» Настройка Cisco PIX Firewall / ASA

Коллеги подскажите пожалуйста.
Есть asa 5505 и asa 5510 между ними Site-to-Site туннель, все работает.
Сейчас второй провайдер подал между офисами, где стоят обе циски, прямой линк с сетью внутри линка 10.10.10.10/29. Возник вопрос можно ли поднять на asa Vlan для этого линка и настроить в него маршрутизацию? В место Site-to-Site или это не возможно?

добрый день.
есть у кого опыт настройки anyconnect с проверкой подлинности по сертификатам.

Добрый вечер!

Помогите с Восстановление пароля PIX 515e

Есть PIX 515e кто и когда ставил не известно, не могу зайти логин и пароль не известен!

Что делать?

Подскажите кто сталкивался с такой проблемой!

Добрый день!

Помогите с Восстановление пароля PIX 515e

Есть PIX 515e кто и когда ставил не известно, не могу зайти логин и пароль не известен!

Что делать? Как сбросить все настройки по умолчанию?

Подскажите кто сталкивался с такой проблемой!

Добавлено:
Добрый день!

Помогите с Восстановление пароля PIX 515e

Есть PIX 515e кто и когда ставил не известно, не могу зайти логин и пароль не известен!

Что делать?

Подскажите кто сталкивался с такой проблемой!

artclub

http://www.youtube.com/watch?v=0fQi6zItUZM

Добавлено:
Брать отсюда:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_password_recovery09186a008009478b.shtml

Имеется удаленная сетка, к которой мы цепляемся по VPN с помощью Cisco VPN Client 5.0 for Windows в режиме IPSec/UDP. Хотелось бы поднять клиента того же VPN на Ubuntu Server 12 без участия виндового компа.

Подскажите, знатоки, что мне нужно искать: Cisco VPN Client for Linux ? Подойдет ли Cisco Any Connect for Linux? И что за зверь Cisco AnyConnect Secure Mobility Client ?

voldemar
Достаточно установить network-manager-vpnc

Цитата:

Достаточно установить network-manager-vpnc

от себя добавлю, что не обязательно ставить network-manager
лично я его не люблю, все прекрасно работает из комм. строки

slaj1
согласен, я на десктопе ставил, а на серваке он не нужен

BorisDr
slaj1
То есть не нужно вообще специального цисковского софта ставить?
В этом режиме можно стандартными линуксовыми средствами обойтись?

Командная строка рулит, буду копать

voldemar
все правильно понимаете
вызов подключения из комм строки выполнять так:
vpnc /etc/vpnc/test.conf --dpd-idle 0 --domain='' --target-networks '10.10.0.0/24'

при желании можно написать скритики на основе nc, которые бы следили за доступностью серверов на той стороне и при необходимости автоматом переподлючали канал.

Добавлено:
если нужно, готов выложить образец скрипта, возможно кто-то сможет предложить более красивое/оптимальное решение чем у меня.

привет
помогите кто сталкивался, уже весь в мыле...
есть anyconnect vpn настроен.
клиенты конектятся получают доступ к внутренним ресурсам
но тарфик между клиентами не ходит
тупо клиент1 не может пингануть клиента2

DenRassk

В нете полно доков как поднять vpn. Если не найдешь, пиши

Добавлено:

guestx1980

а логи показывают что-нибудь ?

Есть три asa5505. Соединены 1 < - >2 и 2 < - >3 по site-2-site vpn. Нужно пробросить трафик с asa 1 через asa 2 на asa 3. Возможно такое? Не спрашивайте зачем именно так и почему сразу не создавать 1 < - > 3. Сам не спец по cisco, только учусь. Если такой проброс возможен, куда рыть намекните. Ну или пример, если можно.

Цитата:

Есть три asa5505. Соединены 1 < - >2 и 2 < - >3 по site-2-site vpn. Нужно пробросить трафик с asa 1 через asa 2 на asa 3. Возможно такое? Не спрашивайте зачем именно так и почему сразу не создавать 1 < - > 3. Сам не спец по cisco, только учусь. Если такой проброс возможен, куда рыть намекните. Ну или пример, если можно.

Думаю, что это возможно.
Допустим надо траффик из сети А в сеть B направить, так как Вы говорите.
Допустим сеть А за асой 1, а сеть В за асой 3
Так как уже есть vpn-туннели, то скорее всего надо
1. добавить в правило шифрования ( в аксесс-лист) на асе 1 (туннель аса1-аса2) строку А-->В
2. на асе2 в этом же туннеле в правило шифрования зеркальную строку B-->А.
3. добавить на асе 2 в аксесс-лист на шифрование (туннель аса2-аса3) строку А--->В
4. добавить на асе 3 в аксесс-лист на шифрование (туннель аса2-аса3) зеркальную строку В--->А

Таким образом, траффик из сети А в сеть В попадает на асу1, где он запихивается в туннель аса1-аса2, на асе2 выйдя из туннеля, он по таблице маршрутизации пойдет туда, где находится сеть В (надо, чтобы маршрут указывал в сторону интерфеса, на котором строится туннель аса2-аса3), далее он запихнется в туннель аса2-аса3, придет на асу3 и попадет в сеть В.
Тут есть один момент, если интерфейс у аса2 для построения туннеля до аса1 и аса3 один и тот же, возможно потребуется такая строка в конфиге same-security-traffic permit intra interface (а может быть и так same-security-traffic permit inter interface)

На (2) интерфейс для тунелей на (1) и (3) один и тот же, точнее их два основной и резервный, но единовременно работает только один интерфейс(резервирование каналов).

Строка на (1) для тунеля 1 < - >2 есть. Есть access-list на (2) для разрешения прохода между сетями А и В для тунелей на (1) и (3), так же правило "NoNat".

Есть правило на (3) для тунеля 3 < - > 2 для сетей А и В.

Всем привет.
Ребята, подскажите или тыкните куда копать.
На почтовике прописали внут. ip dmz 10.10.9.28, внешний ip 46.235.X.X
На ASA 5520 прописал след.:
static (dmz,kaztranscom) 46.235.X.X 10.10.9.28
Далее access-list:
access-list KAZ_ACL_IN extended permit object-group TCP-UDP any host 46.235.82.138
В логах пишет такую ошибку:
May 04 2013 12:11:07: %ASA-2-106017: Deny IP due to Land Attack from 46.235.82.138 to 46.235.82.138
May 04 2013 12:11:08: %ASA-2-106017: Deny IP due to Land Attack from 46.235.82.138 to 46.235.82.138

Подскажите плиз.

Nomadkaz
https://supportforums.cisco.com/docs/DOC-14318

Цитата:

greenfox

По ссылке нету решения.

Пните, пожалуйста, в нужном направлении. Начинаю изучать ASA 5505. Обновил до 9.1. Как заставить пинговаться между собой две подсети, если, например, один ноут подключен к интерфейсу inside 192.168.1.1 (с адресом на ноуте 192.168.1.2) и второй к outside 192.168.2.1 (с адресом на ноуте 192.168.2.2). В роутинге и Нате пытался разрешать всё и всем - пингов добиться не могу. Нужно пустить сеть 192.168.1.0/24 в инет на 1 белый адрес провайдера и подсоединить к ней другую сеть 192.168.2.0/24. Готового образца нигде не могу найти ( Хоть намекните, куда копать...

aequit
по умолчанию с внутреннего интерфейса (inside) разрешено всё на внешний (outside), но с пингом надо или inspection соот-й что бы циска могла парсить пакеты icmp как двуноправленое соединение или открывать правилами доступа с аутсайда на инсайд. Проще конечно вписать инспекшен соот-й:
http://www.youtube.com/watch?v=ecgNII0aMhY

Спасибо, хоть как-то сдвинулся с места.
Инспекшн (inspect icmp и inspect icmp error), как на видео, прописал в policy-map global_policy:
ciscoasa(config)# policy-map global
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect icmp
ciscoasa(config-pmap-c)# inspect icmp error
ciscoasa(config-pmap-c)# end

Теперь с источника 192.168.1.2 (комп, подключенный к inside, где 192.168.1.1). пингуется комп 192.168.0.2 (подключенный к outside 192.168.0.1). А вот сам цисочный
outside 192.168.0.1 с компа 192.168.1.2 не пингуется (почему?).
С HyperTerminal все интерфейсы пингуются:
ciscoasa# ping 192.168.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

aequit

Цитата:

вот сам цисочный
outside 192.168.0.1 с компа 192.168.1.2 не пингуется (почему?)

По умочлчанию afaik вы не можете пинговать цисковый интерфейс из др. подсети. Или иными словами вы можете пингануть только тот интерфейс циски к которому подключены. Т.е. из inside сможете только пинговать inside интерфейс циски, с outside сети - только outside interface. Это так по умолчанию сделано ( by design)
https://supportforums.cisco.com/thread/228630
(там на форуме можете поискать может есть какой-то обходной способ или в новых версиях ASA что-н поменяли)
Цитата:

Что-же нужно сделать, чтобы комп, подключенный к outside, достучался до сетки inside?

Это уже другой вопрос - если у вас конфиг по умолчанию то у вас судя по всему включён нат (inside, outside) и соот-но трафик будет проходиьт только с внутреннней сети на внешнюю, но не наоборот. Что-бы разрешить трафик с outside на inside надо открыть соот-е правила доступа (ACL соот-е прописать) и прописать NAT соот-й (там несколько опций смотря как вы хотите и что открыть - если порт форвардинг - одно, если полностью включиьт роутинг меж с етями - другое, возможно тогда вам нат надо совсем отключить меж сетями)

Спасибо, значит насчет пинга цискового интерфейса можно не заморачиваться.
Трафик с outside на inside уже получается открывать, но пропадает наоборот, с inside на outside, но с этим уже можно разбираться (со ацесс листами и натом), просто без пингов непонятно было, работают ли правила или нет, казалось, что всё мёртвое.

p.s. С помощью ната никак не получается две подсети вместе соединить, либо с inside на outside есть пинг, либо наборот, даже все any в правилах выставлял - бестолку. Портфорвардинг не нужен. Этого можно на ASA 5505 добиться просто роутингом, убрав все правила ната или нужно комбинировать?

Разобрался. Методом тыка и чтения доков с циско ком потихоньку научился. Кошка уже заняла своё место в серверной. Чтобы две подсети вместе соединялись, создаются два правила в нате, интерфейсы должны быть одного уровня безопасности и на подключенных компах не забывать прописывать шлюзы, соответствующие интерфейсу асы, к которому комп подключен. Для выхода в инет, кроме создания правила в нате, при наличии внешнего белого ip, этот адрес назначается интерфейсу, который смотрит на провайдера, а также нужно задать маршрут по умолчанию, адресом назначения которого будет ip-шлюз провайдера. Ну и не забыть галочки ДНС поставить, где нужно.

[more] Вообщем проблема такого характера!
Есть два провайдера и есть две организации.
Оба провайдера идут в серверную.
Один провайдер приходит В серверную и втыкается в cisco 2821 интерфейс 0/0 из интерфейса 0/1 выходит в хаб AT8948,
интернет раздается в первую организацию.
Второй провайдер просто приходит в серверную и уходит во вторую организацию и втыкается в DIR 100 и раздается интернет.

Это все организованно сейчас!!!!

А Мне Надо сделать таким образом что бы первый провайдер был основным а второй резервным,
но резервый провайдер раздавался бы во вторую организацию, но при отсутствия интернета в первом провайдере включался бы второй провайдер,
отключив при этом вторую организацию от интернета и начинает раздавать интернет в первую организацию! Первая организация в приоритете!!!
На cisco 2821 есть только 2 интерфейса WAN и все, больше модулей нет!!!
Куда и как воткнутся и как сконфигурировать Cisco 2821???

Я бумаю можно таким образом!
Два конца интернета воткнуть в хаб АТ8948 и из него кабель пойдет в cisco 2821, в интерфейс 0/0 а вот конфигурацию как сделать я не знаю???
[/more]

Подскажите, есть ли у кого ASA и работающая в офисной сети программа документооборота Комита-курьер? Настроил ASA 5505, используется как Firewall, из внешнего белого ip раздаёт интернет на офисную сеть. C Керио Комита-курьер работала, но требовала отдельного правила, разрешался порт TCP2000. С ASA никак не могу заставить Комиту обмениваться документами...

з.ы. Подсказали добрые люди - для Комиты нужно отключить инспектирование сервиса скинни (порт 2000). Всё заработало.

[more] Подскажите, где ошибка из WAN/inet/ люди не могут попасть на FTP/dmz/, не работает последнее првило permit tcp any4 object dmz_real eq ftp. LAN -> FTP все OK!

interface Ethernet0/0
switchport access vlan 2
switchport trunk allowed vlan 2-3
!
interface Ethernet0/1
switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
shutdown
!
interface Ethernet0/4
shutdown
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.0.2 255.255.255.0
!
interface Vlan3
nameif DMZ
security-level 50
ip address 172.17.100.254 255.255.0.0
!
boot system disk0:/asa912-k8.bin
ftp mode passive
object network dmz_map
host 114.ххх.ххх.115
object network dmz_real
host 172.17.100.30
object-group service admin
service-object tcp destination eq ftp
service-object udp destination eq domain
service-object tcp destination eq www
service-object tcp destination eq https
access-list inside_access_in remark lan
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 inter face inside eq https
access-list inside_access_in extended deny ip 192.168.1.0 255.255.255.0 interfac e inside
access-list inside_access_in remark lan_wan
access-list inside_access_in extended permit object-group admin 192.168.1.0 255. 255.255.0 any4
access-list inside_access_in extended deny ip 192.168.1.0 255.255.255.0 any4
access-list DMZ_access_in remark DMZ_WAN
access-list DMZ_access_in extended permit object-group admin 172.17.0.0 255.255. 0.0 any4
access-list DMZ_access_in extended deny ip 172.17.0.0 255.255.0.0 any4
access-list outside_access_in extended permit tcp any4 object dmz_real eq ftp
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-713.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (DMZ,outside) source dynamic any interface description dmz1
!
object network dmz_real
nat (any,any) static dmz_map
!
nat (inside,outside) after-auto source dynamic any interface
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group DMZ_access_in in interface DMZ
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:2976e4ae4123423c56044c16b6869307
: end

Всем кто помжет спасибо.
cravtzov.nikol@yandex.ru [/more]

Доброго времени суток, уважаемые!

Имеется ASA5505 (Security Plus License), подключенная к интернету через pppoe и две подсети - VLAN 1 192.168.10.0/24 (LAN) и VLAN 2 192.168.20.0/24 (WiFi через D-Link 2640U). К Wifi подключены смартфон htc и телек sony. Без ASA телек был виден в обозревателе компьютеров и можно было пользоваться DLNA (крутить фильмы с компа). Сейчас же возможен просмотр только через смартфон на телевизоре. Что нужно подкрутить в конфиге, чтобы можно было передавать файлы с компа, находящегося в сети 192.168.10.0/24 на телек в сети 192.168.20.0/24? Нужен именно такой вариант, предложения типа - "поменять айпишник" или "объединить VLAN"не принимаются.

FIXED

Доброе время суток.

Помогите, пожалуйста, со следующей проблемой.

Есть ASA5505
interface outside работает как pppoe client на DSL router который находиться в bridge mode.

Хочу знать какая скорость соединения DSL router.

Сейчас приходиться подключать laptop к DSL router и смотреть скорость через Web interface.

Нельзя ли как то подключить DSL router через ASA 5005 чтоб можно было видеть Web interface router из локальной сети(asa 5505 interface inside)?

Как я понял через interface outside я не могу видеть DSL router.

Или есть какой-нибудь другой способ?

Заранее Спасибо за помощь.

dima9751

а почему на ASA не хотите смотреть скорость? Она ж пограничная, и все остальные только за ней.