» Настройка Cisco PIX Firewall / ASA

ESX091,
"на асе по умолчанию все закрыто и отключено. это не маршрутизатор" - железки "в наследство" достаются не по умолчанию.

"но для 6 и 7 есть оператор связи.
И проблему ddos правильнее решать именно на уровне оператора" - сейчас интересует всё, что я могу сделать у себя.

"С оператором" в смысле с датацентром или с ISP (тот, кто дает интернет датацентру)?

ESX091
добрый день

пример прост
с офиса необходимо организовать доступ к двум другим офисам/компаниям в обоих случая х на другой стороне различные киски

Добавлено:
ps
на постоянной основе

to vicwanderer
доставшиеся кошки в_наследство тогда уж лучше перенастроить самому с 0.

to slaj1
ответ еще проще)
различные кошки разное умеют. поэтому можно

всем привет!
Люди добрые помогите asa 5505 подружить с NetFlow 8 версией ... какие настройки нужно сделать в ASA

Извините за офтоп.
По одной цене предлагают ASA5505-50-BUN-K9 и Pix 515 unrestr. что лучше взять? Сам я не специалист в этих железках.
Основное назначение site-to-site vpn, firewall. Через firewall кроме обычного трафика должен будет ходить еще и голос как sip так и h.323.

А кто подскажет можно ли собрать в кластер более 2-х ASA ?
и что для этого надо модель самой ASA версия софта дополнительные лицензии ?

везде идут только отсылки на loadbalansing между двумя ASA

Подскажите гуру, есть pix-515e, поставил туды 8.0(4)32, затем воткнул asdm 5.2(4) при входе пишет что 8.0(4) не работает с 5.2(4) , думал поставить 6.4.1 но он незалезет туды места нет, подскажите какой asdm поставить. спасибо

skliz
ставьте 6.1(5)57

хорошо, щас попробую, отпишусь

Добавлено:
Да залилось нормально, я так понял это последний который влезет на 16mb flash которые там стоят.

Добавлено:
единственое непойму перестало соединятся с впн конфиг наместе вроде усе постарому, могла ли замена ios чтонить попортить

Добавлено:
да вот теперь такая фигня, Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from peer table failed, no match! а у клиента вот так Marking IKE SA for deletion (I_Cookie=CB7CC9E7876001C3 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

подскажите пожалуйста.
загружается канал - иду в логи вижу много в ADSM Sysylog - но плохо представляю как мне понять кто валит мою сеть изнутри ?
Или тут без net flow и SNMP свитчей никак ?
На ум приходит создание правил разрешающих для отлова IP по портам, но думается это не эффективно.
В Mikrotik например есть Torch.
В ASA есть возможность трафик хватать - но я плохо предстваляю как потом искать в этом виновника.
Подскажите кто как решает такие задачи.

Спасибо.

slech
используйте команды
show conn
show xlate

Добавлено:
Elric72
что подразумевается под кластером?

Есть Cisco ASA 5510 Adaptive Security Appliance with Security Plus License and AIP-SSM-10 (chassis, software, 2 Gigabit Ethernet interfaces, 3 Fast Ethernet interfaces, 250 IPsec VPN peers, 2 SSL VPN peers, Active/Active high availability, 3DES/AES) - ASA5510-AIP10SP-K9

Версии:
ASA 8.0(4)16
ASDM 6.1(5)57
IPS - IPS-K9-7.0-1-E3

Как обновлять ASA и ASDM известно (хотя читая релизы на ASA 8.4(1) я узнал, что он сильно изменился, типа нужно сначала на 8.3 переходить и downgrade в случае "чаго" сложный, так как не все номанды из текущего конфига воспринимаются, как следствие конфиг полностью нужно переделывать).

Меня больше интересует обновление IPS в теме Cisco Security Software
выложили кучу файлов :
IPS-CS-MGR-sig-S567-req-E4.zip
IPS-sig-S567-req-E4.pkg
IOS-S556-CLI.pkg
sigv5-SDM-S555.zip

Я вот не пойму - у меня сейчас версия оканчивается на E3. Подойдет ли версия от E4 (нужен ли какой-то переход-миграция) или нужно искать только от E3?
Честно говоря не понимаю, как к этим файлам подступиться. Хоть бы ссылки на
инструкцию по обновлению указали (что первое обновлять, что второе и так далее).

dimaonline
а залезть на сайт производителя и найти самому необходимую инфу никак?
тем более у кошек на сайте документации достаточно...

Да не слабо, только там не разъясняют, что эти файлы значат и для чего они.
Например, чем отличается IPS-CS-MGR-sig-S567-req-E4.zip от IPS-sig-S567-req-E4.pkg или sigv5-SDM- ... ? мне кажется по сравнению с предыдущими вопросами эти вопросы не так тривиальны.

тривиальны.
плохо ищете - на сайте все расписано.
информация ищется пару минут.
IPS-CS-MGR-sig - апдейты для CSM
IPS-sig- Signature Update для IPS appliance и модулей АСЫ
sigv5-SDM - Signature Update для IOS IPS

Всем привет, есть pix 501, стоит в локальной сети одной организации, админ этой организации выделил один статический адрес и указал шлюз, на котором настроил форвардинг для выброса исходящего подключения в Интернет. Необходимо выполнить соединение этого пикса по VPN с Windows VPN сервер в интернете.
Подскажите как это сделать?

Добавлено:
Отвечаю сам себе, ничего не получится так как клиент VPN (PPTP/L2TP) в данном устройстве нет!

VPN PPTP на нем есть, но в старых версиях (просто уже непомню с какой версии PPTP убрали, а так он там был - сам настраивал где-то еще лет 8 назад)

Пикс никогда не был pptp клиентом. Только pppoe.

Не могу утверждать про 501, но 515 Version 6.3(3) был PPTP СЕРВЕРОМ (а не клиентом, т.е. Windows должен выступать PPTP клиентом). Начиная кажется с версии 7 эту фичу убрали.

Вот хотя бы пример http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080143a5d.shtml

Добрый день!

Вопрос о настройке sla monitor'а в PIX 515 версия 7.2

Настроено резервирование канала в интернет, по документу ASA/PIX 7.x: Redundant or Backup ISP Links Configuration Example

Настройка sla monitor'a

Код: sla monitor 123
type echo protocol ipIcmpEcho tosnosite interface tosno
num-packets 5
frequency 10
threshold 2000
sla monitor schedule 123 life forever start-time now

Цитата:

Есть ли аналогичный инструмент для PIX?

нет. EEM на pix-ах не реализован.

Добавлено:


Цитата:

К сожалению судя по командной строке интервал времени между посылками пакетов в одном тесте - не задается

что именно нужно сделать?

ESX091, вопрос благодаря вам закрыт, но если вам интересно:

Вообще делается схема резервирования канала связи между двумя офисами через разных провайдеров. На одной стороне стоит CISCO PIX515, а на другой Juniper SRX210.

По заданию надо чтобы оборудование переходило на резервный канал связи только при отсутствии основного канала в течении как минимум 20 секунд.

При следующей настройке sla monitor'а циско выполняет весь тест менее чем за 2 секунды и при его провале переходит на резервный канал:

Код:
sla monitor 123
type echo protocol ipIcmpEcho tosnosite interface tosno
num-packets 100
frequency 40
sla monitor schedule 123 life forever start-time now

gera53
пикс -исключительно мсэ. не надо слишком много от него хотеть.
такого старого оборудования под руками нет - проверить не могу, но на асе есть следующее:

ASA(config-sla-monitor-echo)# ?

IP SLA Monitor Echo Configuration Commands:
default Set a command to its defaults
exit Exit probe configuration
frequency Frequency of an operation
no Negate a command or set its defaults
num-packets Number of Packets
request-data-size Request data size
threshold Operation threshold in milliseconds
timeout Timeout of an operation
tos Type Of Service
<cr>

Если есть команды
frequency, threshold и timeout
поиграйтесь с ними, они дадут желаемое

Может кто подскажет как в ASA получить доступ к "погасшему" IPS-модулю

#session 1
Opening command session with slot 1.
Card in slot 1 did not respond to session request.


#show module 1

ASA1-739# show module 1

Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 xxxxxxxxxx
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
1 001d.70e3.f5ee to 001d.70e3.f5ee 1.0 1.0(11)4 6.2(2)E4

Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 IPS Not Applicable 6.2(2)E4

Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
1 Down Not Applicable


Перегружать рабочую ASA или выполнять процеруру рековери со стиранием конфигурации модуля очень не хочется
А команды из hw-module типа reboot c модулем в статусе down работать не хотят

подскажите пожалуйста:
тонель не хочет подниматься.
Cisco ASA DMZ ---> Office_LAN - поднялся
Cisco ASA LAN ---> Office_LAN - не поднимается.

Пробую с нуля создать тонели, настройка на стороне Cisco:

Код:
tunnel-group xx.xx.xx.4 type ipsec-l2l
tunnel-group xx.xx.xx.4 ipsec-attributes
pre-shared-key ********
isakmp keepalive threshold 10 retry 2

access-list Untrust_cryptomap_20 extended permit ip LAN 255.255.255.0 Office_LAN 255.255.255.0 log disable
crypto map Untrust_map 20 match address Untrust_cryptomap_20
crypto map Untrust_map 20 set peer xx.xx.xx.4
crypto map Untrust_map 20 set pfs group2
crypto map Untrust_map 20 set transform-set ESP-3DES-SHA
crypto map Untrust_map interface Untrust

access-list Untrust_cryptomap_30 extended permit ip DMZ 255.255.255.0 Office_LAN 255.255.255.0 log disable
crypto map Untrust_map 30 match address Untrust_cryptomap_30
crypto map Untrust_map 30 set peer xx.xx.xx.4
crypto map Untrust_map 30 set pfs group2
crypto map Untrust_map 30 set transform-set ESP-3DES-SHA
crypto map Untrust_map interface Untrust

какое значение у DMZ, LAN и Office_LAN?

Конфиг бы показали полный или дебаг.
странные acl, а именно сочетания LAN, DMZ, Office_LAN и маски 255.255.255.0

ESX091


Цитата:

какое значение у DMZ, LAN и Office_LAN?

DMZ=172.16.0.0
LAN=172.16.1.0
OfficeLAN=192.168.0.0

Цитата:

странные acl, а именно сочетания LAN, DMZ, Office_LAN и маски 255.255.255.0

DMZ=172.16.0.0 255.255.255.0
LAN=172.16.1.0 255.255.255.0
OfficeLAN=192.168.0.0 255.255.255.0
вроде нормально всё:

Цитата:

access-list Untrust_cryptomap_20 extended permit ip 172.16.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable
access-list Untrust_cryptomap_30 extended permit ip 172.16.0.0 255.255.255.0 192.168.0.0 255.255.255.0 log disable

Задача подключить офисную сеть к 2-ум подсетя которые на Cisco ASA.

Конфиг просто большой, даже незнаю что оттуда может помочь. Затык появляется именно с VNP. Бегал я по ASDM, пока Cisco не стала тяжело отзываться. Потом и вовсе перестала пакеты через себя пропускать. Каким-то чудом моя консоль уцелела.
copy startup-config running-config - она долго что-то давила, что не может применить потому что уже есть.
Потом reset и только после этого она ожила. Аптайм был более 2-ух лет, может поэтому её подколбасило так. Аж страшновато запускать ASDM уже.

slech
по логам аса ругается на
The packet specifies its destination as 10.0.0.4, its source as 192.168.0.4, and its protocol as 17.
как он (destination =10.0.0.4) попадает в туннель - я не знаю. Смотрите конфиг на удаленном кошаке.
если нужна помощь - нужны конфиги с обоих vpn пиров.

Добавлено:

Цитата:

Аптайм был более 2-ух лет

пора бы софт поменять....

Цитата:

The packet specifies its destination as 10.0.0.4, its source as 192.168.0.4, and its protocol as 17

это я всё сети свои скрываю.
правильно интерпретировать будет так:

Цитата:

The packet specifies its destination as 172.16.1.4, its source as 192.168.0.4, and its protocol as 17

Добавлено:

Цитата:

пора бы софт поменять....

так это жтоже непросто. железка то одна. хостинг в штатах, километров за 500 от ближайших сотрудников. вобщем всё как всегда.

Цитата:

правильно интерпретировать будет так...

это асе скажите =)


Цитата:

так это жтоже непросто

а что непростого? downtime = время перезгрузки. примерно 2 минуты.