» Настройка Cisco PIX Firewall / ASA

at200859
>>Это проблему не решит. Во-первых, rip и eigrp не работают, насколько я понимаю, через VPN
=)))
это проблему решит, но в качестве временного решения для подключения второго офиса.
у вас же работает ospf через ipsec, значит можно запустить и остальные протоколы маршрутизации.

Если планируется в дальнейшем подключение еще Х офисов, то желательно изменить дизайн.
Хотя есть примеры, сетей до 10 офисов, работающих на асах на статике.
DMVPN - работает только на IOS.


Добавлено:
Elric72
не вкурил.

вода:
на мой взгляд для ezvpn все таки лучше использовать маршрутизаторы. С этой технологией итак граблей хватает, а тут еще и на асах ее разворачивать.
а на асах делать обычные ipsec (l2l, remote-ipsec), и настраивать удобную фильтрацию трафика внутри ipsec.

по делу:
из первого поста
>>По скольку ASA5505 в такой конфигурации пропускает весь трафик на ASA5540 который идет мимо спиттунеленинга
если проблема только в этом, то что мешает повесить на внешний интерфейс acl и в нем разрешить только ipsec на 5540, а все остальное закрыть?
например:
access-list from-out deny ip any any
access-group from-out in in out

Cisco Security Server - это что за зверь? cisco ACS?
и зачем нужен acl на inside интерфейсе?

если хотите поменять уровни безопасности на интерфейсах, тогда необходимо дополнительно навешивать acl, т.к полностью меняется логика работы с точки зрения асы.

Так в ASA на вшений интерфейс acl можно повесить только на вход ,а со стороны удаленного объекта на цетральный офис все пройдет (скажем кидо по нетбиос ) именно потому приходится вешать acl на внутренний интерфейс

А какой еше acl я могу довесить ?
если у меня после смены уровня безопасности даже с
access-list outside_access_in extended permit ip any any
ASA5505 к ASA5540 не коннектится вообще

Elric72

уровень безопасности лучше оставить прежним.


Цитата:

Так в ASA на вшений интерфейс acl можно повесить только на вход

почему? повесьте на "выход"
access-group from-out out in out
зачем вешать на inside интерфейс, если уж используете DACL, то в них и ограничте доступ к центральному сайту в защищенном канале.
получается типа масло масляное.


Цитата:

interface Vlan1
nameif inside
security-level 100
ip address 10.11.17.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.11.16.1 255.255.255.0

В стадарной конфигурации все работает

По скольку ASA5505 в такой конфигурации пропускает весь трафик на ASA5540 который идет мимо спиттунеленинга

Как трафик может идти "мимо спиттунеленинга", если используется


Цитата:

access-group inside_access_in in interface inside

???
разрешите тогда в этом acl только нужный трафик.

Как в ASA 5505 в режиме EASY VPN настроить dead peer detection ?
(Чтобы ASA проверяла доступность сервера)

В 871 просто добавляется команда
crypto isakmp keepalive 10 periodic
и все работает

В ASA5505 при попыке настроить что-то подобное
crypto isakmp keepalive 10 2
команда в конфигурации не прописывается
а добавляют только строки для коннекта клиентов к ней
tunnel-group DefaultRAGroup ipsec-attributes
isakmp keepalive threshold 10 retry 2
tunnel-group DefaultWEBVPNGroup ipsec-attributes
isakmp keepalive threshold 10 retry 2

to Elric72
делаете по аналогии
tunnel-group <ваша tunnel-group> ipsec-attributes
isakmp keepalive 10 2

Доброго времени суток!
Помогите с решением проблемы.
что есть: VPN IPSec для подключения удаленного офиса, пользователи для входа в мою подсеть используют CISCO VPN Client. Удаленный офис видит мою подсеть и заходит по сети на мои станции, а вот обратное не возможно, хотя из моей подсети удаленные станции пингуются но сетевой вход не возможен...
в чем может быть проблема.
Спасибо заранее!

stalker1980

В настройках клиента на закладке транспорт поставьте галку Allow Local LAN Access. Думаю поможет

Имеется основной канал и резервный включаемый только в отсутвиии основного
Сisco 871 коннектится к ASA как хардвадный VPN клиент


crypto ipsec client ezvpn ASA
connect auto
group pt key 871
mode network-extension
peer 10.x.x.x
username pt password Pi
xauth userid mode local


ip route 10.0.0.0 255.0.0.0 10.x.x.6 track 1
ip route 10.0.0.0 255.0.0.0 10.x.x.205 254

track 1 rtr 1 reachability

ip sla 1
icmp-echo 10.x.x.6 source-interface Vlan1
timeout 300
frequency 30
ip sla schedule 1 life forever start-time now



Проблема в том сто перезагрузке cisco начинает в начале коннектится по второму каналу
И только секунд через 20 пока отрабоет SLA переключается на первый

Как поставить задержку либо на соединение по VPN с ASA
либо на отработку роута на 2-й канал ?

stalker1980
конфиг можно, а то ничего не понял...
если идут пинги, не не проходит остальной трафик смотрите acl.

Elric72

Цитата:

Проблема в том сто перезагрузке cisco начинает в начале коннектится по второму каналу

т.е. по резервному? а что в это время происходит с основным каналом?


Цитата:

И только секунд через 20 пока отрабоет SLA переключается на первый

поставьте timeout и frequency меньше, например чтобы переключение происходило в течение 2 секунд.

Можно вопрос новичка в Cisco, чем отличается update ASA и ASDM? ASDM (последняя свежая asdm-631.bin) я так понял - GUI для для настройки фаервола, для чего тогда ASA (последняя свежая asa831-k8.bin)

Добр день.

Есть центральный офис с PIX 515e
Есть несколько удаленных офисов ASA 5505

Строим vpn тоннели до офиса
На PIX515e настроены access-list ip которым можно обращаться в удаленные офисы.

Появилась задача разрешить доступ еще из одной подсети (техподдержка), при этом с выборочных хостов. Статику прописывать нецелесообразно по ряду причин, вспомнил про access-list dynamic у обычных рутеров.

На обычных IOS все просто - расширенный access-list dynamic и поехали.
Как такое сделать на PIX (dynamic нет в наличии)

to zubastiy
добрый
если правильно понял...на асах можно тоже создавать динамические acl
называется функционал cut-through proxy. Вам должен подойти.
погуглите.
если возникнут вопросы - то лучше с конфигом, чтобы более предметно побеседовать.

Цитата:

to zubastiy
добрый
если правильно понял...на асах можно тоже создавать динамические acl
называется функционал cut-through proxy. Вам должен подойти.
погуглите.

спасибо, ESX091. гугл во всем признался )

Добрый День!
Появилась необходимость добавить в PIX интерфейс, кто знает туда только спец сетевые карты подходят(например PIX-1FE) или можно обычную поставить(3Com, Intel)?????
Устройство PIX-535-UR.

friench

Цитата:

Появилась необходимость добавить в PIX интерфейс, кто знает туда только спец сетевые карты подходят(например PIX-1FE) или можно обычную поставить(3Com, Intel)?????

В PIX515E я успешно к уже существующей добавил вторую сетевую плату - обычную от Intel. В процессе установки оказалось, что и родная плата была точно такая же!

Спасибо за участие.
Могу сказать что для установки в PIX'ы подходят карточки Intel c чипами серий i82559 и s82557, это оттестированные варианты. Сейчас ищу варианты гигабитных интерфейсов.

Если у кого-то есть гигабиные PIXы посмотрите что за интерфейсы стоят????? Для этого не надо его снимать серии чипов он показывает при загрузке=)))

Подскажите,пожалуйста, в чем может быть проблема, не могу пробросить ssh в локальную сеть для маршрутизатора, моя схема и логи:



логи на ASA:



debug на роутере:

*Aug 6 08:54:36.602: IP: s=5.5.5.6 (GigabitEthernet0/0), d=10.10.10.254, len 60, input feature
*Aug 6 08:54:36.602: TCP src=44763, dst=22, seq=4072024705, ack=0, win=5840 SYN, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Aug 6 08:54:36.602: FIBipv4-packet-proc: route packet from GigabitEthernet0/0 src 5.5.5.6 dst 10.10.10.254
*Aug 6 08:54:36.602: FIBfwd-proc: Default:10.10.10.254/32 recieve entry
*Aug 6 08:54:36.602: FIBipv4-packet-proc: packet routing failed
*Aug 6 08:54:36.602: IP: tableid=0, s=5.5.5.6 (GigabitEthernet0/0), d=10.10.10.254(GigabitEthernet0/0), routed via RIB
*Aug 6 08:54:36.602: IP: s=5.5.5.6 (GigabitEthernet0/0), d=10.10.10.254(GigabitEthernet0/0), len 60, rcvd 3
*Aug 6 08:54:36.602: TCP src=44763, dst=22, seq=4072024705, ack=0, win=5840 SYN
*Aug 6 08:54:36.602: IP: s=5.5.5.6 (GigabitEthernet0/0), d=192.168.15.254, len 60, stop process pak for forus packet
*Aug 6 08:54:36.602: TCP src=44763, dst=22, seq=4072024705, ack=0, win=5840 SYN

chydachok
конфиги выложите, плиз.
логи на асе вообще не видны.((

пинговать удаленный хост 5.5.5.6 c маршрутизатора можете?
если нет, то show ip route на маршрутизаторе.

Цитата:

пинговать удаленный хост 5.5.5.6 c маршрутизатора можете?

конфиг завтра вылажу, но помню точно - пинги не идут на 5.5.5.6, поэтому поводу делал default-gateway 10.10.10.253(локальный адрес ASAы)

chydachok

Цитата:

lt-gateway 10.10.10.253(локальный адрес ASAы)

используйте лучше команду ip route 0.0.0.0 0.0.0.0 10.10.10.253

ESX091

Цитата:

используйте лучше команду ip route 0.0.0.0 0.0.0.0 10.10.10.253

Спасибо, дружище!!! Чувствовал, что в роуте по умолчанию загвоздка..., спасибо. Интересно, чего с default-gateway 10.10.10.253 не работало, смысл тот же?

Цитата:

Спасибо, дружище!!! Чувствовал, что в роуте по умолчанию загвоздка..., спасибо. Интересно, чего с default-gateway 10.10.10.253 не работало, смысл тот же?

default-gateway - это по моему про свичи
а 0.0.0.0 0.0.0.0 это кандидат в маршруты по умолчанию
их может быть несколько

zubastiy

Цитата:

default-gateway - это по моему про свичи

в том-то и дело, по доке к роутеру есть эта команда(Configuring a Gateway of Last Resort Using IP Commands):

ip default-gateway
ip default-network
and ip route 0.0.0.0 0.0.0.0


...The ip default-gateway command differs from the other two commands. It should only be used when ip routing is disabled on the Cisco router.

роутинг отключен, поэтому и использовал выше описанную команду

chydachok
не за что. обращатесь еще =)

Цитата:

default-gateway

как тут верно заметили - это команда L2.
что значит рутинг отключен? на маршрутизаторе ввели такую команду - no ip routing ??

zubastiy

Цитата:

а 0.0.0.0 0.0.0.0 это кандидат в маршруты по умолчанию
их может быть несколько

может я не так понял. но ip route 0 0 - это не кандидат, а дефолтный маршрут и если не играться с различными наворотами типа метрика и sla, то может быть только одЫн.

ESX091

Цитата:

на маршрутизаторе ввели такую команду - no ip routing ??

наверно, ввело в заблуждение то, что на маршрутизаторе не включен ни один из протоколов маршрутизации, из этого решил, что и роутинг отключен

Цитата:

The ip default-gateway command differs from the other two commands. It should only be used when ip routing is disabled on the Cisco router.

роутинг отключен, поэтому и использовал выше описанную команду

по правилам хорошего тона лучше иметь на роутере и 0.0.0.0 0.0.0.0 и default-gateway, вдруг в следующий раз действительно кто-то сделает no ip routing, по крайней мере сетевой доступ останется.

Valery12

Цитата:

по правилам хорошего тона...

будем учиться, будем учиться, спасибо!!!

ESX091


Цитата:

может я не так понял. но ip route 0 0 - это не кандидат, а дефолтный маршрут и если не играться с различными наворотами типа метрика и sla, то может быть только одЫн.

эмммм. на ccna препод мозг проел этим высказыванием, говоря что маршрутов 0.0.0.0 может быть несколько и это кандидаты на маршрут по умолчанию.
видимо имел ввиду ситуации с несколькими провайдерами.

про ip default-gateway и тд http://www.ciscolab.ru/2007/03/12/route_default.html видимо кандидат в маршруты - это устойчивое выражение.

как все меняется...
в мое время на ccna такое не проходили.
По мне - русскую терминологию лучше вообще не использовать или по минимуму. Т.к ее по сути нет, каждый переводит как считает правильным.
"кандидаты в маршруты", "шлюз последнего выбора", "крипто карты"... у меня ухи в трубочку сворачиваются...

День добрый,

никак немогу найти ответ на простой вопрос: возможно ли настроить ASA55xx (или PIX 515e) для подключения
к Корбине по l2tp, те как клиент и без шифрования.
Видел где-то упоминания, что "типа работает", но ни одного конфига не видел.