new_yorik
Цитата:
Научите
Цитата:
пофиксить ACL
Научите
» Настройка Cisco PIX Firewall / ASA
Запость сюда access-list
BorisDr
Цитата:
Да он там немеряный, эти сообщения идут по всем интерфейсам, а на внутреннем один и выглядит он вот так:
access-list inside_access_in extended permit tcp DOMEN 255.255.255.0 any eq www
И еще вопрос когда смотришь конфигу есть такая строчка:
access-list trade_access_in remark Ãà ðà äæà Гîâ
да именно так, я дескрипшен правила по-русски набирал, потом убил, но эта фигня осталась, как ее прибить?
Цитата:
Запость сюда access-list
Да он там немеряный, эти сообщения идут по всем интерфейсам, а на внутреннем один и выглядит он вот так:
access-list inside_access_in extended permit tcp DOMEN 255.255.255.0 any eq www
И еще вопрос когда смотришь конфигу есть такая строчка:
access-list trade_access_in remark Ãà ðà äæà Гîâ
да именно так, я дескрипшен правила по-русски набирал, потом убил, но эта фигня осталась, как ее прибить?
подыми httpd и прибей им
ПОМОГИТЕ, ЛЮДИ!!!
Свежекупленный PIX 515E не хочет отображать ASDM (веб-интерфейс). Подключаюсь как положено по https://192.168.1.1, принимаю сертификат, не воодя ни имени ни пароля нажимаю ок, а он мне в ответ
Код: 404 Not Found
The requested URL /admin/index.html was not found on this server.
Свежекупленный PIX 515E не хочет отображать ASDM (веб-интерфейс). Подключаюсь как положено по https://192.168.1.1, принимаю сертификат, не воодя ни имени ни пароля нажимаю ок, а он мне в ответ
Код: 404 Not Found
The requested URL /admin/index.html was not found on this server.
А на новой версии >7 возможно сделать такое, есть за пиксом тачка, работа на ней ведется по порту 3500, надо на пиксе сделать, то что ломится ну допустим на 80 порт к этой тачке редиректить на порт 3500, такое возможно?
Добавлено:
murmidonne
Поставь Cisco ASDM Launcher и работай, у меня тоже пишет
404 Not Found
The requested URL /admin/index.html was not found on this server.
если через веб ломиться, через лаунче все ок.
Добавлено:
murmidonne
Поставь Cisco ASDM Launcher и работай, у меня тоже пишет
404 Not Found
The requested URL /admin/index.html was not found on this server.
если через веб ломиться, через лаунче все ок.
Привет,
есть (или был ) pix 515 - вчера начал падать,
то перезагрузится и молчит после этого , иногда поднимается но потом опять падает. на консоль ничего кроме обычных сообщений при загрузке не выдается. может память ? кто подскажет как поставить диагноз ?
есть (или был ) pix 515 - вчера начал падать,
то перезагрузится и молчит после этого , иногда поднимается но потом опять падает. на консоль ничего кроме обычных сообщений при загрузке не выдается. может память ? кто подскажет как поставить диагноз ?
murmidonne
проверь наличие в конфиге
http server enable
http 10.x.x.x 255.255.255.255 inside
где, 10.х.х.х - адрес той машины, с которой ломишься на чиксу.
Естетственно, подразумевается, что ключи сгенерированы (crypto key generate...)
телнетом работать с пиксом тож не рекомендуется, предпочтительнее ssh, но в обоих случаях нужно соответствующие разрешения сделать в конфиге, типа
ssh 10.х.х.х 255.255.255.255 inside или
telnet 10.х.х.х 255.255.255.255 inside
проверь наличие в конфиге
http server enable
http 10.x.x.x 255.255.255.255 inside
где, 10.х.х.х - адрес той машины, с которой ломишься на чиксу.
Естетственно, подразумевается, что ключи сгенерированы (crypto key generate...)
телнетом работать с пиксом тож не рекомендуется, предпочтительнее ssh, но в обоих случаях нужно соответствующие разрешения сделать в конфиге, типа
ssh 10.х.х.х 255.255.255.255 inside или
telnet 10.х.х.х 255.255.255.255 inside
Может что то с флешкой
Залил свежий РОМ. Всё запахало.
... сорри промах )
Помогите пофиксить, нифига никак неразберусь, поставил последние версии, и увидел, что PIX стал резать http запросы, например есть пхп скрипт, и конструкцию типа $file = fopen ("http://user:password@www.domain.ru/rus/smi/news.urq?get_list?LANGUAGE=R", "r"); перестал пропускать в логах такая фигня типа сначала 2006-03-28 12:27:24 Local4.Info 192.168.254.6 Mar 28 2006 12:29:49: %PIX-6-302013: Built outbound TCP connection 176734 for outside:ххх.хх.ххх.ххх/80 (ххх.хх.ххх.ххх/80) to trade:mail.ххх.ru/4243 (mail.ххх.ru/4243)
2006-03-28 12:27:24 Local4.Notice 192.168.254.6 Mar 28 2006 12:29:49: %PIX-5-304001: mail.ххх.ru Accessed URL ххх.хх.ххх.ххх:/rus/smi/news.urq?get_list?LANGUAGE=R
а потом 2006-03-28 12:27:31 Local4.Info 192.168.254.6 Mar 28 2006 12:29:56: %PIX-6-106015: Deny TCP (no connection) from mail.ххх.ru/4243 to ххх.хх.ххх.ххх/80 flags PSH ACK on interface trade
Что за флаг PSH ACK и где его разрешают?
2006-03-28 12:27:24 Local4.Notice 192.168.254.6 Mar 28 2006 12:29:49: %PIX-5-304001: mail.ххх.ru Accessed URL ххх.хх.ххх.ххх:/rus/smi/news.urq?get_list?LANGUAGE=R
а потом 2006-03-28 12:27:31 Local4.Info 192.168.254.6 Mar 28 2006 12:29:56: %PIX-6-106015: Deny TCP (no connection) from mail.ххх.ru/4243 to ххх.хх.ххх.ххх/80 flags PSH ACK on interface trade
Что за флаг PSH ACK и где его разрешают?
Vic
поставил 7.1(2) ? Она походу глючная, народ жалуется
поставил 7.1(2) ? Она походу глючная, народ жалуется
да ее и поставил, похоже надо на предыдущюю откатываться, неставьте ее, я почти неделю искал непонятные глюки, то здесь, то там, пока понял, что это пикс грешит, откатился на предыдущую версию, и все хорошо стало, так все гладко проходило и на тебе, сразу в одной версии столько косяков.
привет,
есть 515 с 2-мя ipsec тоннелями pix-2-netscreen, pix-2-m0n0wall.
хочу чтоб roaming клиенты могли соединяться , но постоянно возникают проблемы - то один тоннель упадет, то другой. если отключить roaming клиентов - всё нормально.
может кто сталкивался с такой проблемой ? киньте плз линк на конфиг или может кто даст свой на сравнение..
вот мой работающий конфиг без roaming:
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map newmap 20 ipsec-isakmp
crypto map newmap 20 match address 120
crypto map newmap 20 set peer 62.xx.xx.xx
crypto map newmap 20 set transform-set myset
crypto map newmap 30 ipsec-isakmp
crypto map newmap 30 match address 130
crypto map newmap 30 set peer 66.xx.xx.xx
crypto map newmap 30 set transform-set myset
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 66.xx.xx.xx netmask 255.255.255.255
isakmp key ******** address 62.xx.xx.xx netmask 255.255.255.255
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp keepalive 10 5
isakmp client configuration address-pool local RemoteVPN outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
вот кусок от roaming:
crypto dynamic-map vpnclient 40 set transform-set vpnclient
crypto map newmap 40 ipsec-isakmp dynamic vpnclient
crypto map newmap client configuration address initiate
crypto map newmap client configuration address respond
если отдельно без статических тоннелей - то с roaming клиентами нет проблем, как вот это всё вместе подружить ? я понимаю что ошибся где-то , но не пойму где.
есть 515 с 2-мя ipsec тоннелями pix-2-netscreen, pix-2-m0n0wall.
хочу чтоб roaming клиенты могли соединяться , но постоянно возникают проблемы - то один тоннель упадет, то другой. если отключить roaming клиентов - всё нормально.
может кто сталкивался с такой проблемой ? киньте плз линк на конфиг или может кто даст свой на сравнение..
вот мой работающий конфиг без roaming:
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map newmap 20 ipsec-isakmp
crypto map newmap 20 match address 120
crypto map newmap 20 set peer 62.xx.xx.xx
crypto map newmap 20 set transform-set myset
crypto map newmap 30 ipsec-isakmp
crypto map newmap 30 match address 130
crypto map newmap 30 set peer 66.xx.xx.xx
crypto map newmap 30 set transform-set myset
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 66.xx.xx.xx netmask 255.255.255.255
isakmp key ******** address 62.xx.xx.xx netmask 255.255.255.255
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp keepalive 10 5
isakmp client configuration address-pool local RemoteVPN outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
вот кусок от roaming:
crypto dynamic-map vpnclient 40 set transform-set vpnclient
crypto map newmap 40 ipsec-isakmp dynamic vpnclient
crypto map newmap client configuration address initiate
crypto map newmap client configuration address respond
если отдельно без статических тоннелей - то с roaming клиентами нет проблем, как вот это всё вместе подружить ? я понимаю что ошибся где-то , но не пойму где.
По новой версии PIX 7.2(1)+ASDM 5.2(1) подскажите сам по себе ребутится, у меня одного так или у всех?
Есть книга "Брандмауэры Cisco Secure PIX" в djvu-формате. Если надо могу подогнать.
Vic
у меня 7.2(1) на 525UR - полет нормальный
у меня 7.2(1) на 525UR - полет нормальный
а у меня 515, вчера 2 раза ребутнулась сама, опять откатился назад, хотя очень грамотная стала, понравилась версия. Еще обратил внимание, у меня за пиксом стоит почтарь, так на бесплатные серваки уходит почта, а на нормальные домены нифига нехочет отправлять почту.
Vic
Цитата:
PIX 525, поставил 7.2.1 - такая же беда... по crashinfo вроде как от ISAKMP падает...
блин, плюс в 7.2.1 - оверхеда меньше стало, глючило в 7.1.1, канал забивало,
минус - падает ;(
кошкари блин как все стали за версией гнаться ;(
Цитата:
PIX 7.2(1)+ASDM 5.2(1) подскажите сам по себе ребутится
PIX 525, поставил 7.2.1 - такая же беда... по crashinfo вроде как от ISAKMP падает...
блин, плюс в 7.2.1 - оверхеда меньше стало, глючило в 7.1.1, канал забивало,
минус - падает ;(
кошкари блин как все стали за версией гнаться ;(
сорри, колбасит ;(
да, у меня тож начала ребутиться под 7.2(1), откатился 
удивительное рядом.
пришлось почистить Service Policy Rules; падать перестал...
либо конфиг мигрировал криво, либо... на этом мысль останавливается.
придётся садиться переписывать/переделывать.
...но по крайней мере откатываться не пришлось.
пришлось почистить Service Policy Rules; падать перестал...
либо конфиг мигрировал криво, либо... на этом мысль останавливается.
придётся садиться переписывать/переделывать.
...но по крайней мере откатываться не пришлось.
У меня тоже 515E ребутилась на 7.2(1) откатился на 7.1(2)7. Полет нормальный.
Подскажите, чего-то я не понимаю, пытаюсь сделать enroll от центра сертификации (на windows 2003). сертификат приходит и убивает самоподписанный сертификат для работы с pdm по ssl, в итоге pdm уже не пашет, выдавая ошибку 8101.
Pix 535 (наверняка дело не в модели), версия ос 6.3(5).
в чем могут быть грабли??
Pix 535 (наверняка дело не в модели), версия ос 6.3(5).
в чем могут быть грабли??
Настраиваю IPsec. На пиксе при debug crypto isakmp
постоянно пишет
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x24e3860, mess id 0xafde1419)!
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Aug 28 18:29:04 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x24e3c70, mess id 0xec52d9bc)!
Aug 28 18:29:04 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Aug 28 18:29:05 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x2c59c28, mess id 0xadf1be27)!
Aug 28 18:29:05 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Мож подскажете в чем дело? Вроде все проверил
Вот Конфиг самого айпи сек на пиксе 515е
crypto ipsec transform-set My1 esp-des esp-md5-hmac
crypto ipsec transform-set My2 esp-3des esp-md5-hmac
crypto ipsec transform-set My3 esp-3des esp-sha-hmac
crypto ipsec transform-set My4 esp-des esp-sha-hmac
crypto map exarmic 20 match address 101
crypto map exarmic 20 set pfs
crypto map exarmic 20 set peer 192.168.2.1
crypto map exarmic 20 set transform-set My1 My2 My3 My4
crypto map exarmic 20 set security-association lifetime seconds 3600
crypto map exarmic interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp am-disable
tunnel-group 192.168.2.1 type ipsec-l2l
tunnel-group 192.168.2.1 ipsec-attributes
pre-shared-key *
telnet 192.168.2.0 255.255.255.0 outside
постоянно пишет
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x24e3860, mess id 0xafde1419)!
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Aug 28 18:29:04 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x24e3c70, mess id 0xec52d9bc)!
Aug 28 18:29:04 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Aug 28 18:29:05 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x2c59c28, mess id 0xadf1be27)!
Aug 28 18:29:05 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!
Мож подскажете в чем дело? Вроде все проверил
Вот Конфиг самого айпи сек на пиксе 515е
crypto ipsec transform-set My1 esp-des esp-md5-hmac
crypto ipsec transform-set My2 esp-3des esp-md5-hmac
crypto ipsec transform-set My3 esp-3des esp-sha-hmac
crypto ipsec transform-set My4 esp-des esp-sha-hmac
crypto map exarmic 20 match address 101
crypto map exarmic 20 set pfs
crypto map exarmic 20 set peer 192.168.2.1
crypto map exarmic 20 set transform-set My1 My2 My3 My4
crypto map exarmic 20 set security-association lifetime seconds 3600
crypto map exarmic interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp am-disable
tunnel-group 192.168.2.1 type ipsec-l2l
tunnel-group 192.168.2.1 ipsec-attributes
pre-shared-key *
telnet 192.168.2.0 255.255.255.0 outside
Там где то спор был о том что лучше PIX или CP...... у ПИКСА есть одно преимущество, на него нет вирусов и прочей лабуды систему нельзя убить в отличие от винды ))) Сам не пользовался ни тем не этим но щас изучаю эти штуки!
Новую версию, никто еще неиспытал?
Сегодня зарядил, посмотрим
7.2(2) трое суток - полет нормальный
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.