Настройка Cisco PIX Firewall / ASA - [40] :: В помощь системному администратору :: Компьютерный форум Ru.Board

Перейти из форума на сайт.

Новости • Файловые архивы
Поиск • Активные темы • Топ лист
Правила • Кто в on-line?

Вход • Забыли пароль? • Первый раз на этом сайте? • Регистрация

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему

Написать ответ в эту тему

era

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Cisco PIX Firewall / ASA

Cisco PIX Firewall / ASA [?] - OS ищем тут !

Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco

Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК? [?]
Сброс пароля на Cisco PIX 501 [?]
cisco pix 501 config помогите [?]
Помогите настроить PIX [?]
Cisco ASA 55x0 Remote Access VPN [?]

Родственные темы
Настройка Cisco оборудования. [?]

FAQ

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008

ESX091 Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Не был здесь лет 5-7, а лица все те же. Это я о vlary. alnikolaev, привет. Рад видеть тебя здесь)
	Всего записей: 282 \| Зарегистр. 23-04-2008 \| Отправлено: 18:08 14-01-2018

vlary

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

ESX091
Цитата:

Не был здесь лет 5-7, а лица все те же. Это я о vlary.

И тебе не хворать!
Я бы сказал, что на вопросы отвечают все те же. Из новых Николаев разве что...

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 19:05 14-01-2018

artclub

Full Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Добрый день!

Нужна помощь!

Когда с работы уходит cisco Администратор, что он должен передать другому Администратору, и что нужно проверить и что нужно закрыть или поменять чтоб он не смог из вне контролировать cisco ASA из вне?

Заранее спасибо!

Всего записей: 410 | Зарегистр. 07-02-2008 | Отправлено: 10:30 11-05-2018

alnikolaev

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Конечно же, в первую очередь, нужен login/password для доступа к устройству по SSH или с консоли. Крайне желательно проверить, что он срабатывает в присутствии админа.

Затем, следующим шагом, следует найти в конфиге все аккаунты пользователей, например:
sh run | i username

Далее, крайне желательно поменять пароли для всех пользователей с уровнем доступа privilege 15. В противном случае, эти пользователи уровня admin/root могут снова сменить конфигурацию.
И последнее, убедиться, откуда разрешен доступ к ASA по каждому из протоколов, например, SSH, Telnet, HTTP, найдя соответствующие записи в конфиге:

sh run | i ssh
ssh 0.0.0.0 0.0.0.0 Outside
ssh 10.1.0.0 255.255.0.0 Inside

sh run | i telnet

sh run | i http
http server enable
http 10.1.0.0 255.255.0.0 Inside

При необходимости, подправить IP адреса хостов или подсетей, откуда разрешить доступ.
Полезно проверить, что Вы не потеряли доступ к устройству после модификации конфига. Для этого завершить текущую сессию, набрав exit несколько раз и попробовать залогиниться по новой.

Если все Ок, то можно сохранять новую конфигурацию командой wr. Если нет, всегда можно перезагрузить ASA со старым конфигом.

Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 17:26 11-05-2018

artclub Full Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору alnikolaev Спасибо, выручили!
	Всего записей: 410 \| Зарегистр. 07-02-2008 \| Отправлено: 08:43 14-05-2018

life_so_good

Оптимист

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Всем добрый день, помогите с 5505

хочу добавить подсеть на одном из интерфейсов

через command line interface делаю:

interface vlan 3

Result of the command: "interface vlan 3"

The command has been sent to the device

nameif lan2

Result of the command: "nameif lan2"

nameif lan2
^
ERROR: % Invalid input detected at '^' marker.

всё, приплыл... хорошо, делаю в графическом интерфейсе, иду к NAT

Result of the command: "object network OBJ_NAT_lan2"

The command has been sent to the device

Result of the command: "subnet 10.1.0.0 255.255.255.0"

subnet 10.1.0.0 255.255.255.0
^
ERROR: % Invalid input detected at '^' marker.

на команде subnet аналогичная ошибка синтаксиса

что не так?

Добавлено:
все, через ssh сделал

Всего записей: 1338 | Зарегистр. 30-04-2002 | Отправлено: 09:48 04-07-2018

artclub Full Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Добрый день! Нужно настроить на cisco 5525 Site-to-Site IPsec VPN Кто может помочь или подсказать где можно подробно посмотреть, почитать об этом?
	Всего записей: 410 \| Зарегистр. 07-02-2008 \| Отправлено: 09:29 29-11-2018

alnikolaev

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

artclub
@artclub. привет!

Что касается принципов, то можно посмотреть у меня, разбирал в статье: https://learncisco.ru/security/security.html

На самой же ASA есть отличная пошаговая подсказка в режиме конфигурации для разных типов VPN, например, site-to site:

ASA(config)# vpnsetup site-to-site steps

Steps to configure a site-to-site IKE/IPSec connection with examples:

1. Configure Interfaces

interface GigabitEthernet0/0
ip address 10.10.4.200 255.255.255.0
nameif outside
no shutdown

interface GigabitEthernet0/1
ip address 192.168.0.20 255.255.255.0
nameif inside
no shutdown

2. Configure ISAKMP policy

crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha

3. Configure transform-set

crypto ipsec transform-set myset esp-aes esp-sha-hmac

4. Configure ACL

access-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.50.0 255.255.255.0

5. Configure Tunnel group

tunnel-group 10.20.20.1 type ipsec-l2l
tunnel-group 10.20.20.1 ipsec-attributes
pre-shared-key P@rtn3rNetw0rk

6. Configure crypto map and attach to interface

crypto map mymap 10 match address L2LAccessList
crypto map mymap 10 set peer 10.10.4.108
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set reverse-route
crypto map mymap interface outside

7. Enable isakmp on interface

crypto isakmp enable outside

ASA(config)#

Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 10:46 29-11-2018

artclub Full Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору alnikolaev Спасибо вам за помощь и за быстрый ответ! Сейчас попробую!
	Всего записей: 410 \| Зарегистр. 07-02-2008 \| Отправлено: 10:52 29-11-2018

Godzie

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Добрый день. Пытаюсь обкатать новые версии ASDM и прошивок на оборудовании 5505 ASA и возникает следующая проблема: при попытке зайти через ASDM выдает Unable to launch device manager по причине javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
Версии:
Cisco Adaptive Security Appliance Software Version 9.2(4)
Device Manager Version 7.9(1)151
Java 8 191

Проблема, как я понимаю, возникает из-за того что оборудование k8 и в конфиге используется следующее шифрование:
ssl encryption des-sha1

Но ставить лицензию 3des не хочется. Как можно победить?

Всего записей: 264 | Зарегистр. 11-09-2015 | Отправлено: 14:13 17-12-2018

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Приветствую.
Просьба подсказать советом. Имеется 5506-X. Установил на неё Firepower Threat Defense (FTD) .
Настроил NAT и проброс портов, но нужно ещё настроить фишку, что меняет статический маршрут при сбое интернета путём отслеживания маршрута через фичу SLA.
Но - не могу в FTD добавить резервный статический маршрут и найти настройки этого SLA. Видел в описаниях, что это настраивается через Firepower Management Center. Версия FTD у меня 6.2.3- соответственно вопрос - искать ли мне версию центра FMC 6.2.3(а есть ли он вообще в природе) или с моим FTD будет корректно работать и версии более новые 6.3.3 или 6.4.0, 6.5.1 ?

Всего записей: 150 | Зарегистр. 15-09-2004 | Отправлено: 21:04 04-03-2020

alnikolaev

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

boryanus,

Выдержка из Release Notes:
Version 6.4.0.x FMC can manage Version 6.1 through 6.4.0.x devices.
Version 6.5.0.x FMC can manage Version 6.2.3 through 6.5.0.x devices.

Рекомендуемая стабильная версия FMC: 6.4.0.7
Последняя версия FMC: 6.5.0.4

В любом случае, для работы с FTD 6.2.3 можно использовать и FMC 6.4 и 6.5.
И да, SLA и плавающий статический маршрут настраивается через FMC, функционал встроенного FDM все еще сильно урезан.

Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 13:00 05-03-2020

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:

В любом случае, для работы с FTD 6.2.3 можно использовать и FMC 6.4 и 6.5.
И да, SLA и плавающий статический маршрут настраивается через FMC, функционал встроенного FDM все еще сильно урезан.

Удачи!

Спасибо за ответ. Буду смотреть. Курсы по управлению этими устройствами стоят примерно 4000 баксов в штатах. Заказываю литературу.

Всего записей: 150 | Зарегистр. 15-09-2004 | Отправлено: 16:44 06-03-2020

tag29

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

День добрый!

Есть ASA5505. версия 8.2. Хотел обновить до новой, последний.
Почитал последняя 9.1.7-32 от 2018г. есть на сайте cicso.
И раньше была 9.2.4 . На сайте в realie note написано что существует 9.2.4.5. Сейчас на сайте cisco не нашел.
Подскажите на какую версию лучше обновляться? В чем принципиальная разница. На cisco планирую FW и туннели.

Всего записей: 16 | Зарегистр. 21-09-2005 | Отправлено: 12:08 21-05-2020

alnikolaev

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

@tag29

Коллега, здравствуйте!

Ставьте последнюю доступную для ASA5505 версию (asa917-32-k8.bin). Но, обязательно предварительно изучите настройку и работу NAT/PAT в версиях после 8.3.

Там есть принципиальные изменения как в концепции, так и синтаксисе настройки NAT/PAT.

Удачи,

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 12:59 21-05-2020

contrafack

Silver Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

какой то хрень происходит с AnyConnect (VPN подключение) к Cisco ASA5506

Всего 2 компа, с установленными AnyConnect , в течении 2х лет не одной проблемы, а тут с одного компа пинается что то..
включаю, запрос на не доверенный сертификат (это нормально), нажимаю "всеравно продолжить" , появляется форма логин/пароля и быстро исчезает.
При следующей попытке - уже ошибка сервиса.

Вот такая ошибка: https://www.petenetlive.com/KB/Article/0000950
перезапускаю службу, кажется что все нормально, но все опять по кругу.

Со второго компа все нормально.

-----
комп - OS Windows 10 pro, с последним билдом и обновлениями. антивирус ESET.
Приложение - Cisco AnyConnect Secure Mobility Client Version 4.9.03049

Всего записей: 3427 | Зарегистр. 21-04-2008 | Отправлено: 09:29 30-11-2020

alnikolaev

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Добрый день!

Для траблшутинга AnyConnect на ASA лучше начать с просмотра сообщений/ошибок на самом клиенте. Нажать на настройки (шестеренка) внизу слева окна клиента. Далее, закладка "Message History".

Если логи ничего не прояснили, то включаем отладку на самой ASA:

deb webvpn anyconnect 255

Подключаемся AnyConnect и разбираем ее логи. Предполагается, что на ASA ее классический код, а не FTD.

Удачи!

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 13:15 30-11-2020

contrafack

Silver Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

alnikolaev

в логе так себе..
30.11.2020
13:25:52 Ready to connect.
13:26:13 Contacting *******.
13:26:48 Contacting *******.
13:26:48 Connection attempt has failed.

Вот в 13:26:13 появятся запрос логина и пароля. пока собираюсь ввести - пропадает форма.
в 13:26:48 пытаюсь опять нажать на Connect, но уже выдает ошибку.

Вот еще мне смущает какой то запрос веб авторизации.. может раньше тоже был, не заметил, но тем не менее:

Всего записей: 3427 | Зарегистр. 21-04-2008 | Отправлено: 13:38 30-11-2020

vlary

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

contrafack
Цитата:

пока собираюсь ввести - пропадает форма.

А если просто в броузере набрать этот адрес?
https://your.vpn.tld ? На том ПК, где клиент. Страница с формой появляется?

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 11:00 01-12-2020

alnikolaev

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Возможно, слетел профиль AnyConnect на глючном ПК. Web Authenticatjion обычно не требуется при подключении AnyConnect.

Можно внести любое незначительное изменение в профиль на ASA через ASDM. Тогда новый профиль с ASA должен автоматом подгрузиться на ПК при попытке подключения.

Потом изменения в профиле на ASA можно вернуть обратно.

Как вариант....

Всего записей: 12 | Зарегистр. 17-02-2014 | Отправлено: 13:42 01-12-2020

Открыть новую тему

Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC