Настройка Cisco PIX Firewall / ASA

Автор: rakis
Дата сообщения: 04.08.2009 08:37

slech
В том и печаль. Конфигурации минимум. Ошибаться негде. UDP не режется. Железки между собой пробуют общаться.
Спасибо за конфиг. Попробую добавить "crypto isakmp policy" (у меня сейчас только одна), может договориться не могут?

Автор: slech
Дата сообщения: 04.08.2009 08:53

rakis
закинул конфиг и второй железки.

у тебя судя по всему проблема первой стадии.
как тут советую проврить ip пира, парметры crypto - хотя по конфигу у тебя вроде ок.
У тебя используется agressive mode и peer name вместо IP ?

Автор: ESX091
Дата сообщения: 04.08.2009 09:12

rakis
меня смущают вот эти две команды:
no crypto isakmp nat-traversal
и
crypto map outside_map 1 set peer GADES

Попробуйте вместо GADES и GUARD указать ip-адреса.

Автор: rakis
Дата сообщения: 04.08.2009 09:26

slech
Добавил политик. не помогло. Агресивный режим включен. Идентификация по адресу.
На пире лог практически 1-в-1,
Нашел на другом форуме соратника по несчастью - Перестал работать IPSEC L2L туннель между Cisco ASA. Проблема таже что и у меня.
Добавил peer-isvalidation nocheck. Настроил на outside капчу, из [more=лога]gades# sh run access-list 101
access-list 101 extended permit ah any any
access-list 101 extended permit esp any any
access-list 101 extended permit udp any any eq isakmp
access-list 101 extended permit udp any any eq 4500
gades# sh capt
capture cout type raw-data access-list 101 interface outside [Capturing - 1544 bytes]
gades# sh capt cout
4 packets captured
1: 10:44:22.274079 802.1Q vlan#10 P0 80.x.x.x.500 > 62.y.y.y.500: udp 324
2: 10:44:30.264619 802.1Q vlan#10 P0 80.x.x.x.500 > 62.y.y.y.500: udp 324
3: 10:44:38.262712 802.1Q vlan#10 P0 80.x.x.x.500 > 62.y.y.y.500: udp 324
4: 10:44:46.262025 802.1Q vlan#10 P0 80.x.x.x.500 > 62.y.y.y.500: udp 324
4 packets shown

guard# sh run access-list 101
access-list 101 extended permit ah any any
access-list 101 extended permit esp any any
access-list 101 extended permit udp any any eq isakmp
access-list 101 extended permit udp any any eq 4500
guard# sh capt
capture cout type raw-data access-list 101 interface outside [Capturing - 1528 bytes]
guard# sh capt cout
4 packets captured
1: 10:49:57.891433 80.x.x.x.500 > 62.y.y.y.500: udp 324
2: 10:50:05.883926 80.x.x.x.500 > 62.y.y.y.500: udp 324
3: 10:50:13.883972 80.x.x.x.500 > 62.y.y.y.500: udp 324
4: 10:50:21.884018 80.x.x.x.500 > 62.y.y.y.500: udp 324
4 packets shown[/more] видно что пакеты бегают, но и это и так было видно, из лога IPSEC'а.

--
Вспомнил. Статейка по поводу проверки пира и параметров ночью попадалась. Один из советов уменьшить размер ключа, сделал, не помогло. Остальное касается nonat и совпадения опций, тоже перепроверено на несколько раз.
--

ESX091
Цитата:

no crypto isakmp nat-traversal
и
crypto map outside_map 1 set peer GADES

nat-traversal отключил от безисходности, это нужно только если железка за натом стоит, у меня она напрямую в инет смотрит.
Имена были заданы через "name <адрес> <имя>", уже отключил.

Автор: slech
Дата сообщения: 04.08.2009 10:23

rakis
выключи агресивный - он помоему только когда идентификация по PeerName происходит а не по IP.

Автор: rakis
Дата сообщения: 04.08.2009 10:59

slech
Цитата:

выключи агресивный

Сделал. Не помогло

Автор: slech
Дата сообщения: 04.08.2009 14:40

rakis
через ASDM не пробовал настраивать ?

Автор: ESX091
Дата сообщения: 04.08.2009 15:15

rakis
покажите конфиги, которые сейчас не работают.
вот эту команду уберите
crypto isakmp identity address

если проблема не решится, покажите по командно, что вбиваете
вот минимальный пример рабочего конфига (по командам)

crypto isakmp policy 10
encryption 3des
authentication pre-share

crypto isakmp enable outside

access-list NONAT permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
crypto ipsec transform-set TS esp-3des esp-md5-hmac

tunnel-group 10.1.1.2 type ipsec-l2l
tunnel-group 10.1.1.2 ipsec-attributes
pre-shared-key CISCO

crypto map VPN 10 set transform-set TS
crypto map VPN 10 set peer 10.1.1.2
crypto map VPN 10 match address NONAT
crypto map VPN interface outside
sysopt connection permit-vpn

на второй асе будет зеркально:
crypto isakmp policy 10
encryption 3des
authentication pre-share

crypto isakmp enable outside

access-list NONAT permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
crypto ipsec transform-set TS esp-3des esp-md5-hmac

tunnel-group 10.2.2.2 type ipsec-l2l
tunnel-group 10.2.2.2 ipsec-attributes
pre-shared-key CISCO

crypto map VPN 10 set transform-set TS
crypto map VPN 10 set peer 10.2.2.2
crypto map VPN 10 match address NONAT
crypto map VPN interface outside
sysopt connection permit-vpn

10.2.2.2 и 10.1.1.2 - внешние (outside) адреса ASA.
192.168.1.х и 192.168.2.х -внутренние подсети

Добавлено:
slech
по поводу пинга
насколько я знаю, ASA не позволяет пинговать distant interfac-ы (т.е. интерфейсы, к которым Вы НЕ подключены).
исключение составляет VPN и используется команда "management-access XXXX (interface)".
что-то кошкин сайт тупит... не могу подключиться проверить..((
если не прав, поправьте.

Автор: rakis
Дата сообщения: 04.08.2009 19:50

slech
Цитата:

через ASDM не пробовал настраивать ?

Это первое что попробовал. Когда не заработало, начал колупать из консоли.

ESX091
Цитата:

покажите конфиги, которые сейчас не работают.

[more=gades]!
ASA Version 8.2(1)
!
hostname gades
domain-name office.local
enable password <removed> encrypted
passwd <removed> encrypted
names
name 192.168.100.2 iWINROUTE
name 62.y.y.y eGADES
name 192.168.100.1 iGADES
name 192.168.100.76 iVOICEGW
!
interface Vlan1
nameif inside
security-level 100
ip address iGADES 255.255.255.0
!
interface Vlan10
nameif outside
security-level 0
ip address eGADES 255.255.255.252
!
interface Vlan99
no nameif
no security-level
ip address 192.168.255.1 255.255.255.0
management-only
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 10
!
interface Ethernet0/2
shutdown
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport access vlan 99
!
banner login -----------------------------------------------------------------------------
banner login WARNING: This is a restricted access system. If you do not have explicit
banner login permission to access this system, please disconnect immediately!
banner login -----------------------------------------------------------------------------
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name spb.pc-energo
object-group service to_winroute_tcp tcp
port-object range ftp-data ftp
object-group network NET_HQ
network-object 80.x.x.0 255.255.255.240
object-group service ipsec
service-object gre
service-object esp
service-object ah
service-object udp eq isakmp
service-object udp eq 4500
object-group service voice_tcp-udp
service-object udp eq 1718
service-object udp eq 1719
service-object tcp eq h323
service-object tcp eq 1731
access-list inside_nat extended permit gre host iWINROUTE any
access-list inside_nat extended permit ip host iWINROUTE any
access-list inside_nat extended permit icmp host iWINROUTE any
access-list inside_nat extended permit ip host iVOICEGW object-group NET_HQ
access-list from_inside extended permit gre host iWINROUTE any
access-list from_inside extended permit ip host iWINROUTE any
access-list from_inside extended permit icmp host iWINROUTE any
access-list from_inside extended permit ip host iVOICEGW object-group NET_HQ
access-list from_outside extended permit icmp any any echo-reply
access-list from_outside extended permit tcp any interface outside object-group to_winroute_tcp
access-list from_outside extended permit icmp any any source-quench
access-list from_outside extended permit icmp any any unreachable
access-list from_outside extended permit icmp any any time-exceeded
access-list from_outside extended permit object-group voice_tcp-udp object-group NET_HQ interface outside
access-list from_outside extended permit icmp any any
access-list 100 extended permit ip 192.168.100.0 255.255.255.0 172.16.0.0 255.240.0.0
access-list 101 extended permit ah any any
access-list 101 extended permit esp any any
access-list 101 extended permit udp any any eq isakmp
access-list 101 extended permit udp any any eq 4500
access-list nonat extended permit ip 192.168.100.0 255.255.255.0 172.22.22.0 255.255.255.0
pager lines 24
logging enable
logging timestamp
logging buffer-size 128000
logging buffered debugging
logging trap informational
logging asdm warnings
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 0 access-list nonat
nat (inside) 10 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface ftp-data iWINROUTE ftp-data netmask 255.255.255.255
static (inside,outside) tcp interface ftp iWINROUTE ftp netmask 255.255.255.255
static (inside,outside) udp interface 1718 iVOICEGW 1718 netmask 255.255.255.255
static (inside,outside) udp interface 1719 iVOICEGW 1719 netmask 255.255.255.255
static (inside,outside) tcp interface h323 iVOICEGW h323 netmask 255.255.255.255
static (inside,outside) tcp interface 1731 iVOICEGW 1731 netmask 255.255.255.255
access-group from_inside in interface inside
access-group from_outside in interface outside
route outside 0.0.0.0 0.0.0.0 62.y.y.y 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL
aaa authentication serial console LOCAL
aaa authentication enable console LOCAL
http server enable
http server idle-timeout 15
http server session-timeout 30
http 80.x.x.0 255.255.255.240 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address 100
crypto map outside_map 1 set peer 80.x.x.3
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
crypto isakmp policy 50
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp am-disable
crypto isakmp disconnect-notify
telnet 0.0.0.0 0.0.0.0 inside
telnet 80.x.x.0 255.255.255.240 outside
telnet timeout 10
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
ssh 80.x.x.0 255.255.255.240 outside
ssh timeout 10
ssh version 2
console timeout 30

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username radmin password <removed> encrypted privilege 15
tunnel-group 80.x.x.3 type ipsec-l2l
tunnel-group 80.x.x.3 ipsec-attributes
pre-shared-key 121314
peer-id-validate nocheck
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 1024
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:6507bd86a5866b0c048f503ce9c8beeb
: end[/more]
[more=guard]!
ASA Version 8.2(1)
!
hostname guard
domain-name local.tld
enable password <removed> encrypted
passwd <removed> encrypted
names
name 80.x.x.5 eCGP
name 10.20.0.2 iCGP
name 80.x.x.3 eGUARD
name 172.22.12.200 iCASABLANKA
name 172.22.12.110 iPIXIE
name 172.22.10.126 PRINTER1
name 172.22.0.1 LAN_GATEWAY
name 172.16.0.1 iGUARD
name 80.x.x.13 ePC1
name 10.20.0.101 iPC1
name 172.22.202.2 Loskutnikova
name 83.222.23.208 u43453.ftp.masterhost.ru
name 89.108.86.110 ftp.lenera.ru
name 10.20.0.4 iPOLYCOM
name 80.x.x.11 ePOLYCOM
name 172.22.12.207 iASY_ARCHIVE
name 83.x1.x1.x1 ASNTL
name 195.x2.x2.x2 VKS1
name 195.x3.x3.x3 VKS2
name 80.x4.x4.x4 VKS3
name 62.x5.x5.x5 VKS4
name 212.x6.x6.x6 VKS5
name 80.x.x.12 ePROJECT
name 172.22.12.214 iPROJECT
name 217.107.216.59 TAXCOM1
name 195.161.113.229 TAXCOM2
name 195.161.42.220 TAXCOM3
name 212.92.96.60 TAXCOM4
name 77.91.230.114 TAXCOM5
name 213.221.47.78 webtours.ru
name 172.17.10.11 iVOLANS
name 217.175.155.18 ticket.rzd.ru
name 80.x.x.4 IP4NAT-1
name 80.x.x.6 IP4NAT-2
name 80.x.x.7 IP4NAT-3
name 62.141.125.30 BR-SRV2
name 80.x.x.9 eVOICEGW
name 80.x.x.14 eKHRONOS
name 172.22.22.22 iKHRONOS
name 10.20.0.6 iVAULT2
name 80.x.x.8 eVAULT2
name 10.20.0.5 iVAULT-TEST
name 80.x.x.10 eVAULT-TEST
name 10.20.0.3 iVAULT
name 10.20.0.1 iDMZ
name 172.22.22.89 ETimonin
name 172.22.12.205 iACADLS
name 172.22.12.219 iMODELS
name 172.22.22.77 iVOICEGW
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address eGUARD 255.255.255.240
ospf cost 10
!
interface Ethernet0/1
speed 100
duplex full
nameif inside
security-level 100
ip address iGUARD 255.255.255.252
ospf cost 10
!
interface Ethernet0/2
nameif DMZ
security-level 60
ip address iDMZ 255.255.255.0
ospf cost 10
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
no nameif
no security-level
ip address 192.168.255.1 255.255.255.0
management-only
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name office.local
object-group service to_mail tcp
port-object eq 993
port-object eq 9100
port-object eq 465
port-object eq 995
port-object eq smtp
port-object eq 9010
port-object eq pop3
port-object eq ldap
object-group service from_proxy_tcp tcp
port-object eq domain
port-object eq www
port-object eq https
port-object eq aol
port-object eq ftp-data
port-object eq ftp
port-object eq 9100
port-object eq 483
port-object eq 7771
port-object eq 7772
object-group service from_proxy_udp udp
port-object eq domain
port-object eq ntp
object-group network ISP_DNS
network-object host 80.x7.x7.x7
network-object host 80.x7.x7.x7
object-group service to_ftp tcp
port-object range ftp-data ftp
object-group network NET_MAIN
network-object 172.16.0.0 255.255.255.252
network-object 172.17.0.0 255.255.0.0
network-object 172.22.0.0 255.255.0.0
object-group network NET_DMZ
network-object 10.20.0.0 255.255.255.0
object-group network NET_ADMINS
network-object 172.22.22.0 255.255.255.0
object-group network MAIL_SERVERS
network-object host 213.180.204.37
network-object host 213.180.204.38
network-object host 213.180.193.24
network-object host 194.67.23.102
network-object host 194.67.23.220
object-group network TRUSTED_SERVERS
network-object host TAXCOM1
network-object host TAXCOM2
network-object host TAXCOM3
network-object host TAXCOM4
network-object host TAXCOM5
object-group network VKS_SERVERS
network-object host VKS1
network-object host VKS2
network-object host VKS3
network-object host VKS4
network-object host VKS5
object-group network NET-SUB1
network-object 172.17.201.0 255.255.255.0
object-group network NET_SUB2
network-object 172.17.202.0 255.255.255.0
object-group network WITHOUT_PROXY
network-object host 80.68.241.182
network-object host 80.68.246.56
object-group service voice_tcp-udp
service-object udp eq 1718
service-object udp eq 1719
service-object tcp eq h323
service-object tcp eq 1731
access-list from_outside extended permit tcp any host eCGP object-group to_mail
access-list from_outside extended permit icmp any any echo-reply
access-list from_outside extended permit tcp host eCGP host IP4NAT-1
access-list from_outside extended permit tcp object-group VKS_SERVERS host ePOLYCOM
access-list from_outside extended permit udp object-group VKS_SERVERS host ePOLYCOM
access-list from_outside extended permit tcp any host ePROJECT eq 17170
access-list from_outside extended permit tcp any host ePROJECT eq 17173
access-list from_outside extended permit tcp any host eCGP object-group to_ftp
access-list from_outside extended permit icmp any any source-quench
access-list from_outside extended permit icmp any any unreachable
access-list from_outside extended permit icmp any any time-exceeded
access-list from_outside extended permit object-group voice_tcp-udp host 62.y.y.y host eVOICEGW
access-list from_outside extended permit ip host 62.y.y.y host eVOICEGW
access-list from_inside extended permit ip host Loskutnikova any
access-list from_inside extended permit tcp object-group NET_MAIN host 62.y.y.y object-group to_ftp
access-list from_inside extended permit tcp object-group NET_MAIN host iVAULT eq 1433
access-list from_inside extended permit tcp object-group NET_MAIN host iVAULT2 eq 1433
access-list from_inside extended permit tcp host iPIXIE any object-group from_proxy_tcp
access-list from_inside extended permit udp host iPIXIE any object-group from_proxy_udp
access-list from_inside extended permit udp host iCASABLANKA any eq ntp
access-list from_inside extended permit tcp object-group NET_MAIN host 213.180.204.37 eq pop3
access-list from_inside extended permit udp object-group NET_MAIN object-group ISP_DNS eq domain
access-list from_inside extended permit ip object-group NET_ADMINS any
access-list from_inside extended permit tcp object-group NET_MAIN object-group NET_DMZ object-group to_mail
access-list from_inside extended permit gre object-group NET_ADMINS any
access-list from_inside extended permit icmp object-group NET_ADMINS any
access-list from_inside extended permit ip object-group NET_MAIN object-group NET_VPN
access-list from_inside extended permit tcp object-group NET_MAIN host eCGP object-group to_mail
access-list from_inside extended permit tcp host iACADLS host iCGP eq ssh
access-list from_inside extended permit tcp object-group NET_MAIN object-group TRUSTED_SERVERS
access-list from_inside extended permit tcp host iVOLANS any object-group from_proxy_tcp
access-list from_inside extended permit udp host iVOLANS any object-group from_proxy_udp
access-list from_inside extended permit tcp object-group NET_MAIN object-group NET_DMZ object-group to_ftp
access-list from_inside extended permit tcp object-group NET_MAIN host eCGP object-group to_ftp
access-list from_inside extended permit ip object-group NET-SUB1 any
access-list from_inside extended permit ip object-group NET_SUB2 any
access-list from_inside extended permit tcp object-group NET_MAIN object-group WITHOUT_PROXY
access-list from_inside extended permit tcp host iVOLANS host iCGP eq ssh
access-list from_inside extended permit ip host iMODELS any
access-list inside_nonat extended permit ip object-group NET_MAIN object-group NET_DMZ
access-list inside_nonat extended permit ip object-group NET_MAIN object-group NET_VPN
access-list inside_nonat extended permit ip object-group NET-SUB1 object-group NET_DMZ
access-list inside_nonat extended permit ip object-group NET_SUB2 object-group NET_DMZ
access-list inside_nonat extended permit ip 172.22.22.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list inside_nat extended permit gre object-group NET_ADMINS any
access-list inside_nat extended permit ip object-group NET_ADMINS any
access-list inside_nat extended permit icmp object-group NET_ADMINS any
access-list inside_nat extended permit tcp host iPIXIE any
access-list inside_nat extended permit udp host iPIXIE any
access-list inside_nat extended permit udp host iCASABLANKA any
access-list inside_nat extended permit tcp host iVOLANS any
access-list inside_nat extended permit udp host iVOLANS any
access-list inside_nat extended permit ip object-group NET_MAIN any
access-list inside_nat extended permit ip host iMODELS any
access-list inside_nat_sub1 extended permit ip object-group NET-SUB1 any
access-list inside_nat_sub2 extended permit ip object-group NET_SUB2 any
access-list DMZ_nonat extended permit ip object-group NET_DMZ object-group NET_VPN
access-list DMZ_nonat extended permit ip object-group NET_DMZ object-group NET_MAIN
access-list DMZ_nonat extended permit ip object-group NET_DMZ object-group NET-SUB1
access-list DMZ_nonat extended permit ip object-group NET_DMZ object-group NET_SUB2
access-list 101 extended permit ah any any
access-list 101 extended permit esp any any
access-list 101 extended permit udp any any eq isakmp
access-list 101 extended permit udp any any eq 4500
access-list 100 extended permit ip 172.16.0.0 255.240.0.0 192.168.100.0 255.255.255.0
pager lines 24
logging enable
logging timestamp
logging buffer-size 128000
logging buffered debugging
logging trap informational
logging asdm warnings
logging device-id ipaddress inside
logging host inside iACADLS
logging host inside iKHRONOS
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
asdm location iKHRONOS 255.255.255.255 inside
asdm history enable
arp timeout 14400
nat-control
global (outside) 300 IP4NAT-1
global (outside) 201 IP4NAT-2 netmask 255.0.0.0
global (outside) 202 IP4NAT-3 netmask 255.0.0.0
nat (inside) 0 access-list inside_nonat
nat (inside) 300 access-list inside_nat
nat (inside) 201 access-list inside_nat_sub1
nat (inside) 202 access-list inside_nat_sub2
nat (DMZ) 0 access-list DMZ_nonat
static (DMZ,outside) eCGP iCGP netmask 255.255.255.255
static (inside,outside) eKHRONOS iKHRONOS netmask 255.255.255.255
static (DMZ,outside) ePC1 iPC1 netmask 255.255.255.255
static (DMZ,outside) ePOLYCOM iPOLYCOM netmask 255.255.255.255
static (inside,outside) ePROJECT iASY_ARCHIVE netmask 255.255.255.255
static (DMZ,outside) eVAULT-TEST iVAULT-TEST netmask 255.255.255.255
static (DMZ,outside) eVAULT2 iVAULT2 netmask 255.255.255.255
static (inside,outside) eVOICEGW iVOICEGW netmask 255.255.255.255
access-group from_outside in interface outside
access-group from_inside in interface inside
route outside 0.0.0.0 0.0.0.0 80.x.x.1 1
route inside 172.17.0.0 255.255.0.0 172.16.0.2 1
route inside 172.22.0.0 255.255.0.0 172.16.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa authentication enable console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 inside
snmp-server host inside iACADLS community <removed> version 2c
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address 100
crypto map outside_map 1 set peer 62.y.y.y
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
crypto isakmp policy 50
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp am-disable
crypto isakmp disconnect-notify
telnet timeout 5
ssh scopy enable
ssh 192.168.250.0 255.255.255.240 outside
ssh 83.220.162.154 255.255.255.255 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 30
ssh version 2
console timeout 15
management-access inside
priority-queue outside
tx-ring-limit 256
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server iVOLANS source inside
tftp-server inside iVOLANS /
webvpn
username radmin password removed encrypted privilege 15
tunnel-group 62.y.y.y type ipsec-l2l
tunnel-group 62.y.y.y ipsec-attributes
pre-shared-key 121314
peer-id-validate nocheck
!
class-map VoIP
description High Priority = VoIP
match dscp ef
class-map inspection_default
match default-inspection-traffic
class-map imblock
match any
class-map P2P
match port tcp eq www
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect http
inspect pptp
inspect icmp
inspect mgcp
policy-map VoIP
class VoIP
priority
policy-map type inspect http P2P_HTTP
parameters
match request uri regex _default_gator
drop-connection log
match request uri regex _default_x-kazaa-network
drop-connection log
policy-map IM_P2P
class imblock
class P2P
inspect http P2P_HTTP
policy-map type inspect dns migrated_dns_map_1
parameters
!
service-policy global_policy global
service-policy VoIP interface outside
service-policy IM_P2P interface inside
prompt hostname context [/more]

Цитата:

вот эту команду уберите
crypto isakmp identity address

убирал, не помогает.

Минимальный рабочий конфиг есть на cisco.com, ссылку я выше приводил (по которой настраивал). Конфиги IPSEC'а полностью зеркальны.
Более того, на guard'е (5510) были настройки для подключения VPN клиента и прекрасно все работало. Убил в процессе поиска проблемы, чтобы конфиг максимально совпадал с примером настройки.

Автор: rakis
Дата сообщения: 05.08.2009 23:23

Перенастроил с Site-to-Site на EaseVPN.

gades# sh run crypto
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto isakmp am-disable
crypto isakmp disconnect-notify
gades# sh run vpnclient
vpnclient server 80.x.x.3
vpnclient mode network-extension-mode
vpnclient vpngroup brgroup1 password ********
vpnclient username bruser1 password ********
vpnclient enable

guard# sh run crypto
crypto ipsec transform-set brtset esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map easyvpn100 100 set transform-set brtset
crypto map outside_map 100 ipsec-isakmp dynamic easyvpn100
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 100
authentication pre-share
encryption 3des
hash md5
group 1
lifetime 86400
crypto isakmp am-disable
crypto isakmp disconnect-notify
guard# sh run tunnel
tunnel-group brgroup1 type remote-access
tunnel-group brgroup1 general-attributes
default-group-policy tunnel
tunnel-group brgroup1 ipsec-attributes
pre-shared-key *

Не помогло. В [more=логе]gades# clear logging buffer
gades#
gades# debug crypto ipsec 7
gades# debug crypto isakmp 7
gades#
gades# clear crypto isakmp sa
gades# Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, IKE SA AM:499dafdd rcv'd Terminate: state AM_WAIT_MSG2
flags 0x00000021, refcnt 1, tuncnt 0
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, IKE SA AM:499dafdd terminating: flags 0x01000021, refcnt 0, t
uncnt 0
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, sending delete/delete with reason message
clear crypto ipsec sa
gades# : IP = 80.x.x.3, Removing peer from peer table failed, no match!
Aug 05 23:53:42 [IKEv1]: IP = 80.x.x.3, Error: Unable to remove PeerTblEntry

gades# sh crypto ipsec sa

There are no ipsec sas
gades# sh crypto isakmp sa

There are no isakmp sas
gades# Aug 05 23:53:42 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:53:42 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:53:42 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:53:42 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:53:42 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:53:42 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:53:42 [IKEv1 DEBUG]: Pitcher: received a key acquire message, spi 0x0
Aug 05 23:53:42 [IKEv1]: IP = 80.x.x.3, IKE Initiator: New Phase 1, Intf NP Identity Ifc, IKE Peer 80.251.13
5.3 local Proxy Address 62.141.122.54, remote Proxy Address 80.x.x.3, Crypto map (_vpnc_cm)
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing ISAKMP SA payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing ke payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing nonce payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing ID payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing Cisco Unity VID payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing xauth V6 VID payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing NAT-Traversal VID ver 02 payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing NAT-Traversal VID ver 03 payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing NAT-Traversal VID ver RFC payload
Aug 05 23:53:42 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing Fragmentation VID + extended capabilities payload
Aug 05 23:53:42 [IKEv1]: IP = 80.x.x.3, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) +
KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13)
+ NONE (0) total length : 1033
Aug 05 23:53:50 [IKEv1]: IP = 80.x.x.3, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1)
+ KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (1
3) + NONE (0) total length : 1033
Aug 05 23:53:58 [IKEv1]: IP = 80.x.x.3, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1)
+ KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (1
3) + NONE (0) total length : 1033
Aug 05 23:54:06 [IKEv1]: IP = 80.x.x.3, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1)
+ KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (1
3) + NONE (0) total length : 1033
Aug 05 23:54:14 [IKEv1 DEBUG]: IP = 80.x.x.3, IKE AM Initiator FSM error history (struct &0xd92fec90) <stat
e>, <event>: AM_DONE, EV_ERROR-->AM_WAIT_MSG2, EV_RETRY-->AM_WAIT_MSG2, EV_TIMEOUT-->AM_WAIT_MSG2, NullEvent-->
AM_SND_MSG1, EV_SND_MSG-->AM_SND_MSG1, EV_START_TMR-->AM_SND_MSG1, EV_RESEND_MSG-->AM_WAIT_MSG2, EV_RETRY
Aug 05 23:54:14 [IKEv1 DEBUG]: IP = 80.x.x.3, IKE SA AM:7520b88a terminating: flags 0x01000021, refcnt 0, t
uncnt 0
Aug 05 23:54:14 [IKEv1 DEBUG]: IP = 80.x.x.3, sending delete/delete with reason message
Aug 05 23:54:14 [IKEv1]: IP = 80.x.x.3, Removing peer from peer table failed, no match!
Aug 05 23:54:14 [IKEv1]: IP = 80.x.x.3, Error: Unable to remove PeerTblEntry
Aug 05 23:54:15 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:54:15 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:54:15 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:54:15 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:54:15 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:54:15 [IKEv1]: Ignoring msg to mark SA with specified coordinates <_vpnc_cm, 10> dead
Aug 05 23:54:15 [IKEv1 DEBUG]: Pitcher: received a key acquire message, spi 0x0
Aug 05 23:54:15 [IKEv1]: IP = 80.x.x.3, IKE Initiator: New Phase 1, Intf NP Identity Ifc, IKE Peer 80.251.13
5.3 local Proxy Address 62.141.122.54, remote Proxy Address 80.x.x.3, Crypto map (_vpnc_cm)
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing ISAKMP SA payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing ke payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing nonce payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing ID payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing Cisco Unity VID payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing xauth V6 VID payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing NAT-Traversal VID ver 02 payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing NAT-Traversal VID ver 03 payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing NAT-Traversal VID ver RFC payload
Aug 05 23:54:15 [IKEv1 DEBUG]: IP = 80.x.x.3, constructing Fragmentation VID + extended capabilities payload
Aug 05 23:54:15 [IKEv1]: IP = 80.x.x.3, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) +
KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13)
+ NONE (0) total length : 1033
Aug 05 23:54:23 [IKEv1]: IP = 80.x.x.3, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1)
+ KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (1
3) + NONE (0) total length : 1033
Aug 05 23:54:31 [IKEv1]: IP = 80.x.x.3, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1)
+ KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (1
3) + NONE (0) total length : 1033
Aug 05 23:54:39 [IKEv1]: IP = 80.x.x.3, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1)
+ KE (4) + NONCE (10) + ID (5) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (13) + VENDOR (1
3) + NONE (0) total length : 1033
Aug 05 23:54:47 [IKEv1 DEBUG]: IP = 80.x.x.3, IKE AM Initiator FSM error history (struct &0xd852a0d0) <stat
e>, <event>: AM_DONE, EV_ERROR-->AM_WAIT_MSG2, EV_RETRY-->AM_WAIT_MSG2, EV_TIMEOUT-->AM_WAIT_MSG2, NullEvent-->
AM_SND_MSG1, EV_SND_MSG-->AM_SND_MSG1, EV_START_TMR-->AM_SND_MSG1, EV_RESEND_MSG-->AM_WAIT_MSG2, EV_RETRY
Aug 05 23:54:47 [IKEv1 DEBUG]: IP = 80.x.x.3, IKE SA AM:77a824de terminating: flags 0x01000021, refcnt 0, t
uncnt 0
Aug 05 23:54:47 [IKEv1 DEBUG]: IP = 80.x.x.3, sending delete/delete with reason message
Aug 05 23:54:47 [IKEv1]: IP = 80.x.x.3, Removing peer from peer table failed, no match!
Aug 05 23:54:47 [IKEv1]: IP = 80.x.x.3, Error: Unable to remove PeerTblEntry[/more] таже ошибка. Все. Идеи кончились.

--
Сделал даунгрейд до 8.0(4). Удалил из конфига все что относилось к IPSEC'у. Настроил заново с помощью ASDM'а. Не помогло.

Автор: yarasha
Дата сообщения: 07.08.2009 00:30

ci
Цитата:

slech
по поводу пинга
насколько я знаю, ASA не позволяет пинговать distant interfac-ы (т.е. интерфейсы, к которым Вы НЕ подключены).
исключение составляет VPN и используется команда "management-access XXXX (interface)".

Нееее....Все она позволяет. Хотя вопрос slech задал спору нет, интересный. Ниже написано так, как понял это я, а понял я не до конца, так как у меня не все работает, как хотелось.
1. По умолчанию, все запрещено, то есть надо все явно разрешать.
2. ICMP трафик через Cisco и трафик директ на любой из интерфейсов, в идеологии Cisco начиная где-то с IOS 8.x , как говорят в Одессе две большие разницы. Почему так, ой не спрашивайте меня, раньше было проще, а сейчас я и сам теряюсь. Есть только предположения, что это связано с определенным типом возможных атак.
3. Если есть NAT, то надо еще отдельно заморочки и правила писать

У меня работает приблизительно следующее:

ciscoasa (config) # icmp permit any conversion-error outside
ciscoasa (config) # icmp permit any echo-replay outside
ciscoasa (config) # icmp permit any parameter-problem outside
ciscoasa (config) # icmp permit any source-quench outside
ciscoasa (config) # icmp permit any time-exceeded outside
ciscoasa (config) # icmp permit any unreachable outside

Причем для пингов проходящих через ASA в другие сети написаны отдельные правила

Автор: godzmei
Дата сообщения: 10.08.2009 18:18

Всем доброго времени суток !!! вопрос вот в чём приобрел AsA5505 пока настроил просто на раздачу инета с внешнего IP выяснил что данный агрегат может отдавать инет лишь 7 или 10 юзерам по крайней мере у меня выходит так , похоже что всё первые 7 юзеров цепляются и берут инет всем остальным фиг, только если по таймину кто то отпадёт то на его место другой активный IP залазит.. ... теперь вопрос приобретя отдельно лицензию update с 10 на 50 юзеров я смогу раздать инет всем страждущим в офисе а у меня примерно 30 машин или в этой модели циски как то железно все это залочено и лицензии не помогут (типа вот у неё есть сем портов, вот только семь юзеров и можно подключить и раздать им инет )?? подскажите плизз

и ещё подскажите как мне два офиса соединить по средством ASA5505 на обоих конца по такому девайсу в обоих офисах статичные внешние ip нужно соорудить тунель чтоб локальные внутрение сети двух офисов увидали друг друга ..помогите если не трудно , я пока новичок циску плохо знаю, разбираю потихоньку с её встроеным веб интерфейсом командную строку и команды ещё не постиг ... буу рад ответу и помощи

Автор: se111
Дата сообщения: 11.08.2009 04:34

господа помогите с проблемкой http://forum.ru-board.com/topic.cgi?forum=8&topic=33646#1 , замучался с VPN на cisco 1841

Автор: ESX091
Дата сообщения: 12.08.2009 10:56

to yarasha

Цитата:

Нееее....Все она позволяет.

Напиши, пожалуйста, какие команды использовать, чтобы находясь inside, мог пинговать outside интерфейс?
и версию оси.

у меня немного другая информация, правда она касается пиксов, так что вполне возможно, что за это время FAQ на cisco.com уже не актуален.

http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/products_qanda_item09186a0080094874.shtml

Добавлено:
godzmei
Если нужно подключить более 10 пользователей, докупайте лицензию + сетевое оборудование, к которому будете подключать остальных пользователей, например, коммутатор(ы).
Соединить 2 удаленных офиса с помощью ас можно.
скиньте (можно в личку) внешние адреса и подсети за каждой из ас, перешлю конфиг.

хотя пример конфигурации и ссылка на сайт производителя (поиск по LAN-to-LAN Tunnel Between ASA 5505 and ASA/PIX Configuration Example. ) есть на предыдущей странице.

Автор: slech
Дата сообщения: 13.08.2009 14:48

rakis
у меня прямо повторилась сегодня твоя же история.
Cisco ASA 5510 <--> NetGear FVX 538
удалял, пересоздавал, дебагил. результата 0.
в какой то момент заработало самом собой.

Автор: yarasha
Дата сообщения: 13.08.2009 14:51

ESX091

если ошибаюсь, просьба поправьте.
Да с PIX именно так и было. У меня был PIX 501 - так там интерфейса было реальных только 2 (inside, ourside). Switch ports не в счет.
Сейчас я говорю о ASA 5510 (IOS 8.2) Я использую 5 !! инерфейсов не считая SSM CSC модуля. Так вот, понятие inside - outside, как таковое в приминени к интерфейсам уже изменилось. Оно определяется исключительно security level.

например у меня:
Eth 0/0 level 0 plovider1
Eth 0/1 level 50 dmz
Eth 0/2 level 50 gastnet
Eth0/3 level 0 provider2
Man 0/0 level 100 ournet

мне тогда нужно было, что-бы я Eth 0/1 и Eth 0/2 с любого (внутреннего) хоста мог пинговать.
Ранее написанные строки у меня работали под ээээ... 7.2.3 ???? Но работали - клянусь своей тюбитекой. Сейчас такой необходимости нет.
Источником информации я брал.. во вспомнил!!! Cisco ASA Configuration Richard A.Deal
Там этот вопрос расписан.

Автор: ESX091
Дата сообщения: 13.08.2009 16:16

странно

Цитата:

ciscoasa (config) # icmp permit any conversion-error outside
ciscoasa (config) # icmp permit any parameter-problem outside
ciscoasa (config) # icmp permit any source-quench outside

таких команд у меня вообще нет, если только через ICMP Type Literals (т.е через цифры), например
ciscoasa (config) # icmp permit any conversion-error outside
у меня можно записать только как
ciscoasa (config) # icmp permit any 31 outside

и все равно не получается.
ASA# show ver

Cisco Adaptive Security Appliance Software Version 8.2(1)
Device Manager Version 6.2(1)

Compiled on Tue 05-May-09 22:45 by builders
System image file is "disk0:/asa821-k8.bin"
Config file at boot was "startup-config"

ASA up 25 days 20 hours

Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz

Если найдете ссылку и команды, которые позволят это делать, киньте, пожалуйста.

Автор: System_gluk
Дата сообщения: 13.08.2009 16:26

Доброго времени суток.
Есть 6500 и FWSM модуль.

Цитата:

FWSM5# sh ver

FWSM Firewall Version 3.1(4)
Device Manager Version 5.1(1)

нат настроен..графики говорят 60мегабит трафика..хотя реально там 120-130..что может быть не так? лицензия какая-т на FWSM надо?

Автор: ESX091
Дата сообщения: 13.08.2009 16:49

yarasha
slech
Нашел то, что искал
http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/trouble.html#wp1059645
NOTE:

Цитата:

For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network

Автор: yarasha
Дата сообщения: 14.08.2009 11:25

ESX091

Да, но это же для 7.1 . Я не спорю. Сразу встречный вопрос, а DMZ в реализации ASA это inside или outside? А если два провайдера??? То значит я с хоста на одном интерфейсе могу пинговать другой интерфейс, ведь оба интерфейса outside???

ICMP filtering очень сильно отличается от версии к версии. Например до версии 5.2 ping an any interface точно без бубна работал !!!!.
нужны ссылки от версии 8.0

Автор: ESX091
Дата сообщения: 14.08.2009 13:06

yarasha
да какая разница сколько интерфейсов и как они называются, главное, что не same-security =)
Если есть команды, то скинь, а нужную версию софта я найду.
я пробовал на разных ios-ах, результат одинаков.
Еще буду очень благодарен, если поделишься вот этой книженцией Cisco ASA Configuration
в нете не нашел.

Автор: rakis
Дата сообщения: 17.08.2009 07:42

Ну что ж коллеги. Все мои злоключения по поводу не рабочего IPSEC'а наконец закончились.
Спасибо всем откликнувшимся за помощь.

Проблема оказалась проста до безобразия - филиал прислал настройки:
ip 62.y.y.54
mask 255.255.255.252
gate 62.x.x.55
Посыпаю голову пеплом: 62.x.x.55 - широковещательный адрес для сетки 62.y.y.54/30. После исправления шлюза на 62.y.y.53, все заработало с первоначальными настройками.

P.S. В очередной раз убедился в двух прописных истинах - "чудес не бывает" и "доверяй, но проверяй". Настройки были взяты со старого шлюза, не думая вбил на новом

Автор: tyghr
Дата сообщения: 17.08.2009 11:13

приветствую всех!

нужен совет,
ситуация:

ПИКС:
внешний интерфейс
ДМЗ
внутренний интерфейс

в ДМЗ есть сервер (1.1.1.20) , на нем крутится апаче 80 порт
с одного внешнего айпишнека (60.100.90.40) на этот апаче пробрасывается 80 порт

внешней днс допустим настроен (наше доменное имя ссылается на 60.100.90.40)
на внутреннем днс пишем что наше доменное имя ссылается на 1.1.1.20

в чем вопрос - логично ли настраивать не через днс,
а так, чтобы из внутренней подсети заходить на 60.100.90.40 ?

у когонибудь реализовано не через днс?

Автор: ESX091
Дата сообщения: 17.08.2009 14:49

rakis
=) ошибки там, где их меньше всего ждешь)

Автор: yarasha
Дата сообщения: 19.08.2009 19:52

ESX091

Даную книгу я в интернете тоже найти не смог. Пришлось купить ее на amazon.
На данный момент могу только цитировать или выложить PDF главы о ICMP.

Страница 178 ICMP Traffic Through the Appliances…
Страница 179 ICMP Traffic Directed at Appliances…
(Until version 5.2.1 of the OS, any ICMP traffic destined for any of the interfaces of the appliances would be allowed, and the appliances would automatically respond. One unfortunate drawback of this process is that an attacker could use ICMP to learn that a appliance existed, and possibly learn some basis information about it. Up until version 5.2.1, you could not disable this function and make the appliance invisible to other devices. Starting with version 5.2.1, you the option of making the appliance stealthy –you can control how the appliance itself will respond to ICMP messages, or prevent them altogether.
Until version 8.0, you only had one option for controlling this, ICMP filtering. Starting in version 8.0, you have a second option with the use of an ACL applied to the applied to the appliance itself (not an interface), referred to to as control plane filtering. With the former, you can control what ICMP messages the appliance will process when directed to one of its interfaces; with the latter, you control any type of traffic that the appliance will process when directed to itself. With the second option, you create your ACL and apply it to the appliance with the access-group command, using the control-plane parameter (instead of applying it to an interface). ……. (c)

Там же есть примеры……
Однако не стоит принимать эту книгу, как истину последней инстанции. На много лучше было бы найти мануал на даную тему на cisco.com от версии 8.0 и выше..Тогда было бы точно все ясно

Автор: denis_chaikin
Дата сообщения: 25.08.2009 05:00

Всем привет! Дело в следующем))) есть ВПН site2site на 2-х ASA 5505. В одном офисе она используется только для организации ВПН, во втором еще и публикация сервисов на нем. При включении цепи, во втором офисе перестает работать ДНС. Конфиги могу выложить, может кто-то знает куда рыть? спасибо.

Автор: rakis
Дата сообщения: 26.08.2009 17:28

denis_chaikin
выложи конфиги пожалуйста

Автор: lexx
Дата сообщения: 27.08.2009 06:26

Подскажите пожалуйста, что нужно сделать чтобы cisco asa 5520 после перезагрузки не заходила в режим rommon #0> и не приходилось писать boot, а чтобы она нормально загружалась сама?

Автор: rakis
Дата сообщения: 27.08.2009 10:21

lexx
Установить Configuration register в 0x1

Автор: lexx
Дата сообщения: 28.08.2009 11:34

rakis
Спасибо, разобрался.
Появился новый вопрос
переключил фаервол в транспарент
как подключится к веб-интерфейсу через management порт, в докментации указано что надо просто прописать ip адрес?
прописал
ciscoasa(config)# ip address 192.168.1.1 255.255.255.0
подключаюсь к менеджмент порту с ip 192.168.1.2
пинги идут до 192.168.1.1, а на вэб интерфейс не могу попасть telnet 192.168.1.1 80, 443,445 отбрасывает

Вот конфа
ASA Version 8.0(4)
!
firewall transparent
hostname ciscoasa
enable password ######### encrypted
passwd ###### encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 100
!
interface GigabitEthernet0/1
nameif inside
security-level 100
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
!
interface Management0/0
nameif management
security-level 0
management-only
!
boot system disk0:/asa804-k8.bin
ftp mode passive
same-security-traffic permit inter-interface
access-list outside-in extended permit icmp any any
access-list inside-in extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu management 1500
ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-621.bin
no asdm history enable
arp timeout 14400
access-group outside-in in interface outside
access-group inside-in in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f448199e2789beb6233e65819b02245a
: end

» Настройка Cisco PIX Firewall / ASA