Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не был здесь лет 5-7, а лица все те же.
Это я о vlary.
 
alnikolaev, привет. Рад видеть тебя здесь)

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 18:08 14-01-2018
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
Цитата:
Не был здесь лет 5-7, а лица все те же. Это я о vlary.  
И тебе не хворать!
Я бы сказал, что на вопросы отвечают все те же. Из новых Николаев разве что...
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:05 14-01-2018
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!  
 
Нужна помощь!  
 
Когда с работы уходит  cisco  Администратор, что он должен передать другому Администратору,  и что нужно проверить и что нужно закрыть или поменять чтоб он не смог из вне контролировать cisco ASA из вне?  
 
Заранее спасибо!

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 10:30 11-05-2018
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Конечно же, в первую очередь, нужен login/password для доступа к устройству по SSH или с консоли. Крайне желательно проверить, что он срабатывает в присутствии админа.
 
Затем, следующим шагом, следует найти в конфиге все аккаунты пользователей, например:
sh run | i username
 
Далее, крайне желательно поменять пароли для всех пользователей с уровнем доступа privilege 15. В противном случае, эти пользователи уровня admin/root могут снова сменить конфигурацию.
И последнее, убедиться, откуда разрешен доступ к ASA по каждому из протоколов, например, SSH, Telnet, HTTP, найдя соответствующие записи в конфиге:
 
sh run | i ssh
ssh 0.0.0.0 0.0.0.0 Outside
ssh 10.1.0.0 255.255.0.0 Inside
 
sh run | i telnet
 
sh run | i http
http server enable
http 10.1.0.0 255.255.0.0 Inside
 
При необходимости, подправить IP адреса хостов или подсетей, откуда разрешить доступ.
Полезно проверить, что Вы не потеряли доступ к устройству после модификации конфига. Для этого завершить текущую сессию, набрав exit несколько раз и попробовать залогиниться по новой.  
 
Если все Ок, то можно сохранять новую конфигурацию командой wr. Если нет, всегда можно перезагрузить ASA со старым конфигом.
 
Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 17:26 11-05-2018
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alnikolaev
 
Спасибо, выручили!

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 08:43 14-05-2018
life_so_good



Оптимист
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем добрый день, помогите с 5505  
 
хочу добавить подсеть на одном из интерфейсов  
 
через command line interface делаю:
 
interface vlan 3
 
Result of the command: "interface vlan 3"
 
The command has been sent to the device
 
nameif lan2
 
Result of the command: "nameif lan2"
 
nameif lan2
    ^
ERROR: % Invalid input detected at '^' marker.
 
всё, приплыл... хорошо, делаю в графическом интерфейсе, иду к NAT  
 
Result of the command: "object network OBJ_NAT_lan2"
 
The command has been sent to the device
 
Result of the command: "subnet 10.1.0.0 255.255.255.0"
 
subnet 10.1.0.0 255.255.255.0
  ^
ERROR: % Invalid input detected at '^' marker.
 
на команде subnet аналогичная ошибка синтаксиса
 
что не так?
 
Добавлено:
все, через ssh сделал

Всего записей: 1334 | Зарегистр. 30-04-2002 | Отправлено: 09:48 04-07-2018
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
Нужно настроить на cisco 5525 Site-to-Site IPsec VPN
 
Кто может помочь или подсказать где можно подробно посмотреть, почитать  об этом?

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 09:29 29-11-2018
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
@artclub. привет!
 
Что касается принципов, то можно посмотреть у меня, разбирал в статье: https://learncisco.ru/security/security.html
 
На самой же ASA есть отличная пошаговая подсказка в режиме конфигурации для разных типов VPN, например, site-to site:
 
ASA(config)# vpnsetup site-to-site steps
 
Steps to configure a site-to-site IKE/IPSec connection with examples:
 
1. Configure Interfaces
 
        interface GigabitEthernet0/0
         ip address 10.10.4.200 255.255.255.0
         nameif outside
         no shutdown
 
        interface GigabitEthernet0/1
         ip address 192.168.0.20 255.255.255.0
         nameif inside
         no shutdown
 
2. Configure ISAKMP policy
 
        crypto isakmp policy 10
         authentication pre-share
         encryption aes
         hash sha
 
3. Configure transform-set
 
        crypto ipsec transform-set myset esp-aes esp-sha-hmac
               
4. Configure ACL
 
        access-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.50.0 255.255.255.0
 
5. Configure Tunnel group
 
        tunnel-group 10.20.20.1 type ipsec-l2l
        tunnel-group 10.20.20.1 ipsec-attributes
         pre-shared-key P@rtn3rNetw0rk
 
6. Configure crypto map and attach to interface
 
        crypto map mymap 10 match address L2LAccessList
        crypto map mymap 10 set peer 10.10.4.108
        crypto map mymap 10 set transform-set myset
        crypto map mymap 10 set reverse-route
        crypto map mymap interface outside
 
7. Enable isakmp on interface
 
        crypto isakmp enable outside
 
ASA(config)#  
 
Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 10:46 29-11-2018
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alnikolaev
 
Спасибо вам за помощь и за  быстрый ответ!
 
Сейчас попробую!

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 10:52 29-11-2018
Godzie

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Пытаюсь обкатать новые версии ASDM и прошивок на оборудовании 5505 ASA и возникает  следующая проблема: при попытке зайти через ASDM выдает Unable to launch device manager по причине javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure  
Версии:  
Cisco Adaptive Security Appliance Software Version 9.2(4)  
Device Manager Version 7.9(1)151  
Java 8 191  
 
Проблема, как я понимаю, возникает из-за того что оборудование k8 и в конфиге используется следующее шифрование:  
ssl encryption des-sha1  
 
Но ставить лицензию 3des не хочется. Как можно победить?

Всего записей: 250 | Зарегистр. 11-09-2015 | Отправлено: 14:13 17-12-2018
boryanus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую.
Просьба подсказать советом. Имеется 5506-X. Установил на неё Firepower Threat Defense (FTD) .
Настроил NAT и проброс портов, но нужно ещё настроить фишку, что меняет статический маршрут при сбое интернета путём отслеживания маршрута через фичу SLA.  
Но - не могу в FTD добавить резервный статический маршрут и найти настройки этого SLA. Видел в описаниях, что это настраивается через Firepower Management Center. Версия FTD у меня 6.2.3- соответственно вопрос - искать ли мне версию центра FMC 6.2.3(а есть ли он вообще в природе) или с моим FTD будет корректно работать и версии более новые 6.3.3 или 6.4.0, 6.5.1 ?

Всего записей: 149 | Зарегистр. 15-09-2004 | Отправлено: 21:04 04-03-2020
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
boryanus,  
 
Выдержка из Release Notes:
Version 6.4.0.x FMC    can manage    Version 6.1 through 6.4.0.x devices.
Version 6.5.0.x FMC     can manage     Version 6.2.3 through 6.5.0.x devices.
 
Рекомендуемая стабильная версия FMC: 6.4.0.7
Последняя версия FMC: 6.5.0.4
 
В любом случае, для работы с FTD 6.2.3 можно использовать и FMC 6.4 и 6.5.
И да, SLA и плавающий статический маршрут настраивается через FMC, функционал встроенного FDM все еще сильно урезан.
 
Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 13:00 05-03-2020
boryanus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В любом случае, для работы с FTD 6.2.3 можно использовать и FMC 6.4 и 6.5.
И да, SLA и плавающий статический маршрут настраивается через FMC, функционал встроенного FDM все еще сильно урезан.
 
Удачи!  

Спасибо за ответ. Буду смотреть. Курсы по управлению этими устройствами стоят примерно 4000 баксов в штатах. Заказываю литературу.

Всего записей: 149 | Зарегистр. 15-09-2004 | Отправлено: 16:44 06-03-2020
tag29

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый!
 
Есть ASA5505. версия 8.2. Хотел обновить до новой, последний.  
Почитал последняя 9.1.7-32 от 2018г. есть на сайте cicso.  
И раньше была 9.2.4 . На сайте в realie note написано что существует 9.2.4.5. Сейчас на сайте cisco не нашел.
Подскажите на какую версию лучше обновляться? В чем принципиальная разница. На cisco планирую FW и туннели.

Всего записей: 16 | Зарегистр. 21-09-2005 | Отправлено: 12:08 21-05-2020
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
@tag29
 
Коллега, здравствуйте!
 
Ставьте последнюю доступную для ASA5505 версию (asa917-32-k8.bin). Но, обязательно предварительно изучите настройку и работу NAT/PAT в версиях после 8.3.
 
Там есть принципиальные изменения как в концепции, так и синтаксисе настройки NAT/PAT.
 
Удачи,
 

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 12:59 21-05-2020
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
какой то хрень происходит с AnyConnect (VPN подключение) к Cisco ASA5506
 
Всего 2 компа, с установленными AnyConnect , в течении 2х лет не одной проблемы, а тут с одного компа пинается что то..  
включаю, запрос на не доверенный сертификат (это нормально), нажимаю "всеравно продолжить" , появляется форма логин/пароля и быстро исчезает.  
При следующей попытке - уже ошибка сервиса.  
 
Вот такая ошибка: https://www.petenetlive.com/KB/Article/0000950
перезапускаю службу, кажется что все нормально, но все опять по кругу.  
 
Со второго компа все нормально.  
 
-----
комп - OS Windows 10 pro, с последним билдом и обновлениями. антивирус ESET.  
Приложение - Cisco AnyConnect Secure Mobility Client Version 4.9.03049

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 09:29 30-11-2020
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
Для траблшутинга AnyConnect на ASA лучше начать с просмотра сообщений/ошибок на самом клиенте. Нажать на настройки (шестеренка) внизу слева окна клиента. Далее, закладка "Message History".
 
Если логи ничего не прояснили, то включаем отладку на самой ASA:
 
deb webvpn anyconnect 255
 
Подключаемся AnyConnect и разбираем ее логи. Предполагается, что на ASA ее классический код, а не FTD.
 
Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 13:15 30-11-2020
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alnikolaev
 
в логе так себе..
30.11.2020
     13:25:52    Ready to connect.
     13:26:13    Contacting *******.
     13:26:48    Contacting *******.
     13:26:48    Connection attempt has failed.
 
Вот в 13:26:13 появятся запрос логина и пароля. пока собираюсь ввести - пропадает форма.  
в 13:26:48 пытаюсь опять нажать на Connect, но уже выдает ошибку.  
 
Вот еще мне смущает какой то запрос веб авторизации.. может раньше тоже был, не заметил, но тем не менее:
 

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 13:38 30-11-2020
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Цитата:
пока собираюсь ввести - пропадает форма.  
А если просто в броузере набрать этот адрес?
https://your.vpn.tld ? На том ПК, где клиент. Страница с формой появляется?


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:00 01-12-2020
alnikolaev

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возможно, слетел профиль AnyConnect на глючном ПК. Web Authenticatjion обычно не требуется при подключении AnyConnect.
 
Можно внести любое незначительное изменение в профиль на ASA через ASDM. Тогда новый профиль с ASA должен автоматом подгрузиться на ПК при попытке подключения.
 
Потом изменения в профиле на ASA можно вернуть обратно.
 
Как вариант....

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 13:42 01-12-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru