Перейти из форума на сайт.Реклама на Ru.Board


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
artclub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alnikolaev
 
Спасибо! выручил

Всего записей: 286 | Зарегистр. 07-02-2008 | Отправлено: 12:58 20-11-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
настраиваю ASA 5510 c нуля (в плане до этого с АСАми дела не имел). Задачи NAT, проброс портов RDP, SSL VPN.
 
Вторую задачу решил (для хоста NUC-16), но вот с NAT чего-то не получается. Вот конфиг:
 

Код:
FRA-ASA1# sh run
: Saved
:
: Serial Number: JMX1414L1E8
: Hardware:   ASA5510, 1024 MB RAM, CPU Pentium 4 Celeron 1600 MHz
:
ASA Version 9.1(7)15
!
hostname FRA-ASA1
domain-name TESTDOMAIN.MYDOMAIN.LOCAL
enable password **************** encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
passwd ***************** encrypted
names
!
interface Ethernet0/0
 duplex full
 nameif WAN
 security-level 0
 ip address 10.254.1.200 255.255.255.0
!
interface Ethernet0/1
 duplex full
 nameif LAN-MSP
 security-level 100
 ip address 172.16.16.254 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 duplex full
 nameif LAN-AD
 security-level 100
 ip address 10.255.8.254 255.255.255.0
!
interface Management0/0
 duplex full
 management-only
 nameif management
 security-level 100
 ip address 192.168.2.200 255.255.255.0
!
boot system disk0:/asa917-15-k8.bin
ftp mode passive
clock timezone GMT 2
dns domain-lookup management
dns server-group DefaultDNS
 name-server 10.254.1.9
 name-server 10.255.9.11
 domain-name TESTDOMAIN.MYDOMAIN.LOCAL
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
 
!
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (WAN,LAN-MSP) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1
 
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
 match default-inspection-traffic
!
!
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:*****************************
: end
 

 
С хоста NUC-16 просто не идёт трасерт на внешние адреса:
 

Код:
С:\>tracert 8.8.8.8
 
Tracing route to 8.8.8.8 over a maximum of 30 hops
 
  1     *        *        *     Request timed out.
  2     *     ^C
C:\>tracert 172.16.16.254
 
Tracing route to 172.16.16.254 over a maximum of 30 hops
 
  1    <1 ms    <1 ms    <1 ms  172.16.16.254
 
Trace complete.
 

 

Код:
C:\>ipconfig /all
 
   IPv4 Address. . . . . . . . . . . : 172.16.16.222(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 172.16.16.254
   DNS Servers . . . . . . . . . . . : 10.254.1.9
   NetBIOS over Tcpip. . . . . . . . : Enabled
 
 

 

Код:
FRA-ASA1# ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=233 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=234 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=235 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=236 len=64
ICMP echo request from LAN-MSP:172.16.16.222 to WAN:8.8.8.8 ID=1 seq=237 len=64
 

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 19:23 04-12-2017 | Исправлено: anahaym, 19:55 04-12-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
dns domain-lookup management

У вас точно через этот интерфейс днс резолвинг? Попробуйте сменить на WAN

Всего записей: 247 | Зарегистр. 19-11-2001 | Отправлено: 10:23 05-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris касяк был тут:

Цитата:
object network LAN-MSP  
 nat (WAN,LAN-MSP) dynamic interface  

 
поменял на:

Цитата:
object network LAN-MSP  
 nat (LAN-MSP,WAN) dynamic interface  

заработало

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 11:58 05-12-2017 | Исправлено: anahaym, 11:58 05-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
продалжаем настраивать проброс портов на АСА.
конфиг:

Код:
System IP Addresses:  
Interface                Name                   IP address      Subnet mask     Method  
Ethernet0/0              WAN                    10.254.1.200    255.255.255.0   CONFIG  
Ethernet0/1              LAN-MSP                172.16.16.254   255.255.255.0   CONFIG  
Ethernet0/3              LAN-AD                 10.255.8.254    255.255.255.0   CONFIG  
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
object network NUC-8
 host 10.255.8.222
object network LAN-AD
 subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3388
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
 nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
 nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1

так я могу подключится из интернета по RDP к хосту NUC-16. Я думал, что если привяжу правило ALLOW-RDP-NUC-8 к внешнему порту, то смогу одновременно подключаться и к NUC-16 и k NUC-8, но почему-то можно привязать только одно правило....
 
т.е. другими словами, нужно пробросить порты так же как я делал это на 7206:

Код:
ip nat inside source static tcp 192.168.1.100 22 87.x.x.x 22  
ip nat inside source static tcp 192.168.1.200 22 87.x.x.x 2222

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 15:08 05-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
рабочий конфиг:

Код:
 
Cisco Adaptive Security Appliance Software Version 9.1(7)15
Device Manager Version 7.8(2)151
 
 System IP Addresses:  
Interface Name IP address Subnet mask Method  
Ethernet0/0 WAN           10.254.1.200   255.255.255.0 CONFIG  
Ethernet0/1 LAN-MSP   172.16.16.254 255.255.255.0 CONFIG  
Ethernet0/3 LAN-AD      10.255.8.254   255.255.255.0 CONFIG  
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
object network NUC-8
 host 10.255.8.222
object network LAN-AD
 subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3389
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
 nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
 nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 14:14 06-12-2017 | Исправлено: anahaym, 16:14 06-12-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anahaym Я не заметил изменений. И что на NUC-8 тоже можно зайти по рдп?

Всего записей: 247 | Зарегистр. 19-11-2001 | Отправлено: 15:22 06-12-2017
vovan1st

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а разве не так нужно:
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3389
 
да оба acl на 3389

Всего записей: 14 | Зарегистр. 21-08-2015 | Отправлено: 15:27 06-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris да, опечатался. исправил. оба АКЛ на один порт.

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 16:15 06-12-2017
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите по лицензированию.
правильно ли я понял, что если я куплю L-ASA-AC-E-5525 (Essentials) то это сразу даст возможность 750 пользователям подлючаться через Cisco AnyConnect?
если некоторым пользователям нужен будет доступ без клиента (WebVPN) то я должен буду докупить для них поштучно (10-25-50-100 и т.д.) лицензии Премиум?
 
Или Essentials тоже по штучно продаются?
 
Спасибо.

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 16:20 07-12-2017
vernikd

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите какую из последних версий ios можно поставить на
Hardware:   ASA5505, 512 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Всего записей: 2 | Зарегистр. 17-04-2009 | Отправлено: 11:49 08-12-2017
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vernikd
Я ставлю на такое же железо из ветки 9.24, которая обновляется, последняя 9.24-24.
ASDM у меня 731

Всего записей: 247 | Зарегистр. 19-11-2001 | Отправлено: 09:00 14-12-2017
burat1no666

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дoбpый дeнь.
Пoмoгитe, пoжaлуйcтa, peшить cлeдующую пpoблeму.
Ecть Cisco AnyConnect Secure Mobility Client v.4.5, кoтopый иcпoльзуeтcя для пoдключeния к VPN-cepвepу opгaнизaции. Eдинcтвeннaя нacтpoйкa в клиeнтe – этo coбcтвeннo aдpec VPN-cepвepa.
Oднaкo пpи пoпыткe aутeнтификaции клиeнт тpeбуeт пepcoнaльный cepтификaт.  
 
Ready to connect.
Contacting vpn.xxx.xxx.
Connection attempt has failed.
No valid certificates available for authentication.
Connection attempt has failed.
 
Caм cepтификaт у мeня имeeтcя, бoлee тoгo, oн пpoпиcaн в cиcтeмe (Win7). Нo кaк нacтpoить клиeнт нa paбoту c cepтификaтoм, нe знaю. В нacтpoйкaх клиeнтa нe нaшeл тaкую вoзмoжнocть…
Зapaнee cпacибo.

Всего записей: 25 | Зарегистр. 05-09-2009 | Отправлено: 09:58 24-12-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
burat1no666
Если клиент требует сертификат, значит это Ася от него требует, так было настроено.
Читай это, все понятно и с картинками: Ссылка

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16473 | Зарегистр. 13-06-2007 | Отправлено: 11:17 24-12-2017
Dimez



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
С наступающим всех!
Вопрос снялся

Всего записей: 342 | Зарегистр. 06-07-2003 | Отправлено: 21:01 28-12-2017 | Исправлено: Dimez, 16:51 29-12-2017
artclub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
 Где можно найти конфигурацию быстрой настройки cisco asa vpn для удаленного подключения клиентом

Всего записей: 286 | Зарегистр. 07-02-2008 | Отправлено: 13:36 09-01-2018
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
В Греции на сайте производителя всё есть.
В ASDM есть мастера для создания впн-подключений.

Всего записей: 247 | Зарегистр. 19-11-2001 | Отправлено: 15:13 09-01-2018
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Повторюсь, писал уже ранее:
Цитата:
 
По ASA VPN у меня есть пара готовых видео и конфиги в прилагаемых к архивам PDF-кам:  
https://learncisco.ru/subscription/welcome1.html#lesson_asa_simple_setup
https://learncisco.ru/subscription/welcome1.html#lesson_anyconnect_simple_setup
 
Эти лабораторные также можно самостоятельно погонять в виртуальной лаборатории проекта LearnCisco.Ru. Все инструкции тут:
https://learncisco.ru/eve/online-lab.html
 
Успехов!
 

 
 

Всего записей: 6 | Зарегистр. 17-02-2014 | Отправлено: 20:16 09-01-2018 | Исправлено: alnikolaev, 20:17 09-01-2018
artclub

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alnikolaev
Спасибо! Настроил все получилось!
 
Но сегодня не как не могу подключиться по  ASDM выдает ошибку unable to launch device manager from 172.16.10.15
 
Где копать?

Всего записей: 286 | Зарегистр. 07-02-2008 | Отправлено: 11:27 11-01-2018
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для подключения по ASDM должно быть соблюдено нескольно условий:
 
1. Во флеш памяти должен находиться сам образ ASDM, поддерживающий имеющуюся версию кода ASA, например:
 
ASA# dir
 
Directory of disk0:/
 
10     drwx  8192         07:58:46 Jul 13 2009  log
20     drwx  8192         05:51:16 Nov 03 2017  crypto_archive
171    -rwx  27371520     20:30:46 Feb 15 2016  asa917-k8.bin
179    -rwx  25629676     20:34:08 Feb 15 2016  asdm-752-153.bin
 
2. В конфигурации ASA должен быть указат этот образ ASDM:
 
ASA# sh run asdm
asdm image disk0:/asdm-761.bin
 
3. Включен https сервер и указаны IP адреса или подсети, откуда разрешего к нему подключаться, например:
 
http server enable
http 10.1.0.0 255.255.0.0 Inside
 
4. Включена аутентификация по HTTP, создан пользователь с правами админа (privilege 15), например:
 
aaa authentication http console LOCAL  
username admin password cisco123 privilege 15
 
5. И, самый неприятный момент, на компе админа должна стоять соответствующая ASDM версия Java
Пример возможного трабла и воркараунда у меня в статье:
 
https://learncisco.ru/general/java7-up51-asdm.html
 
Удачи!
 
 

Всего записей: 6 | Зарегистр. 17-02-2014 | Отправлено: 18:58 11-01-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru