День добрый! Подскажите, а можно ли каким-то образом на ASA установить фильтр на IP для определённой tunnel-group. Т.е. чтобы определённый vpn устанавливался только с определённого IP-source?
» Настройка Cisco PIX Firewall / ASA
http://cisco-ru.livejournal.com/341877.html - мне там помогли.
Спасибо за ответ, но всё же vpn-filter используется для ограничения доступа к сетям, которые передаются внутри тоннеля. А меня интересовал вариант установки IPSec c определённого внешнего IP-адреса. Поправьте меня если я не прав...
Ты про lan2lan или обычный впн, когда пользователь подключается?
Я про remote access клиента, не про lan2lan.
lim
странная постановка задачи.
если аса, то можно попробовать так:
tunnel-group 1.1.1.1 type remote-access
странная постановка задачи.
если аса, то можно попробовать так:
tunnel-group 1.1.1.1 type remote-access
Коллеги есть вопрос:
Есть ASA 5510 (8.4.2).
inside - 192.168.1.0/24
outside - 77.1.1.1/29
в inside есть SERVER 192.168.1.2 port 8888 (tcp)
Юзеры хотят подключаться (так как мобильные и работают как внутри сети так и снаружи) к серверу по внешнему IP (outside).
Static NAT для удаленных юзеров работает нормально, а для внутренних коннекты не проходят.
То есть соединиться с сервером из внутренней сетки по внешнему адресу не получается.
Много копал в сети - бытует мнение что так работать не будет, но однозначного ответа не нашел.
Собс-но вопрос - можно ли как то это настроить (192.168.1.99 -> 77.1.1.1:8888).
Буду очень благодарен.
Есть ASA 5510 (8.4.2).
inside - 192.168.1.0/24
outside - 77.1.1.1/29
в inside есть SERVER 192.168.1.2 port 8888 (tcp)
Юзеры хотят подключаться (так как мобильные и работают как внутри сети так и снаружи) к серверу по внешнему IP (outside).
Static NAT для удаленных юзеров работает нормально, а для внутренних коннекты не проходят.
То есть соединиться с сервером из внутренней сетки по внешнему адресу не получается.
Много копал в сети - бытует мнение что так работать не будет, но однозначного ответа не нашел.
Собс-но вопрос - можно ли как то это настроить (192.168.1.99 -> 77.1.1.1:8888).
Буду очень благодарен.
Supap1ex
кто ж так весело задизайнил сеть..))
dns-ами разрулить можно?
есть идея, но надо проверить
кто ж так весело задизайнил сеть..))
dns-ами разрулить можно?
есть идея, но надо проверить
ESX091
Что-то мы друг друга не понимаем вроде бы...
Цитата:
Здесь "1.1.1.1" - Название tunnel-group и больше ничего.
Мой вопрос был об ограничении по адресу инициатора соединения. Т.е. vpn по определённой группе нужно установить с одного IP, а при попытке соединения с другого IP происходил refuse. Может быть в данной задаче конечно и нет большого практического смысла, но возможность интересует...
Что-то мы друг друга не понимаем вроде бы...
Цитата:
tunnel-group 1.1.1.1 type remote-access
Здесь "1.1.1.1" - Название tunnel-group и больше ничего.
Мой вопрос был об ограничении по адресу инициатора соединения. Т.е. vpn по определённой группе нужно установить с одного IP, а при попытке соединения с другого IP происходил refuse. Может быть в данной задаче конечно и нет большого практического смысла, но возможность интересует...
ESX091
Сейчас и до этого момента для такого доступа используется сервачок на фре и там фаером делаются редиректы.
После того как начали строить впн возникло странное желание оставить тот же механизм (по крайней мере на какое то время) - надеюсь удастся уломать сделать как правильно.
днсами не покатит - юзаются айпи адреса.
Сейчас и до этого момента для такого доступа используется сервачок на фре и там фаером делаются редиректы.
После того как начали строить впн возникло странное желание оставить тот же механизм (по крайней мере на какое то время) - надеюсь удастся уломать сделать как правильно.
днсами не покатит - юзаются айпи адреса.
lim
Цитата:
это с чего взяли, что это просто название tunnel-group? Это source, с которого аса будет ждать ipsec трафик
Цитата:
Здесь "1.1.1.1" - Название tunnel-group и больше ничего
это с чего взяли, что это просто название tunnel-group? Это source, с которого аса будет ждать ipsec трафик
Цитата:
это с чего взяли...
Как обычно пользуясь help'ом увидел:
Цитата:
ciscoasa(config)# tunnel-group ?
configure mode commands/options:
WORD < 65 char Enter the name of the tunnel group
Железо и софт:
ASA5520
System image file is "disk0:/asa803-k8.bin"
lim
Для определённой группы, возможности ограничить нет(в 8.0 точно). Можно ограничить для всего девайса в целом. Суть RA VPNа в том что адресс заранее не известен.
Для определённой группы, возможности ограничить нет(в 8.0 точно). Можно ограничить для всего девайса в целом. Суть RA VPNа в том что адресс заранее не известен.
Sterh84
Спасибо! Я собственно к этому уже пришёл
Спасибо! Я собственно к этому уже пришёл
Коллеги подскажите где копать:
Цитата:
На стороне "клиента" прописано в криптомапе source = client_net/24 dest = any
Убран НАТ client_net в Инет
На стороне "центра" прописано в криптомапе source = any dest = client_net/24
Добавлен НАТ client_net/24 в Инет
Дополнительные вопрос - как настроить (куда копать) доступ к Инету у "клиента" при пропадании ВПНа с центром.
Спасибо.
Цитата:
Есть сайт-то-сайт впн (сети 10.1.1.0, 10.1.2.0, 10.1.3.0, ... 10.1.14.0 /24), нужно чтобы так называемые "клиенты (10.1.2.0-10.1.14.0) " ходили в инет через так называемый "центральный офис (10.1.1.0)"...- Это решено....
Сейчас они (клиенты) ходят в инет напрямую.
На стороне "клиента" прописано в криптомапе source = client_net/24 dest = any
Убран НАТ client_net в Инет
На стороне "центра" прописано в криптомапе source = any dest = client_net/24
Добавлен НАТ client_net/24 в Инет
Дополнительные вопрос - как настроить (куда копать) доступ к Инету у "клиента" при пропадании ВПНа с центром.
Спасибо.
Доброго времени суток!!!
Вот тут нашел несколько примеров настройки VPN на cisco ASA/PIX:
http://go-to-easyit.blogspot.com/2011/08/remote-access-vpn-pix-cisco-vpn-client.html
http://go-to-easyit.blogspot.com/2011/09/cisco-pixasa-1.html
http://go-to-easyit.blogspot.com/2011/09/cisco-pixasa-2.html
http://go-to-easyit.blogspot.com/2011/11/ssl-vpn-webvpn-cisco-asa-1.html
http://go-to-easyit.blogspot.com/2011/11/ssl-vpn-webvpn-cisco-asa-2.html
Не сочтите за рекламу. Думаю, что кому-нибудь будет полезно.
Вот тут нашел несколько примеров настройки VPN на cisco ASA/PIX:
http://go-to-easyit.blogspot.com/2011/08/remote-access-vpn-pix-cisco-vpn-client.html
http://go-to-easyit.blogspot.com/2011/09/cisco-pixasa-1.html
http://go-to-easyit.blogspot.com/2011/09/cisco-pixasa-2.html
http://go-to-easyit.blogspot.com/2011/11/ssl-vpn-webvpn-cisco-asa-1.html
http://go-to-easyit.blogspot.com/2011/11/ssl-vpn-webvpn-cisco-asa-2.html
Не сочтите за рекламу. Думаю, что кому-нибудь будет полезно.
Меня интересует Cisco ASA 5005 как межсетевой экран.
Есть ПК который нужно по одному сетевому интерфейсу подключить к четырем сетям. Способна ли данная модель обеспечить защиту этого ПК и обеспечить выдох в локальные сети?
Хотелось бы не объединять эти сети на коммутаторе, а решить задачу силами межсетевого экрана.
Есть ПК который нужно по одному сетевому интерфейсу подключить к четырем сетям. Способна ли данная модель обеспечить защиту этого ПК и обеспечить выдох в локальные сети?
Хотелось бы не объединять эти сети на коммутаторе, а решить задачу силами межсетевого экрана.
Повторилась ситуация. Прошивка была всё та же - 8.4.2.
Обновил до 8.4.4, будем наблюдать.
Опять в логах было:
Jun 12 2012 15:28:32: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x7460ba68
Правда, в этой ASA сдохла флэшка, перешёл на standby.
keepalive были стандартные (10 секунд).
И ещё нашёл замечательную команду:
sysopt connection preserve-vpn-flows
А то "сломанные трубы" достали, когда ssh отваливается, а ipsec туннель падал и переподнимался.
Обновил до 8.4.4, будем наблюдать.
Опять в логах было:
Jun 12 2012 15:28:32: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x7460ba68
Правда, в этой ASA сдохла флэшка, перешёл на standby.
keepalive были стандартные (10 секунд).
И ещё нашёл замечательную команду:
sysopt connection preserve-vpn-flows
А то "сломанные трубы" достали, когда ssh отваливается, а ipsec туннель падал и переподнимался.
При версии 8.4.4 случаи с коллизиями участились, но отвала канала не происходит:
asa-5520/act# sh log | i Phase 2 rekey collision
Jun 14 2012 22:24:32: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c6d8
Jun 15 2012 06:07:18: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c690
Jun 15 2012 06:31:14: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c690
Самое обидное, что со стороны 5580 ничего не видно - таких сообщений нет.
asa-5520/act# sh log | i Phase 2 rekey collision
Jun 14 2012 22:24:32: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c6d8
Jun 15 2012 06:07:18: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c690
Jun 15 2012 06:31:14: %ASA-5-713904: Group = x.x.x.x, IP = x.x.x.x, Phase 2 rekey collision, found centry 0x6e27c690
Самое обидное, что со стороны 5580 ничего не видно - таких сообщений нет.
И опять я.
Проблема в чём - полетела флэшка в одной из ASA, работающих в active/standby. Флэшку заменили, но как и понятно, конфигурация есть только с той ASA, которая активна. НО. Я загнал ту конфигурацию в startup-config, но пока не перезагружал (там пока стрёмно это делать, если что-то пойдёт не так).
Получится, что с одной стороны будет:
failover
failover lan unit secondary
И на второй будет тоже самое.
Можно ли просто startup-config подправить и вписать туда primary или же ASA как-то просчитает чек-сум и не загрузится с того конфига?
Проблема в чём - полетела флэшка в одной из ASA, работающих в active/standby. Флэшку заменили, но как и понятно, конфигурация есть только с той ASA, которая активна. НО. Я загнал ту конфигурацию в startup-config, но пока не перезагружал (там пока стрёмно это делать, если что-то пойдёт не так).
Получится, что с одной стороны будет:
failover
failover lan unit secondary
И на второй будет тоже самое.
Можно ли просто startup-config подправить и вписать туда primary или же ASA как-то просчитает чек-сум и не загрузится с того конфига?
В общем, всё решилось где-то тут:
https://supportforums.cisco.com/message/3661107
Из последнего поста видно, что не забывайте про activation-key, если у вас вдруг полетела флэшка...
https://supportforums.cisco.com/message/3661107
Из последнего поста видно, что не забывайте про activation-key, если у вас вдруг полетела флэшка...
Вопрос тут уже прозвучал, но пока без ответа, неужели никто еще не попробовал новую серию 5500-Х?
Доброго времени суток.
Возникла проблема настроить cisco asa 5505 следующим образом:
имеется подсеть 192.168.0.1-192.168.0.5 с маской 255.255.255.0 и подсеть с адресами 192.168.131.130-192.168.131.193 и маской 255.255.255.0.
Необходимо прохождение сигнала только по 135 порту. Веб интерфейс на циске по каким-то причинам недоступен (все настройки для поднятия веб-интерфейса выполнены, скачан ASDM, виснет при попытке подключения, логины и пароли для подключения по ASDM на циске выставлены, сброс к дефолтным настройкам не помог).
В итоге конфигурирование возможно только через консоль. Прошу помощи в разрешении моей проблемы.
Возникла проблема настроить cisco asa 5505 следующим образом:
имеется подсеть 192.168.0.1-192.168.0.5 с маской 255.255.255.0 и подсеть с адресами 192.168.131.130-192.168.131.193 и маской 255.255.255.0.
Необходимо прохождение сигнала только по 135 порту. Веб интерфейс на циске по каким-то причинам недоступен (все настройки для поднятия веб-интерфейса выполнены, скачан ASDM, виснет при попытке подключения, логины и пароли для подключения по ASDM на циске выставлены, сброс к дефолтным настройкам не помог).
В итоге конфигурирование возможно только через консоль. Прошу помощи в разрешении моей проблемы.
asuprom
Цитата:
думаю, что вы где-то ошибаетесь
если не доступен web, то это значит, что вы не выполнили весь необходимый набор команд, либо есть промежуточный сервер на котором доступ к вашей циске по нужным вам портам закрыт
привидите набор команд, которые вы давали в циску для решения проблемы
так будет легче вам помочь
Цитата:
Веб интерфейс на циске по каким-то причинам недоступен (все настройки для поднятия веб-интерфейса выполнены, скачан ASDM, виснет при попытке подключения, логины и пароли для подключения по ASDM на циске выставлены, сброс к дефолтным настройкам не помог).
думаю, что вы где-то ошибаетесь
если не доступен web, то это значит, что вы не выполнили весь необходимый набор команд, либо есть промежуточный сервер на котором доступ к вашей циске по нужным вам портам закрыт
привидите набор команд, которые вы давали в циску для решения проблемы
так будет легче вам помочь
всем доброго времени суток
В ДМЗ за Асей пытаюсь поднять bigbluebutton (сервер конференций)
http://code.google.com/p/bigbluebutton/wiki/FAQ#Can_I_provide_external_access_to_a_BigBlueButton_server_behind_m
для того, чтобы он смог работать с внешним ip необходимо дать ему возможность обращаться на самого себя по внешнему ip.
на сервере bigbluebutton серый ip
белый ip выдаю при помощи public servers через ASDM
итого, при попытке обращения в сислоге Аси вылезает ошибка:
deny ip due to land attack from ip address to ip address
как оказалось, на сайте венгдора эта ошибка расписана
https://supportforums.cisco.com/docs/DOC-14318
но вот как ее решить не догоняю
подскажите, кто может, или в ман ткните носом ...
заранее спасибо
В ДМЗ за Асей пытаюсь поднять bigbluebutton (сервер конференций)
http://code.google.com/p/bigbluebutton/wiki/FAQ#Can_I_provide_external_access_to_a_BigBlueButton_server_behind_m
для того, чтобы он смог работать с внешним ip необходимо дать ему возможность обращаться на самого себя по внешнему ip.
на сервере bigbluebutton серый ip
белый ip выдаю при помощи public servers через ASDM
итого, при попытке обращения в сислоге Аси вылезает ошибка:
deny ip due to land attack from ip address to ip address
как оказалось, на сайте венгдора эта ошибка расписана
https://supportforums.cisco.com/docs/DOC-14318
но вот как ее решить не догоняю
подскажите, кто может, или в ман ткните носом ...
заранее спасибо
Привет всем. Никак не могу с ASDM разобраться. лицезию на 3DES поставил, потом ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256 сделал.
запускаю ASDM, ввожу логин пароль, и получаю - Certificate Validation Failure. Please enter your username and password.
Что ему надо, понять не могу.
запускаю ASDM, ввожу логин пароль, и получаю - Certificate Validation Failure. Please enter your username and password.
Что ему надо, понять не могу.
Цитата:
Привет всем. Никак не могу с ASDM разобраться. лицезию на 3DES поставил, потом ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256 сделал.
запускаю ASDM, ввожу логин пароль, и получаю - Certificate Validation Failure. Please enter your username and password.
Что ему надо, понять не могу.
Сегодня тоже получил такую ошибку. Кто знает как победить?
проверьте наличие в конфиге строки
http authentication-certificate inside - именно она требует аутентификации по сертификату.
Если ее убрать - АСДМ заработает.
http authentication-certificate inside - именно она требует аутентификации по сертификату.
Если ее убрать - АСДМ заработает.
Здравствуйте! Помогите с настройкой Cisco asa 5505.
Цель такая: есть 2 статических айпишика - один у провайдера, второй - у сервака астриска, между ними надо вклинить циску. Поставить её мы поставили, базовые настройки сделали, провайдерский шлюх пингуется, локальный серв тоже, но вот нат настроить - увы не получается. Делали как в манах
(object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (asterisk,ttk) dynamic interface
),
потом пробовали через асдм, но ничего не выходит. в остальном циска чистая с заводскими настройками. Помогите пожалуйста!
для конкретики: ip asterisk - 192.168.20.2 /24
ip ttk - 89.237.28.177 /21
Цель такая: есть 2 статических айпишика - один у провайдера, второй - у сервака астриска, между ними надо вклинить циску. Поставить её мы поставили, базовые настройки сделали, провайдерский шлюх пингуется, локальный серв тоже, но вот нат настроить - увы не получается. Делали как в манах
(object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (asterisk,ttk) dynamic interface
),
потом пробовали через асдм, но ничего не выходит. в остальном циска чистая с заводскими настройками. Помогите пожалуйста!
для конкретики: ip asterisk - 192.168.20.2 /24
ip ttk - 89.237.28.177 /21
(config)# object network dmz-asterist
(config-network-object)#host 192.168.20.2
(config-network-object)#nat (dmz,outside) static 89.237.28.177
(config-network-object)#exit
(config)# access-list outside_in permit ip any host 192.168.20.2
(config)#access-group outside_in in int dmz
(config-network-object)#host 192.168.20.2
(config-network-object)#nat (dmz,outside) static 89.237.28.177
(config-network-object)#exit
(config)# access-list outside_in permit ip any host 192.168.20.2
(config)#access-group outside_in in int dmz
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: Как проверить,ушло ли писмо через вингейт на смтп провайдера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.