» Настройка Cisco PIX Firewall / ASA

lexx
Если не изменяет память, необходимо добавить
http server enable
http <сеть> <маска> <интерфейс>
asdm image disk0:/asdm-6xy.bin

ciscoasa(config)# sh run | i http
http server enable
http 192.168.1.1 255.255.255.255 inside
ciscoasa(config)# sh asdm image
Device Manager image file, disk0:/asdm-621.bin

и тишина
Может правило какое-нибудь добавить?
в цисковских гайдах ни слова про настройку asdm в transparent режиме

lexx
Вроде все правильно и должно работать. Единственное, что еще было у меня, так это то что надо HTTPS а не http и еще не все броузеры с радостью принимали кривые сертификаты. Вот например Firefox под Vista именно ничего не писал и не работал. Потом я написал так 0.0.0.0 0.0.0.0 inside. Все равно на внутреннем интерфейсе только моя подсеть и начал пробывать с разными компьютерами в сети. Работает всегда стабильно IE6. Иногда Firefox или под XP. Ну и еще Java должна стоять. Почему осмелюсь советовать писать с начало не один хост 192.1.1.1 а подсеть, потом всегда можно будет поменять.


У меня такой вопрос, если кто сталкивался, подскажите пожалуйста. У меня два провайдера ISP1 и IPS2. Я написал что:

Gateway of last resort is х.х.х.х to network 0.0.0.0

где х.х.х.х IP ISP1. Получилось даже написать так, что если канал падает то шлюз по умолчанию тоже меняется на второго провайдера. Это все хорошо, если интересно, могу выложить конфиг, но... получается что второй канал используется только, как резервный и работает только если первый упал, а я хочу поделить нагрузку, хотя конечно, loading ballancing в полной мере Cisco ASA 5510 не поддержует, но все же может хоть на логическом уровне, типа вот вам канал один для VPN, второй для офиса или вебсервера и т.д.

Это точно надо, что-то с маршрутизацией делать, но что???? Как и какие маршруты писать или надо поднимать кого-нибудь из протоколов маршрутизации??? На данный момент пришлось просто сделать второму инерфейсу shutdown, так как если я его включаю, перестают идти пинги на первый интерфейс и перестает работать VPN.

Уважаемые цисковеды!

Есть проблема небольшая с настройкой!
Схема такова

Site1 (172.255.255.0/24)->CISCO1>>>INET>>>CISCO2->Site2 (10.10.101.0/24)

Между сайтами поднят туннель! Все работает в туннеле замечательно!

Так вот, есть DNS сервер, к примеру 172.255.255.3
Клиенты из сети 10.10.101.0/24 видят его замечательно.
Но, телнечусь на ASA Site2. Забил там dns настройки. И в качестве dns-сервера указал 172.255.255.3 для внутренних имен и 2й - провайдера.
Так вот запросы на 172.255.255.3 не отправляются, или ответ не приходит.. я не пойму.
Но факт - с консоли АСы не резолвится ни одно внутреннее dns-имя.

Может подскажете? Если надо могу предоставить конфиг. Весь предоставить не могу, но порционно запросто. Просто в другом проблем нет, а тут не пойму почему..
То ли в тоннель не ходит, то ли обратно не возвращается
Если я, зайдя на АСУ Site2 по SSH запускаю команду ping LAN 172.255.255.3 - ответ есть..

Всем привет !! народ помогите объеденить два офиса я сам пока в цисках не силен настроил только самое необходимое а вот тунел не могу сделать, на обоих концах стоит циска asa5505 вот конфа одной из них :
Result of the command: "show version"

Cisco Adaptive Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)

Compiled on Sun 06-Apr-08 13:39 by builders
System image file is "disk0:/asa724-k8.bin"
Config file at boot was "startup-config"

ciscoasa up 4 days 19 hours

Hardware: ASA5505, 256 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CNlite-MC-Boot-Cisco-1.2
SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
IPSec microcode :
CNlite-MC-IPSECm-MAIN-2.05
0: Int: Internal-Data0/0 : address is 0022.9039.f0ca, irq 11
1: Ext: Ethernet0/0 : address is 0022.9039.f0c2, irq 255
2: Ext: Ethernet0/1 : address is 0022.9039.f0c3, irq 255
3: Ext: Ethernet0/2 : address is 0022.9039.f0c4, irq 255
4: Ext: Ethernet0/3 : address is 0022.9039.f0c5, irq 255
5: Ext: Ethernet0/4 : address is 0022.9039.f0c6, irq 255
6: Ext: Ethernet0/5 : address is 0022.9039.f0c7, irq 255
7: Ext: Ethernet0/6 : address is 0022.9039.f0c8, irq 255
8: Ext: Ethernet0/7 : address is 0022.9039.f0c9, irq 255
9: Int: Internal-Data0/1 : address is 0000.0003.0002, irq 255
10: Int: Not used : irq 255
11: Int: Not used : irq 255

Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 3, DMZ Restricted
Inside Hosts : 10
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Disabled
VPN Peers : 10
WebVPN Peers : 2
Dual ISPs : Disabled
VLAN Trunk Ports : 0

This platform has a Base license.

Serial Number: JMX1235Z39A
Running Activation Key: 0xff08da7c 0x68406432 0xbca1754c 0xae703ccc 0x4b28138b
Configuration register is 0x1
Configuration has not been modified since last system restart.

пока будет соединение двух офисов в последствии в сеть войдёт третий ... настройка передачи данных планируется звездообразнаяот центрального офиса , центральный офис внешний ip 2*3.1*9.2*0.9* внутренняя сетка 192.168.1.0

доп офис 1 внешний ip 21*.11*.21*.2*4 внутренняя сетка 192.168.50.0

Помогите плиззз!!!

godzmei
Вариантов два:
- в ASDM, c помощью VPN Wizard'а;
- в CLI;
Примеры: Site to Site VPN (L2L) with ASA

P.S. Несколькими постами ране есть готовые конфиги (выкладывал в процессе выяснения почему не поднимается туннель).

есть вопрос по настройке pix, схема поключения следующая:
LAN(192.168.1.0)<--->(in 192.168.1.1)PIX515(out 10.0.4.2) <---->(in 10.0.4.1) router2514(out белый ip)
Вопрос как организовать подключение vpn клиентов к внутренней сети, как настроить vpn шлюз через сеть 10.0.4.0 к какому ip подключатся . если можно поподробнее Спасибо!

как поменять пороль на PDM 3.0.2 а то не могу зайти через IE?

yarasha
можно рассмотреть вариант с использование натирования.
часть пользователей выходят в инет через провайдера 1, другая часть, через провайдера 2.

qves
>>Вопрос как организовать подключение vpn клиентов к внутренней сети, как настроить vpn шлюз через сеть 10.0.4.0 к какому ip подключатся . если можно поподробнее Спасибо!
к какой именно внутренней сети? туннель будет терминироваться на асе?
делаете натирование на маршрутизаторе, открываете порты. остальное как обычно)

Добавлено:
Delfinok
>>Но, телнечусь на ASA Site2. Забил там dns настройки. И в качестве dns-сервера указал 172.255.255.3 для внутренних имен и 2й - провайдера.
Так вот запросы на 172.255.255.3 не отправляются, или ответ не приходит.. я не пойму

Какие dns настройки указали на асе и как проверяете?
А доходят ли они до сервера можно снифером посмотреть (если есть такая возможность).

ESX091
Дело в том что:
а) Запросы с клиентских машин через туннель на 172.255.255.3 уходят и ответы приходят. Все работает.
б) Запросы с самой ASA (с telnet консоли) на 172.255.255.3 уходят (судя по debug dns), но ответа нет.
На асе соотв.
dns server enable WAN
dns server enable LAN
dns group DefaultDNS
172.255.255.3
<ip_dns_провайдера>

Проверяю соответственно попыткой пинга по dns имени.. Попытка пинга по netbios также проваливается. Думаю что что-то не проходит.. Но как понять что не соображу!

172.255.255.3 - dns-сервер не в локальной сети, а в туннеле, в удаленной сети!

to Delfinok

проблему понял.
хотел уже написать, что это невозможно и посоветовать терминировать трафик не на асе или создать в локальной подсети еще один dns, который в свою очередь будет обращаться к
172.255.255.3, однако после небольших извращений все запахало.
траблшуттинг предлагаю разбить на 2 этапа
1. если вы можете пинговать подключившись к асе по телнету (или просто с асы) Ip 172.255.255.3, значит ищите проблемы в настройках dns асы.
2. если не можете пропинговать ip 172.255.255.3 c асы, значит проблемы в настройках туннеля.

Сначала решаете №2, потом №1.

2 ESX091
1. ping 172.255.255.3 не проходит. Подразумевается что по умолчанию аса пингует через WAN. Задал жестко ping LAN 172.255.255.3 - пинг проходит! Не знаю, считается ли этап 1 таким образом - succeded..

Конфиг асы на site2 под #
[more]
!
ASA Version 8.2(1)
!
hostname <>
domain-name <>
names
!
interface Vlan1
nameif WAN
description WAN
security-level 0
ip address <prov_ip>
!
interface Vlan2
description LAN
nameif LAN
security-level 100
ip address 10.10.101.250 255.255.255.0
!
interface Vlan3
description DMZ
no nameif
security-level 50
no ip address
!
interface Ethernet0/0
description WAN
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
switchport access vlan 2
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
banner login **** Unauthorised Access is Strictly Forbidden ****
banner login ******* To logon enter appropriate password ******
banner login *********** ALL LOGIN ATTEMPS ARE LOGGED **********
boot system disk0:/asa821-k8.bin
boot config disk0:/runconf.cfg
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup LAN
dns domain-lookup WAN
dns server-group DefaultDNS
name-server 172.255.255.3
name-server <prov_ip>
domain-name <>
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list NONAT extended permit ip 10.10.101.0 255.255.255.0 172.255.255.0 255.255.255.0
access-list TUNN_O extended permit ip 10.10.101.0 255.255.255.0 172.255.255.0 255.255.255.0
access-list WAN_IN extended permit icmp any any
mtu WAN 1500
mtu LAN 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo WAN
icmp permit any echo-reply WAN
icmp permit any echo LAN
icmp permit any echo-reply LAN
asdm image disk0:/asdm-621.bin
nat-control
global (WAN) 1 interface
nat (LAN) 0 access-list NONAT
nat (LAN) 1 10.10.101.0 255.255.255.0
access-group WAN_IN in interface WAN
route WAN 0.0.0.0 0.0.0.0 <ip_prov> 1
dynamic-access-policy-record DfltAccessPolicy
aaa-server [] protocol nt
aaa-server [] (LAN) host 172.255.255.2
nt-auth-domain-controller 172.255.255.2
aaa-server [] (LAN) host 172.255.255.3
nt-auth-domain-controller 172.255.255.3
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 0.0.0.0 0.0.0.0 LAN
http 0.0.0.0 0.0.0.0 WAN
crypto ipsec transform-set VPN-TF-SET esp-3des esp-sha-hmac
crypto map DEF_CMAP 10 match address TUNN_O
crypto map DEF_CMAP 10 set pfs
crypto map DEF_CMAP 10 set peer <peer_ip>
crypto map DEF_CMAP 10 set transform-set VPN-TF-SET
crypto map DEF_CMAP 10 set reverse-route
crypto map DEF_CMAP interface WAN
crypto isakmp identity address
crypto isakmp enable WAN
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
client-update enable
telnet 0.0.0.0 0.0.0.0 LAN
telnet timeout 30
ssh 0.0.0.0 0.0.0.0 WAN
ssh 0.0.0.0 0.0.0.0 LAN
ssh timeout 30
console timeout 0
management-access LAN
dhcpd lease 1048575
dhcpd domain <>
dhcpd update dns
!
dhcpd address 10.10.101.10-10.10.101.100 LAN
dhcpd dns 172.255.255.3 <prov_ip> interface LAN
dhcpd enable LAN
!
threat-detection basic-threat
threat-detection statistics
ntp server 192.43.244.18 source WAN prefer
tunnel-group <> type ipsec-l2l
tunnel-group <> ipsec-attributes
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect pptp
!
service-policy global_policy global
prompt hostname context

### END OF MAIN CONFIG ###


### START OPTIONAL CONFIG ###

#START Configuring Additional Options#
sysopt connection reclassify-vpn
priority-queue WAN
tx-ring-limit 256
#END Configuring Additional Options#

#START Configuring QoS Traffic Priority (for branch office with traffic shaping to 3Mb/s in/out + 500Kb burst rate)#
access-list ALL_TRAFFIC extended permit ip any any
class-map VoIP
match dscp ef
class-map DATA
match access-list ALL_TRAFFIC
!
policy-map VoIP_POLICY
class VoIP
priority
class DATA
police output 3000000 500000
police input 3000000 500000
!
service-policy VoIP_POLICY interface WAN
#END Configuration QoS Traffic Priority#

#START Configuring DOMAIN&FILES&AUDIO Blocking#
regex DOMAINBLOCK1 "\.vkontakte\.ru"
regex DOMAINBLOCK2 "\.mamba\.ru"
regex DOMAINBLOCK3 "\.icq\.com"
regex DOMAINBLOCK4 "\.aol\.com"
regex DOMAINBLOCK5 "\.odnoklassniki\.ru"
regex DOMAINBLOCK6 "\.rapidshare\.de"
regex DOMAINBLOCK7 "\.rapidshare\.com"
regex DOMAINBLOCK8 "\.youtube\.ru"
regex DOMAINBLOCK9 "\.youtube\.com"
regex FILEBLOCK1 ".*\.([Mm][Pp][3]|[Aa][Vv][Ii]|[Mm][Pp][Gg])"
regex FILEBLOCK2 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt])"
regex AUDIO-MPEG "audio/.*"
regex VIDEO-MPEG "video/.*"
class-map type regex match-any DOMAINBLOCKLIST
match regex DOMAINBLOCK1
match regex DOMAINBLOCK2
match regex DOMAINBLOCK3
match regex DOMAINBLOCK4
match regex DOMAINBLOCK5
match regex DOMAINBLOCK6
match regex DOMAINBLOCK7
match regex DOMAINBLOCK8
match regex DOMAINBLOCK9
class-map type inspect http match-all DOMAINBLOCKCLASS
match request header host regex class DOMAINBLOCKLIST
class-map type regex match-any FILEBLOCKLIST
match regex FILEBLOCK1
match regex FILEBLOCK2
class-map type inspect http match-all FILEBLOCKCLASS
match request uri regex class FILEBLOCKLIST
class-map HTTP_TRAFFIC
match port tcp eq www
!
policy-map type inspect http HTTP_INSPECT_POLICY
parameters
protocol-violation action drop-connection log
match request method connect
drop-connection log
match request header user-agent regex _default_windows-media-player-tunnel
drop-connection log
match response header content-type regex AUDIO-MPEG
drop-connection log
match response header content-type regex VIDEO-MPEG
drop-connection log
class DOMAINBLOCKCLASS
drop-connection log
class FILEBLOCKCLASS
drop-connection log
!
policy-map LAN-policy
class HTTP_TRAFFIC
inspect http HTTP_INSPECT_POLICY
!
service-policy LAN-policy interface LAN
#END Configuration DOMAIN&FILES Blocking#

#START Allow only specified ports#
object-group service ALLOW_TCP tcp
port-object eq daytime
port-object eq domain
port-object eq echo
port-object eq hostname
port-object eq http
port-object eq https
port-object eq ident
port-object eq pptp
port-object eq ssh
port-object eq telnet
port-object eq whois
port-object eq 3389
object-group service ALLOW_UDP udp
port-object eq dnsix
port-object eq domain
port-object eq echo
port-object eq http
port-object eq isakmp
port-object eq nameserver
port-object eq ntp
port-object eq secureid-udp
port-object eq time
port-object eq 3389
access-list LAN_IN extended permit icmp any any
access-list LAN_IN extended permit tcp any any object-group ALLOW_TCP
access-list LAN_IN extended permit udp any any object-group ALLOW_UDP
access-list LAN_IN extended permit ip any 172.255.255.0 255.255.255.0
access-group LAN_IN in interface LAN
#END Allow only specified ports#

#START Deny Internet#
object-group network INET_deny
network-object host 10.10.101.xx
access-list LAN_IN line 1 extended deny ip object-group INET_deny any
access-list LAN_IN line 1 extended deny tcp object-group INET_deny any
#END Deny Internet#

### END OPTIONAL CONFIG ###


: end




[/more]

to Delfinok

интересно, как вот это у вас работает - ping LAN 172.255.255.3 =)

конфиг весь не смотрел, но необходимо добавить в acl на каждой из терминирующих сторон еще и dns трафик, например, на асе сайта 2:
access-list TUNN_O extended permit udp host <prov_ip> host 172.255.255.3 eq 53
access-list TUNN_O extended permit tcp host <prov_ip> host 172.255.255.3 eq 53

на принимающие стороне зеркалируете.
после этого все должно заработать.

Цитата:

yarasha
можно рассмотреть вариант с использование натирования.
часть пользователей выходят в инет через провайдера 1, другая часть, через провайдера 2.

Это не то. NAT тут не поможет. Речь идет именно о маршрутизации.

ESX091
Как работает? Очень просто..
LAN асы - это та же сеть 10.10.101.хх/24. Пингуя через LAN адрес 172.255.255.3, аса согласно acl TUNN_O отправляет запрос с интерфейса LAN в туннель и возвращает ответ. Также абсолютно все работает и на клиентских машинах внутри LAN.

По поводу правил - спасибо, попробую! Как-то не догадался создать acl и отправлять в туннель трафик с WAN интерфейса и prov_ip..

Добавлено:
ESX091
Нет, что-то не то..
Аса тупо гонит domain запросы через WAN.
Включил debug на обоих концах.. смотрю dns all
Запрос с аса сайт2 уходит, сайт1 ответа не дает - значит не доходит..
Надо что-то еще.. или мы неправильно шаманим.
В NAT-0 не нужно загонять эти aclы?

Прогнал через packet tracer на аса2. Источник - prov_ip, точка - 172.255.255.3, протокол tcp, порт 53.
Итог - denied by explicit rule.

2 x PIX 525 (Active/Standby), PIX OS 8.0(4)32

Настраиваю QoS. В процессе настройки policy-map набираю "?" с мыслью посмотреть "что там дальше". В итоге висяк.
Железка пингуется, но и только. На себя не пускает. Через себя тоже.

Вопрос: Это мне так не свезло? Или это документированный баг?

P.S. Падает с гарантией. Повторил 3 раза. Дальше надоело дергать пиксы по питанию.

--
выяснил в чем причина:

CSCsz32354 - Traceback in thread SSH related to using help in policy-map config mode

печально.

Delfinok
проверил еще раз - работает.
откройте доступ для icmp, чтобы можно было проверить пингами.
пинги c асы site2 (ping 172.255.255.3) должны уходить в туннель и должны быть видны на Site1.
посмотрите так же настройки на оборудовании Site1 (отключите натирование для этого трафика, проверьте acl).


Добавлено:

Цитата:

В NAT-0 не нужно загонять эти aclы?

на site1 нужно, на site2 -нет

Добавлено:


Цитата:

Прогнал через packet tracer на аса2. Источник - prov_ip, точка - 172.255.255.3, протокол tcp, порт 53.
Итог - denied by explicit rule.

а что указываете в качестве входного интерфейса? =)
думаю, что это некорректная проверка, и дропается у вас скорее всего на 5 фазе, если используете inside интерфейс, т.к натироваться могут только внутренние адреса, а не внешний адрес асы, или еще раньше, если используете outside интерфейс.
dns = udp 53 порт.

Всем доброго времени суток. Имеется asa 5510, Cisco Adaptive Security Appliance Software Version 8.0(2). Хочется сделать vpn для пользователей по сертификатам , которые генерит сама asa. Включил CA, сделал пользователя, нажал "Email OTP", пришла ссылка -

https://имя_железяки/+CSCOCA+/enroll.html, но ссылка не открывается, говорит, что нет такой страницы. Где копать, может кто-то сталкивался?

kovy
можете конфиг выложить? и show crypto ca server?

Спасибо за ответ, заказчик отменил работы так что доступа к железяке уже нет. Вопрос отпадает.

Вопрос в следующем... Починился старенький PIX 501 и решил создать в локальной сети скажем 192.168.0.0 некую безопасноую зону с возможностью подключения только по vpn, а во внутренней зоне pix разместить некий файловый сервер...

Соответственно pix решил подключить к существующей локальной сети через wan с адресом 192.168.0.200... вроде всё настроил... но по vpn с сетки этой сетки не получается подключиться? Выдает ошибку 721... Ниже выкладываю конфиг.

: Saved
: Written by enable_15 at 00:20:48.610 UTC Fri Jan 1 1993
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ************* encrypted
passwd *************** encrypted
hostname Pix501
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl-nonat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.25
5.0
pager lines 24
logging on
logging timestamp
logging buffered debugging
logging trap informational
logging history errors
logging facility 6
mtu outside 1500
mtu inside 1500
ip address outside 192.168.0.200 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn_users 192.168.2.1-192.168.2.254
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list acl-nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pptpgroup accept dialin pptp
vpdn group pptpgroup ppp authentication mschap
vpdn group pptpgroup ppp encryption mppe auto required
vpdn group pptpgroup client configuration address local vpn_users
vpdn group pptpgroup pptp echo 60
vpdn group pptpgroup client authentication local
vpdn username user1 password ********
vpdn enable outside
dhcpd auto_config outside
terminal width 80
Cryptochecksum:ce9870b3c544182d2f689616b3b72ffa


Что не так?

Добавлено:
111009: User 'enable_15' executed cmd: show logging
603104: PPTP Tunnel created, tunnel_id is 3, remote_peer_ip is 192.168.0.13, ppp
_virtual_interface_id is 1, client_dynamic_ip is 192.168.2.1, username is , MPPE
_key_strength is None
603105: PPTP Tunnel deleted, tunnel_id = 3, remote_peer_ip = 192.168.0.13
710001: TCP access requested from 192.168.0.13/3270 to outside:192.168.0.200/ppt
p
710002: TCP access permitted from 192.168.0.13/3270 to outside:192.168.0.200/ppt
p

Добавлено:
Ещё добавил

fixup protocol pptp 1723
access-list acl-outside permit gre any any
access-list INBOUND permit icmp any any echo-reply
access-list INBOUND permit icmp any any unreachable
access-list INBOUND permit icmp any any time-exceeded
access-group INBOUND in interface outside

всё на том же месте(((

Подскажите в чем может быть причина следущей проблемы:
cisco asa 5520 сконфигурирована в режиме прозрачного фаервола, через нее устанавливаются VPN соединения до интернет шлюза, и после 3-4 одновременных соединений, при попытке установки 5го соедининения вываливается "Ошибка 800 подключения к VPN Не удалось установить подключение."
в логах

Код:
4|Sep 28 2009|11:50:59|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:50|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:45|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:42|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:41|106023|192.168.100.253|56810|ProxyServer|443|Deny tcp src inside:192.168.100.253/56810 dst outside:ProxyServer/443 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:41|106023|192.168.100.253|56810|ProxyServer|443|Deny tcp src inside:192.168.100.253/56810 dst outside:ProxyServer/443 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:40|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:40|106023|192.168.100.253|56810|ProxyServer|443|Deny tcp src inside:192.168.100.253/56810 dst outside:ProxyServer/443 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:30|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:20|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:18|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:18|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:17|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:16|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:15|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:15|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:14|106023|192.168.100.253|59808|224.0.0.252|5355|Deny udp src inside:192.168.100.253/59808 dst outside:224.0.0.252/5355 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:14|106023|192.168.100.253|59808|224.0.0.252|5355|Deny udp src inside:192.168.100.253/59808 dst outside:224.0.0.252/5355 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:12|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:08|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:06|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:05|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
6|Sep 28 2009|11:50:05|302018|192.168.100.253||ProxyServer|2048|Teardown GRE connection 468090 from inside:192.168.100.253 to outside:ProxyServer/2048 duration 0:00:00 bytes 0
6|Sep 28 2009|11:50:05|302018|ProxyServer||192.168.100.253|22621|Teardown GRE connection 468091 from outside:ProxyServer to inside:192.168.100.253/22621 duration 0:00:00 bytes 0
6|Sep 28 2009|11:50:05|302014|ProxyServer|1723|192.168.100.253|56809|Teardown TCP connection 468089 for outside:ProxyServer/1723 to inside:192.168.100.253/56809 duration 0:00:00 bytes 512 TCP FINs
6|Sep 28 2009|11:50:05|302013|ProxyServer|1723|192.168.100.253|56809|Built outbound TCP connection 468089 for outside:ProxyServer/1723 (ProxyServer/1723) to inside:192.168.100.253/56809 (192.168.100.253/56809)

так как провишка у меня asa722-k8.bin
а asdm версии 5.2
решил обновить
имена файлов узнал на сайте cisco - asdm-621.bin и asa821-k8.bin
а дальше в яндекс

закачал asdm и по доке http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask3
обновил asdm
после перегрузки браузер у меня спросил про сертификат, ну стандартно, я согласился и .. что-то типа admin/index.php не найден.. оппа.. запустил asdm не через браузер, тот сказал что новая версия, надо бы обновиться, согласился, после обновления он не соединяется.. через ssh вернул обратно, asdm заработал...

решил закачать asa
как не стараюсь он не закачивается, индикатор ходит туда сюда .. оставил на ночь, утром индикатор все ещё ходил туда-сюда..

что делать граждане, как обновиться ? и стоит ли ? и что я делаю не так ? вроде все по доке...

Добрый день! Помогите с настройкой PIX 515E.
Из сети, которая за пиксом, не могу установить исходящее VPN соединение. Надо срочно для работы Клиент-банка.
Порты уже все для этого хоста открыл (IP ANY), а соединение не устанавливается - ругается на закрытый порт. Где-то надо включить GRE, а где не нашел - весь PDM излазил...

ZmiterIv

желательно было указать что за клиент.
обычно достаточно этого:

access-list acl_0 permit esp host xxxx host xxxx
access-list acl_0 permit udp host xxxx host xxxx eq isakmp
access-list acl_0 permit udp host xxxx host xxxx eq 4500

sysopt connection permit-ipsec
vpdn enable outside
vpdn enable inside

может понабиться isakmp enable if_names

emoxam
Процедура обновления стандартня, льете по tftp, затем прописываете в бут систем, и также постумпаете с асдм, льете и прописываете в асдм имадж. При подобных проблемах рекомендовал бы порыть извесные баги, проверить версю явы на всякий случай обновить.

ZmiterIv
Скиньте конфиг и уточните, что именно нужно GRE или VPN?
какой трафик пропустить (откуда/куда) или терминировать на pix.
открыть порты для gre и vpn (isakmp и esp) на пиксе можно. но терминировать gre нельзя.

Был на днях на конференции, и в руки попался рекламный буклет от Cisco

полистал, нашел свой ASA 5505
и прочитал интересную вешь:

цитирую:
".... Поддержка до 50 виртуальных межсетевых экранов на одном устройстве.."

это действительно можно так сделать? если да то как это делается?
(т.е у меня сейчас 2 аса одно имеет ип 254 вторая 253 обе в одной подсети с общей маской..я был бы непротив одну аса освободить...и настроить 2 аса на одной)

Kwasti
не читайте рекламные буклеты=) для этого есть дата шиты.
до 50 виртуальных межсетевых экранов поддерживают старшие модели 5580-20 и 5580-40.
в 5505 их вроде как вообще нет, зато есть до 20 vlan. может не так перевели? )))

http://cisco.com/en/US/products/ps6120/prod_models_comparison.html

Kwasti
Это называется Контекстом безопасности , он есть начиная с АСА 5510 с лицензией сек плюс.