» Настройка Cisco PIX Firewall / ASA

AndreySergeevich

Вы имеете в виду Traffic Usage на outside интерфейсе?
Но мне это не надо, я хочу видеть DSL synchronization speed на рутере который в bridge mode.

Ну и в идеале и весь web interface рутера.

Помогите прописать правила для закрытия всего кроме http/ftp трафика на ASA 5505
конфиг привожу ниже. С теми правилами которые есть компьютер спокойно коннектится по телнету, скажем к почтовому серверу.
ASA Version 8.2(1)
!
hostname ciscoasa
domain-name 192.168.1.1
enable password jDUXMyqeIzxQIVgK encrypted
passwd jDUXMyqeIzxQIVgK encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/0
description WAN
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns domain-lookup inside
dns domain-lookup outside
dns server-group 8.8.8.8
domain-name 192.168.2.1
dns server-group DefaultDNS
name-server 8.8.8.8
name-server 208.67.222.222
name-server 208.67.220.220
domain-name 192.168.1.1
access-list IN extended permit tcp interface outside interface inside eq www
access-list IN extended permit tcp interface outside interface inside eq ftp
access-list IN extended permit tcp interface outside interface inside eq ftp-data
access-list out extended permit tcp interface inside interface outside eq www
access-list out extended permit tcp interface inside interface outside eq https
access-list out extended permit tcp interface inside interface outside eq ftp
access-list out extended permit tcp interface inside interface outside eq ftp-data
access-list out extended deny tcp any any range 1 65535
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (inside) 1 interface
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 208.67.220.220
!
dhcpd address 192.168.0.2-192.168.0.30 inside
dhcpd dns 8.8.8.8 interface inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
Cryptochecksum:3ca7a6f9e85cbcff5da05c080e3aa069
: end

Доброго времени суток, дорогие форумчане!

Иходные данные:
Cisco ASA 5520 7.2 (обновление не возможно по целому ряду причин).
интерфейсы inside (192.168.0.1/24) outside (73.23.214.130/27) со шлюзом не стороне провайдера 73.23.214.129 и соответственно сеточкой на 30 адресов

Задача:
Опубликовать в интернете 2-а внутренних ресурса
192.168.0.11 в 73.23.214.131
192.168.0.12 в 73.23.214.132

Попытки решения:
Делал обычным статическим натом
static (inside,outside) 73.23.214.132 192.168.0.12 netmask 255.255.255.255 - не работает
а так
static (inside,outside) interface 192.168.0.12 netmask 255.255.255.255 - работает (но естественно с ip outside интерфейса)

Чувствую, что где-то упускаю очевидную и маленькую мелочь. Но где найти не могу.
Помогите пожалуйста.

С уважением и надеждой на помощь, triangel.

Спасибо, проблему устранил. noproxyarp надо было отключить.

доброго времени суток, ув. алл.

вопрос такой недаёт покоя - на циске аса 5540 под иос 8.2 подняли clientless webvpn, все было отлично и работало безотказно. После апгрейда на 9.0, пявилась следущая проблема: если из букмарков можно открыть любой позволеный внутрений сайт на http, то на внутрений https никак неполучается, в чем может быть проблема? Похоже - что то с сертификатами, но не уверен. На внутренем сайте - сертификат от стартссл, халявный. На самой циске - пока self generated. На прямую во внутри сети внутрений сайт работает, через clientless vpn - никак.

Просветите пожалуйста - есть ли какие-то принципиальные отличия в алгоритме работы фаерволов Cisco ASA и CheckPoint?

Я почему-то считал всегда (имея опыт работы только с CheckPoint и Juniper) что все фаерволы (кроме домашних) по умолчанию имеют правила "всё запрещено", и только потом ты начинаешь добавлять дополнительные разрешающие правила. А тут начал разбираться с ASA - мне толкуют что там подход другой - по умолчанию разрешен полный доступ из внутренней сети во внешнюю?

zzzolegzzz
Разрешен доступ из сети с большим индексом безопасности в сеть с меньшим. Пример: внешняя - 0, внутренняя - 100, дмз - 50. Из внутренней будет свободно ходить в дмз и наружу, из дмз - только наружу. А снаружи только после специального правила.

BorisDr
А если мне не нужно, чтобы из внутренней свободно ходили во внешнюю? Мне необходимо контролировать (разрешать) кто конкретно из внутренней куда конкретно во внешнюю и по какому порту сможет ходить. Как тогда действовать?

zzzolegzzz
Это легко делается access-list'ами. Вплоть до времени когда можно ходить.

BorisDr
Правильно ли я понимаю что так называемый режим "по умолчанию" когда из внутренней сети можно свободно ходить во внешнюю работает только до той поры, пока на внутреннем интерфейсе не появится хоть какого запрещающего/разрешающего правила?

Т.е. по умолчанию стоит такое правило "access-list inside_in permit any any any", но как только мы добавим какое-либо правило - это эта запись "уберется"? Или как?

Коллеги, есть три сети: 192.168.0.0, 192.168.19.0 и 192.168.12.0.
В сети 0 стоит ASA 5510
В сети 19 и 12 стоит Cisco 881.
Между сетями подняты тоннели Site-to-Site.
Любые пакеты между этими тремя сетями ходят.

По адресу 192.168.12.7 стоит видеорегистратор, к которому по порту 2000 коннектится программа просмотра.
Проблема стала в том, что из сети 12 и 19 коннект идет без проблем. А вот из сети 0 подключиться на этот регистратор не могу. Пакет трасер выдает вот такую картину


Что не так?


Коллеги, вопрос решен. Проблема оказалась в том, что на АСЕ был включен инспект SCCP (Skinny), который и срезал пакеты на 2000 порту. А на 881 такого инспекта не было.
Как только я отключил инспект SCCP (Skinny), все стало нормально работать.

*

А где-бы достать PIX-to-ASA migration tool?

гайз, есть у кого инфа как на ASA (5505) сделать NAT для VPN клиентов? Через ASDM потыкался безуспешно.

Добрый день, товариши форумчане!

Скажу сразу с Cisco дело не имел, Просьба не ругаться. Но по ситуации приходиться искать выход! Устроился на новое место работы, здесь установлена Cisco ASA5520 через нее поднято три подсети локалка 5.0 телефония 6.0 и СКУД 10.0, через АСУ каким то образом настроено что на 10 подсеть можно подключаться только с одного конкретно ip адреса 5 подсети. Нужно либо расширить диапозон ip адресов , либо вообще убрать это ограничение. когда разговаривал с предыдущим админом он сказал что надо рыть в сторону фаервола после чего вся информация прекратилась...заходил на cisco посмотреть мануал, там больше чем библия и каран вместе взятые, если есть у кого знания и опыт просьба поделиться, куда рыть=)

Всем привет. В одну организацию поставили Cisco ASA 5505, настроили VPN, открыли нужные порты и вроде бы все хорошо. Но возникла проблема такого рода: пользователи из своей сети (172.31.1.0/24)хотят при переходе по внешнему IP (1.1.1.1), попадать на сервер (172.31.1.1). В интернет куча статей по этому вопросу, но к сожалению ни одна не помогла. Версия IOS - 8.2. Кто-нибудь сталкивался с подобными вещами?
Приведу часть конфигурации:!
interface Vlan1
nameif inside
security-level 100
ip address 172.31.1.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
same-security-traffic permit intra-interface
object-group network VPN-USERS
network-object 172.31.1.0 255.255.255.0
access-list ACL_WAN_IN extended permit icmp any any
access-list ACL_WAN_IN extended permit tcp any interface outside eq ftp
access-list ACL_WAN_IN extended permit tcp any interface outside eq ftp-data
access-list ACL_WAN_IN extended permit tcp any interface outside eq https
access-list ACL_WAN_IN extended permit tcp any interface outside eq smtp
access-list ACL_WAN_IN extended permit tcp any interface outside eq 2525
access-list ACL_WAN_IN extended permit tcp any interface outside eq www
access-list ACL_LAN_IN extended permit icmp any any
access-list ACL_LAN_IN extended permit tcp 172.31.1.0 255.255.255.0 any
access-list ACL_LAN_IN extended permit udp 172.31.1.0 255.255.255.0 any
access-list ACL_NO_NAT extended permit ip any object-group VPN-USERS
access-list MG_SPLIT standard permit 172.31.1.0 255.255.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool VPNCL 172.31.1.100-172.31.1.125 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
no asdm history enable
arp timeout 14400
global (inside) 1 interface
global (outside) 1 interface
nat (inside) 0 access-list ACL_NO_NAT
nat (inside) 1 172.31.1.0 255.255.255.0
static (inside,outside) tcp interface ftp 172.31.1.1 ftp netmask 255.255.255.255
static (inside,outside) tcp interface ftp-data 172.31.1.1 ftp-data netmask 255.255.255.255
static (inside,outside) tcp interface smtp 172.31.1.1 smtp netmask 255.255.255.255
static (inside,outside) tcp interface 2525 172.31.1.1 2525 netmask 255.255.255.255
static (inside,outside) tcp interface https 172.31.1.1 https netmask 255.255.255.255
static (inside,outside) tcp interface www 172.31.1.1 www netmask 255.255.255.255
static (inside,inside) 1.1.1.1 172.31.1.1 netmask 255.255.255.255
access-group ACL_WAN_IN in interface outside
route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 172.31.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map VPN-CRYPTO 10 set transform-set VPN-SET
crypto map VPN-MAP 65535 ipsec-isakmp dynamic VPN-CRYPTO
crypto map VPN-MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 172.31.1.0 255.255.255.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy MG internal
group-policy MG attributes
dns-server value 172.31.1.1
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value MG_SPLIT


Вывод packet-tracer:

packet-tracer input inside tcp 172.31.1.10 ftp 1.1.1.1 ftp

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,inside) 1.1.1.1 172.31.1.1 netmask 255.255.255.255
match ip inside host 172.31.1.1 inside any
static translation to 1.1.1.1
translate_hits = 0, untranslate_hits = 114
Additional Information:
NAT divert to egress interface inside
Untranslate 1.1.1.1/0 to 172.31.1.1/0 using netmask 255.255.255.255

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: INSPECT
Subtype: inspect-ftp
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
service-policy global_policy global
Additional Information:

Phase: 6
Type: NAT-EXEMPT
Subtype:
Result: ALLOW
Config:
match ip inside any inside 172.31.1.0 255.255.255.0
NAT exempt
translate_hits = 244, untranslate_hits = 120
Additional Information:

Phase: 7
Type: NAT-EXEMPT
Subtype: rpf-check
Result: DROP
Config:
match ip inside any inside 172.31.1.0 255.255.255.0
NAT exempt
translate_hits = 244, untranslate_hits = 120
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Решение найдено: nat (inside) 0 access-list ACL_NO_NAT

Доброго времени суток!
Прошу прощения, за скорее всего избитый вопрос, но увы не очень понимаю.

Ситуация: Есть сеть офиса 192.168.1.0. Спрятанная за CISCO ASA 5505. На кошке поднят VPN, проброшены порты для сервера видеонаблюдения в офисе (доступ из вне есть, всё ок, порты проброшены (не http)). VPN работает нормально.
С удалённой точки по VPN подключается клиент (сервер видеонаблюдения удалённой точки). Он прекрасно виден из локальной сети офиса, всё пашет (обращение идёт по IP, выданному VPN-Server, по 80-му порту).
В офисе естественно есть выделенный IP и привязан он к внешнему интерфейсу кошки.

Вопрос: Из случайных мест необходимо предоставить доступ к удалённому серверу видеонаблюдения (с внутриофисным сервером видеонаблюдения, опять таки всё ок), а он не даётся. Уважаемые гуру, подскажите, пожалуйста, в какую сторону копать?


Сеть наглядно:


Небольшое пояснение: НЕТ ДОСТУПА ТОЛЬКО ОТ УДАЛЁННОГО КЛИЕНТА К УДАЛЁННОМУ СЕРВЕРУ

ACL:

NAT:

Packet Tracer:


Текущий конфиг:

Код:
ASA Version 8.2(5)
!
hostname ciscoasa
domain-name trgp.local
enable password KfJhcv8A0NCmwwuF encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 192.168.1.100 Video_Msk
name 192.168.1.12 Video_Piter
name XXX.XXX.XXX.230 www
name XXX.XXX.XXX.229 GateAway
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address www 255.255.255.0
!
ftp mode passive
dns server-group DefaultDNS
domain-name YYY.local
object-group network Video_Msk
access-list outside_access_in extended permit ip any any
access-list inside_nat0_outbound extended permit ip any 192.168.1.96 255.255.255.240
access-list inside_access_in extended permit ip any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool vpn_pool Video_Msk-192.168.1.109 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface 111 Video_Piter 111 netmask 255.255.255.255
static (inside,outside) tcp interface 112 Video_Piter 112 netmask 255.255.255.255
static (inside,outside) tcp interface www Video_Msk www netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 GateAway 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set TRANS_ESP_3DES_SHA ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto isakmp enable inside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns XXX.XXX.225.4 XXX.XXX.224.4
dhcpd auto_config outside vpnclient-wins-override
!
dhcpd address 192.168.1.30-192.168.1.50 inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol l2tp-ipsec
default-domain value YYY.local
username admin password HbelpnGMU25oVew8 encrypted
username vpnuser password ZRy81hueAT36R2mmOid9bg== nt-encrypted privilege 0
username vpnuser attributes
vpn-group-policy DefaultRAGroup
username vpnuser2 password ZRy81hueAT36R2mmOid9bg== nt-encrypted privilege 0
username vpnuser2 attributes
vpn-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:3f755f18e829ce7b83c7bf0b07e69303
: end

Есть асашка в мультиконтексте, и пара контекстов являются транзитными. Т.е. у них на инсайд и аутсайд настроен EIGRP и через них ходит трафик(~30Мбит). Так вот если происходит переход с актив на стендбай, то после перехода в логах сыпится Duplicate TCP SYN. Складывается впечатление что после перехода контекста на standbuy юнит у контекста нет никакой информации о соединениях и он рубит все старые. При этом конечно связь падает полностью, т.е. даже новые пинги не ходят. В чем трабл? EIGRP? или что? дайте направление!

Здравствуйте все!

Поставило тут задачку начальство сделать так, чтобы пользователи авторизировались с помощью AD и ходили в интернет.
Дано Cisco ASA 5505. На контроллере домена стоит AD agent (который говорит что dc - up и client - up), АСА спокойно забирает логины пользователей.
IP-адреса в сети раздаются по DHCP, который поднят на контроллере домена.

Суть проблемы такова, что после ауторизации пользователя интернет отваливается спустя некоторое время. То есть Пользователь зашел на комп, потом открыл браузер, открыл пару сайтов, потом прошло от 5 и 7 минут простоя и далее интернет недоступен. Интернет появляется тогда, когда пользователь заново перезайдёт на компьютер, либо на некоторое время выключит "Сетевое подключение по локальной сети" на 1 минуту. Куда тут копать?

Конфиг сего безобразия на АСЕ таков:


Код:    

Код:
object-group user ACTIVE_ALLOW
user-group DCU\\CASA61_Allow
user DCU\User1
user DCU\User2

access-list inside_access_in_1 extended permit ip object-group-user ACTIVE_ALLOW 192.168.1.0 255.255.255.0 any log debugging

aaa-server ADA protocol radius
ad-agent-mode
interim-accounting-update
reactivation-mode depletion deadtime 1
merge-dacl after-avpair
aaa-server ADA (inside) host dc61-01
key *****
radius-common-pw *****
no mschapv2-capable
aaa-server AD protocol ldap
reactivation-mode depletion deadtime 1
aaa-server AD (inside) host dc61-01
ldap-base-dn dc=DCU,dc=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn CN=CISCOASA61,OU=Users_MC,dc=DCU,dc=local
server-type microsoft
user-identity domain DCU aaa-server AD
user-identity domain DC61-01 aaa-server AD
user-identity default-domain DCU
user-identity action domain-controller-down DCU disable-user-identity-rule
no user-identity action mac-address-mismatch remove-user-ip
no user-identity inactive-user-timer
user-identity logout-probe netbios local-system probe-time minutes 60 retry-interval seconds 5 retry-count 5 match-any
user-identity poll-import-user-group-timer hours 12
user-identity ad-agent active-user-database full-download
user-identity ad-agent aaa-server ADA
user-identity user-not-found enable

Добрый день!

Где можно найти инструкцию как настроить pix515E

Нужно настроить удаленное управления через telnet

Добавлено:
Как сбросить PIX 515E до заводских настроек

Добрый день!

Столкнулся с такой проблемой!

Есть Pix 515e, сделал полный сброс но теперь не могу настроить его, да же ip не могу прописать!
может есть у кого инструкция ?

Подскажите где копать!

artclub
Цитата:

Где можно найти инструкцию как настроить pix515E

На цискодроме есть все. Остальное на http://www.anticisco.ru/
Цитата:

Нужно настроить удаленное управления через telnet

Лучше telnet не использовать вообще, а все делать через SSH
Цитата:

может есть у кого инструкция ?

В интернете есть все. Если не забанен на Гугле, конечно.
Cisco PIX 515E Security Appliance Getting Started Guide

vlary Спасибо за информацию!

Добрый день!

как спрятать mail server за cisco asa 5525

Есть майл сервер LAN 172.16.*.* WAN 85.*.*.*

Какие настройки нужно прописать в asa чтоб мог безопасно работать майл сервер !

Помогите плиз, нужно срочно!

Заранее спасибо!

Добавлено:
Спасибо!

Все получилось, переживал что не разберусь!

ответ снят

Решил поковыряться с ASA, поднял ее на .VmWare
До этого работал только с цискиными роутерами и свичами.
Сразу же вспомнил поговорку, что обезьяна уродлива потому,
что очень сильно похожа на человека.
Вроде бы такие же команды, но результат часто непохож на ожидаемый.
Очень озадачило меня enable в telnet сессии.
Оказалось, мало ввести enable пароль, потом надо еще ввести и обычный.
А нельзя ли это дело как-то привести к такой же процедуре, как на роутере?

vlary
enable password пароль
username имя_пользователя password пароль
aaa authentication ssh console LOCAL

А вообще, необходимо увидеть, что у вас там в конфиге)

ginger Все поправил. Убрал из конфига строчку
aaa authentication enable console LOCAL
Теперь пускает в привилегированный режим сразу после ввода пароля для enable

Ребят, нужна помощь. На рабочем ноуте есть Cisco AnyConnect VPN 3.1. Нужно выдрать оттуда адреса VPN-серверов, к которым он подключается. В списке перечислены только имена гейтов, а мне нужны именно адреса. Где они хранятся? В реестре бегло искал, не нашёл...

niask
хмм
финт ушами и несовсем красиво
если права админа есть попробуйте tcpdump-ом посмотреть сетевую активность при подлючении, сразу станет все понятно