Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
Artello



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе утро,
может кто поможет с настройкой remote access VPN на PIX-515E? Бьюсь уже не первый день но все бестолку ... VPN соединение устанавливается но трафик в тунель не идет.
В качестве клиента WinXP с Cisco VPN Client 4.x. Может кто подскажет, что неправильно?
 
Тут мой конфиг...

Всего записей: 40 | Зарегистр. 06-04-2003 | Отправлено: 10:07 24-08-2007 | Исправлено: Artello, 10:19 24-08-2007
Raredemon



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Artello
Я так понял иос 8-ой? попробуй сделать впн сервер визардом из асдм, причем все параметры шифрации оставь дефолтовые. после этого все работает. сам с таким столкнулся, а почему так происходит хз

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....

Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 10:12 24-08-2007
Artello



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Raredemon
Дык я и ASDM пробовал и ручками по докам ... никакого прогресса. Шифрация и так дефолт стоит 3DES + SHA1 . Туннель же поднимается, только по статистике VPN Client'a счетчики нарастают счетчики Encrypted packets и Sent Packets растут а Received и Decrypted по нулям .

Всего записей: 40 | Зарегистр. 06-04-2003 | Отправлено: 10:24 24-08-2007
trisen

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Artello
а где трафик-селектор для твоих VPN пользователей?
 
скорее всего надо так:
access-list vpnusers extended permit ip any 172.16.5.0 255.255.255.0
crypto dynamic-map rtpdynmap 20 match address vpnusers

Всего записей: 277 | Зарегистр. 15-11-2002 | Отправлено: 10:25 28-08-2007
Stranger2000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Вот решил поделиться первым опытом работы с этими мегажелезяками
конкретно Cisco PIX 501
две штуки
конфигурялись через веб интерфейс
 
изначально стояла задача завязать два офиса абсолютно прозрачным туннелем. Провайдер наложил своих кабелей, дал живые IP и мы начали думать.
 
схемы продумывались разные, в итоге решили остановиться на том чтобы внедрить туннель прямо в рабочую сеть.
исходно
офис1 - подсеть 192,168,0,0
офис2 - подсеть 192,168,99,0
по локалкам адреса раздает ДХЦП, машинок не то чтобы много, по десятку-полтора в каждом офисе.  
------
по цискам -  
inside IP каждой циске вручается ручками из диапазона офисной подсети, в которой настраивается железка, то есть, в офисе1 на внутренний интерфейс в моем случае сгодился адрес 192.168.0.2 во офисе2, соответственно, 192.168.99.2 - делается это предварительно на отключенной от сеток машине.
 
в самой циске нашли небольшой нюанс - почему то невозможно прописать DNS на внутреннем адреса, если отключен ДХЦП - до сиих пор гадаю-  баг это или фича. пришлось сначала вручить через ДХЦП адрес, затем прописать DNS, затем уже вырубить DHCP.
 
В принципе, никаких технических данных здесь расписывать смысла нет - веб интерфейс предполагает два достаточно дружелюбных мастера - первичной настройки и VPN. в первичной настройке настраиваются интерфейсы - внешний и внутренний, а вот на ВПН остановлюсь чуть подробнее (рассматривая именно мой случай).
 
во первых PIXа спрашивает, чего мы собственно собираемся делать - Site-to-Site или Remote Access VPN и через какой интерфейс мы собираемся этот самый VPN разрешать. для туннеля делаем Site-to-Site через outside интерфейс (следует помнить, что работа предполагается с уже настроенными интерфейсами, внутренним и внешним)
 
Далее PIX интересуется, такой штукой, как Remote Site Peer - это не что иное, как внешний адрес удаленной PIX, которая будет установлена на втором офисе - смело отдаем ей внешний IP второго офиса - неважно, что у нас там пока ничего не настроено и даже не подключено. Далее, в том же окне мастера нужно выбрать режим аутентификации. мы в своих изысканиях далеко в дебри не вдавались и нафигачили в первом же поле (Pre-shared key) пароль. два раза.
 
Далее циска интересуется, какой политикой ей шифровать предполагаемый туннель - мы оставили параметры по умолчанию - Encryption="3DES", Authentication="MD5", DH Group= "Group2-1024bit"
 
Затем идет вопрос про Transform Set, шо це за звер, мы малость не догнали, предположили, что это параметры шифрование, которые должны быть идентичны с обоих сторон (типа согласования) - оставили как есть - Encryption="3DES", Authentication="MD5"
 
После этого потребовалось указать, из какой подсети и в какую нужно проложить туннель: IP Traffic selector - > on local site. Здесь все просто- указываем из какой подсети шифровать данные, естессно, указали нашу офис1 (192,168,0,0) = интерфейс указали Inside, и чуть ниже сеть\маску. переместили выбранные параметры в Selected.
 
Следующим шагом, как нетрудно догадаться, Циска хотела знать, а в какую подсеть ей, собственно передавать данные - мы указали внутренний интерфейс удаленной второй циски, который будет жить в подсети 192,168,99,0. Офигевший от такого поворота событий девайс удивленно спросил, как ему обозвать подсеть, к которой он пока не подключен, мы обозвали office2 и добавили получившийся пресет в список "Selected".
 
после чего нажимается кнопка финиш. и циска подключается к первому доступному свитчу в офисной локалке. Ну и естессно, пингуется. пока нам более ничего с этой стороны делать не нужно.
 
на удаленном офисе делается то же самое с зеркальным отражением настроек - удаленной сетью указывается office1, локальной - office2, пиром для туннеля указывается внешний IP первого офиса - единственно, что синхронно - это параметры шифрования. Через какие то минутки спустя на девайсах загораются лампочки "VPN Tunnel" - это означает конец первого этапа "марлезонского балета" - железяки друг друга нашли, поздоровались и крепко друг за дружку уцепились - если верить обещаниям, несколько самых умных суперкомпьютеров будут расшифровывать данные в этом туннеле несколько сотен лет. Бог в помощь.
 
для того чтобы инфа начала ходить по этому туннелю, нужно в качестве основного маршрутизатора (параметр DHCP) на обоих офисах указать ip пиксов. Если DHCP в сети нет = сочувствую, пишите руками, иного способа сменить основной шлюз я не знаю... если, как в моем случае, кроме этого туннеля, есть иные дыры в мир, которые раздают, например интернет, то на них оставляется задача исключительно как прокси - здесь оговорюсь - что у меня ранее вопрос VPN-туннеля решал Kerio, поэтому во избежание всяких недоразумений я его убил.  
 
Выяснились еще некоторые непонятные вещи - для того чтобы пинговать внутренние адреса удаленных цисок, потребовалось прописать дополнительно правило для ICMP пакетов, несмотря на то, что железяка по завершении конфигуряния создает правило "все-всегда-всем-в любые дыры" можно. не знаю почему, на для пингов пришлось писать.  
 
И все у меня пошло-побежало, я аж кофием подавился, как радостно стало.  
Однако мучают вопросы - все ли я сделал правильно? нет ли иных простых и безопасных путей организовать грамотный туннель?  
и если есть какие то слишком глупые ошибки - укажите мне на них пожалуйста, и за текст не ругайте - всеж первый опыт общения с такими устройствами
 
С уважением, Я!

Всего записей: 33 | Зарегистр. 31-10-2006 | Отправлено: 06:41 10-09-2007 | Исправлено: Stranger2000, 06:54 10-09-2007
8BNHWZ



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
помогите решить задачку  
исходные данные:
PIX506, за ним 1801, используется внутри как впн-концентратор.
сейчас надо снаружи между 1801 и внешним хостом cisco 857 пропустить туннель.
на эту тему есть статья http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009486e.shtml
по ней все работает, но они пишут типа отдайте один адрес из внешнего диапазона и сделайте
static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0
а я не могу себе такого позволить, хотя бы потому, что внешний адрес всего один и на нем слушаются другие сервисы.
 
собственно, вопрос: как пропустить с наружи ESP-трафик через пикс на приватный ip-адрес?

Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 21:46 15-09-2007
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2 PIX'а 515 и 501, на 515 крутиться еще 10+ тунелей.
По аналогии с предыдущим настраиваю новый.
Тунель не поднимается.
Пробую выянить причину:
 
logging on
logging buffered warnings
debug crypto ipsec 2
debug crypto isakmp 2
debug crypto engine
clear crypto ipsec sa
 
И ничего, и ошибок нет, и тунеля нет.
 
Есть ли какой либо способ более точно выяснить причину?
 
P.S. ACL, PSK и IP адреса перепроверены на несколько раз.

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 13:32 19-09-2007 | Исправлено: rakis, 13:59 19-09-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет
Есть:
 
Cisco ASA 5505
Cisco Adaptive Security Appliance Software Version 7.2(2)  
Device Manager Version 5.2(2)
 
Хочу посмотреть графики по каким-либо праметрам, но мне пишет что интерфайсы down
   
 
Интерфейсы понатное дело в up
Interface Vlan1 "inside", is up, line protocol is up
Interface Vlan2 "outside", is up, line protocol is up
 
Как вылечить ? Хочу видеть графики различных параметров по интерфейсам.
Ище вопрос ASDM 6.0(2) можно только к ASA OS 8.0(2) ?
Или можно залить и пользовать на текущей OS ?
 
 
Добавлено:
хм, а можно вообще снимать статистику по Vlan-у ?

Всего записей: 4868 | Зарегистр. 10-11-2004 | Отправлено: 11:15 03-10-2007
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
PIX 7.2
Настроен PAT для подсети 192.168.100.0/24 в глобальный адрес a.b.c.d.
Необходимо разрешить pptp соединения с внешним сервером.
На cisco.com сказано "You can only have one PPTP connection through the PIX Security Appliance when you use PAT". Но я не могу давать каждому страждущему static nat. Есть ли способы обойти это? Есть ли возможность разрешить пользователям с PAT работать с внешними pptp серверами?
 
P.S. Для клиентов со статической трансляцией все работает.
P.P.S. Для клиентов с PAT имеем в логе запись
... regular translation creation failed for protocol 47 ...
P.P.P.S. Кусок конфига
 
access-list from_outside extended permit gre any any
 
access-list from_inside extended permit ip 192.168.100.0 255.255.255.0 any
access-list from_inside extended permit icmp 192.168.100.0 255.255.255.0 any
access-list from_inside extended permit gre 192.168.100.0 255.255.255.0 any
 
access-list inside_nat extended permit ip 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit icmp 192.168.100.0 255.255.255.0 any
access-list inside_nat extended permit icmp 192.168.100.0 255.255.255.0 any
 
policy-map global_policy
 class inspection_default
  inspect pptp
 
================================
Вылечилось добавлением fixup опции

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 17:32 22-10-2007 | Исправлено: rakis, 02:06 29-10-2007
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Lan-to-Lan туннели, один ко многим, в центре PIX 7.2, к нему цепляются PIX 6.3.
После добавления нового изменения настроек на 6.3 выполняю
clear ipsec sa
clear isakmp sa
В итоге сразу туннель не поднимается, попытки происходят каждые 30 мин.
Есть ли возможность уменьшить этот интервал, или жестко форсировать старт?

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 02:10 29-10-2007
oalek

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос перед покупкой Cisco PIX 501
Имеется подключение к Интернет через кабельный модем. Провайдер обязал использовать имя и пароль пользователя (настроено в win). Если я сделаю так: "Отсоедините подключение Ethernet между кабельным или DSL-модемом и ПК и подсоедините между ними брандмауэр." будет ли устанавливаться подключение в Интернет?

Всего записей: 5 | Зарегистр. 25-01-2006 | Отправлено: 00:12 14-11-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oalek
а что за имя пользователя и пароль PPPoE ?
если так то можно смело брать.

Всего записей: 4868 | Зарегистр. 10-11-2004 | Отправлено: 00:42 14-11-2007
oalek

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slech
 
Подключение PPPoE. Ethernet настроен на автоматическое получение ip-адреса внутренней сетки провайдера. ipconfig:
 
internet - Ethernet адаптер:
 
        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI
Gigabit Ethernet Controller
        Физический адрес. . . . . . . . . : 00-0A-29-31-35-AE
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 10.5.138.100
        Маска подсети . . . . . . . . . . : 255.255.0.0
        Основной шлюз . . . . . . . . . . : 10.5.133.1
        DHCP-сервер . . . . . . . . . . . : 10.5.133.11
        Аренда получена . . . . . . . . . : 14 ноября 2007 г. 8:05:39
        Аренда истекает . . . . . . . . . : 13 ноября 2008 г. 8:05:39
 
Всем
 
При подлючении PPPoE, получаю статический внешний ip-адрес.
Это подключение сделано общим. Другие пользователи моей локалки (рабочая группа, без доменов, статические адреса) подключаются к инету через шлюз (комп с двумя сет. платами и winXP). Proxy - Traffic inspector.
 
Вопрос в том, что необходимо настроить VPN-туннель для подключения к головному офису. При этом нужно оставить инет для пользователей моего офиса.
 
1. Можно ли, по возможности, не ломая текущую схему, использовать для этого Cisco PIX 501?  
2. Можно ли использовать только web-интерфейс для настройки Cisco PIX 501?
 
Пожалуйста, поделитесь опытом.

Всего записей: 5 | Зарегистр. 25-01-2006 | Отправлено: 10:14 14-11-2007
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oalek
Итого:
Инет по PPPoE.
Настроен NAT - для раздачи нета всем.
Настроен тунель к головному офису.
 
1. PIX 501 поддерживает PPPoE
    Не ломая схему использовать думаю можно смело.
2. Про настройку нескажу - опыта нету. Но через веб настраивается вроде всё то же самое что из консоли.
 
Ты не будешь больше видеть подробную статистику - кто сколько накачал и чего(если сейчас есть).
501 - не шибко сильный - поэтому много пользователей на него не посадишь(20 -30 думаю потянет).
 
 
 

Всего записей: 4868 | Зарегистр. 10-11-2004 | Отправлено: 10:42 14-11-2007
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
PIX 501, PIX OS 6.3(5)
 
Пробую настроить подсчет трафика на PIX 501 через SNMP.
 
snmp-server host inside 192.168.0.11
snmp-server community WPGqV17n
snmp-server enable traps
 
Софт - Paessler PRTG (Free edition)
 
И как-то не выходит каменный цветок
 
В связи с чем вопрос: это я что-то не докрутил на пиксе? Или с выбором софта ошибся?
 
Чем это принято делать для PIX OS 6.3? Т.к. NetFlow не поддерживается
 
--------------------------------------------------------------
Думаю что строка "snmp-server enable traps" у меня в конфиге лишняя, ибо трапов от него никто не ждет, PRTG полит.
В лог смотрел, записей о том, что что-либо было заблокировано не нашел, из чего сделал вывод что моих ACL на inside достаточно для работы SNMP.

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 00:50 07-01-2008 | Исправлено: rakis, 00:31 08-01-2008
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
PIX OS 7.2(3)
Интерфейсы inside,outside,dmz,private1
Пробую настроить доступ из private1 в inside.
access-list from_private1 extended permit ip object-group NET_PRIVATE1 host HOST1  
access-list from_private1 extended permit icmp object-group NET_PRIVATE1 host HOST1
nat (private1) 0 access-list from_private1
access-group from_private1 in interface private1
 
Пробую ping из NET_PRIVATE1 до HOST1. Не работает. В логе запись
Feb 11 2008 14:21:40 PIX : %PIX-3-305005: No translation group found for icmp src private1:ROUTER1 dst inside:HOST1 (type 8, code 0)
 
ROUTER1 принадлежит сети NET_PRIVATE1.
 
Вопрос:  
Почему ругается "No translation group found"?  
Я ведь явно указал "nat (private1) 0 access-list from_private1", т.е. отключил трансляцию для этого трафика.

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 14:38 11-02-2008
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rakis
Пробни  
access-group from_private1 in interface private1

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 08:54 12-02-2008
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Работает при
access-list from_private1 extended permit tcp object-group NET_PRIVATE1 host HOST1  
nat (private1) 0 access-list from_private1
access-group from_private1 in interface private1
 
В принципе желаемого достиг. Доступ к сервисам HOST1 из сети NET_PRIVATE1 есть. Но имею пагубную привычку - тестить сеть ping'ом.
Но это бог с ним. Помнить что в данном конкретном случае надо telnet пользовать не сложно. Больше волнует почему не работает при добавлении icmp??? С первой попытки какких-либо ограничений в документации не нашел.
 
Причем на другом PIX'е с PIX OS 6.3(5)
scutum# sh run | inc nonat
access-list inside_nonat permit icmp object-group OFFICE_LAN object-group VPN_LAN  
access-list inside_nonat permit ip object-group OFFICE_LAN object-group VPN_LAN  
nat (inside) 0 access-list inside_nonat
Все отлично работает. Ping из VPN_LAN в OFFICE_LAN проходит.

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 16:27 12-02-2008
DanCap

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
помогите в настройке asa5510
настроено
nat-control
global (outside) 1 interface
global (outside) 1 a.b.c.1
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 0 access-list inside_nat0_outbound_1 outside
nat (inside) 1 x.y.10.0 255.255.255.0
 
необходимо
чтобы с одного внутренего Host x.y.10.10 пакеты уходили и транслировались в a.b.c.2
 
делаю  
global (outside) 2 a.b.c.2
nat (inside) 2 x.y.10.10 255.255.255.255
ничего не выходит ((
 

Всего записей: 85 | Зарегистр. 13-05-2005 | Отправлено: 19:18 16-02-2008
8BNHWZ



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DanCap
 
видимо, x.y.10.10 содержится в access-list inside_nat0_outbound или  inside_nat0_outbound_1 outside

Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 23:22 16-02-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru