection basic-threat
threat-detection statistics access-list
username admin password 7OGbsKkurRSUQBS0 encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:3eaf78fc544f876fb9af54d95e2689a5
: end
 

Всего записей: 3 | Зарегистр. 18-03-2013 | Отправлено: 17:05 04-09-2015
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
masfik Читай там про настройку NAT: Ссылка

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16717 | Зарегистр. 13-06-2007 | Отправлено: 15:53 07-09-2015
Gregpavel



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет ! Ребят кто знает... подскажите!! 2 вопроса.... (2 оч срочно нужно ) стоит Cisco 5505... asa 9.2(2)8 - asdm 7.3(1)101
1 - Сеть ИЗ ВНЕ в local
все работает 2 сетки из вне подключаются VPN Cisco client 5.0.07.0440-k9 ... насколько я понял старый вариант но работает, НО появился Windows 8.1 думаю в Windows 10 такая же беда.. после обновления windows постоянно ошибка 442 в VPN Cisco client Reason 442: Failed to enable Virtual Adapter решалось раньше правкой рееестра.... сейчас посте обновления Windows ... только полностью перенастройкой удалением \ установкой и настройкой и после 2-3 раза отключил обновление windows. Сейчас лучше AnyConnect или просто Windows L2TP IPsec .... что лучше... есть мануал как настроить что бы подключались через Windows L2tp из вне к локалке
Основной вопрос!!!
2 - Момент наоборот VPN из Local в Инет
Появилась необходимость... PPTP (даже не зашифрованного) соединение на компе в локалке поднимать на комп в инете.... но проблема ошибка № 619
менял комп в сетке, с разними OS от windows XP до windows 7... проблема одна и таже.... как доходит до проверки пользователя и пароля.... "подзависает" на 30-50 секунд.... ошибка 619 понял проблема в Cisco!
как только подрубаешься на другого провайдера минуя cisco 5505 например хоть мобильный интернет 3G сразу соединение поднимается.... (((
ЗАРАНЕЕ БЛАГОДАРЕН!!!!

Всего записей: 35 | Зарегистр. 18-01-2009 | Отправлено: 12:40 18-09-2015
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gregpavel
По вопросу №1, переходите на AnyConnect, для этого потребуется применить соответсвующие настройки на самой ASA.
По вопросу №2, желательно увидеть ваш файл конфигурации, иначе получается гадание, но вполне возможно, вам необходимо применить:

Цитата:
policy-map global_policy  
 class inspection_default
  inspect pptp  


----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 849 | Зарегистр. 03-09-2001 | Отправлено: 14:44 18-09-2015
Twdma



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gregpavel
я бы посоветовал вам как костыль использовать другой клиент для VPN, сами использовал https://www.shrew.net/download
можно сделать импорт профиля, из минусов: постоянно просит ввести логин.

Всего записей: 50 | Зарегистр. 30-09-2011 | Отправлено: 02:15 20-09-2015
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Имеет ли нынче смысл брать б/у 5510 или лучше уже не вкладываться, т.к. апйдетов не будет?
 
задачи банальные: клиенты SSL VPN и site-to-site тунельчики с парой других  ASA 5505

Всего записей: 147 | Зарегистр. 21-02-2007 | Отправлено: 21:32 21-10-2015 | Исправлено: AndreySergeevich, 07:53 30-10-2015
indigr000

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
 
подскажите как будет выглядить правило для фаервола Cisco ASA при таком условии.
 
сеть:
 
корп сеть(10.11.120.2)фаервол na Cisco ASA - VPN Tunel на S-Terra ---------Vpn tunel на S-Terra (фаервол) na Cisco ASA корп сеть. 10.11.122.2
 
на ПК запускается программа и открывает порт 39578/TCP 10.11.120.3 идет в сеть 10.11.122.3 на порт 3981/TCP
 
какое правило на создать что бы трафик начал ходить между двух фаерволов?

Всего записей: 1 | Зарегистр. 16-12-2015 | Отправлено: 01:19 16-12-2015
Twdma



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
зависит от того, как у вас фильтруется.
Если только входящие соединения, то на принимающей стороне
access-list Имяинтерфейса_access_in extended permit tcp host 10.11.120.3 host 10.11.122.3 eq 3981
если не будет хватать следующей строкой можете открыть все tcp, чтобы проверить доступность.
а там через sh conn искать нужные порты.
и без минимальной схемы, вам можно столько советов дать...  

Всего записей: 50 | Зарегистр. 30-09-2011 | Отправлено: 08:59 23-12-2015
Vadreg



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
товарисчи  подскажите или ткните носом где просветиться - на asa5510 последняя ветка ПО  9.1  или взлетят и те что выше 9.2 9.3 9.4 ?

Всего записей: 36 | Зарегистр. 28-10-2008 | Отправлено: 18:17 11-03-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru