Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
Vic

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Реально перенести конфиг с PIX515 на ASA 5510, менее геморойно, чем все заново руками набивать? И еще вопрос мэнэжмент интерфейс такой же по функциональности, как и изернет?

Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 09:30 14-09-2010 | Исправлено: Vic, 10:43 14-09-2010
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vic
Есть специальная тулза, PIX to ASA Migration tool

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 11:54 14-09-2010
Vic

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut

Цитата:
Vic  
Есть специальная тулза, PIX to ASA Migration tool  

 
Ничего непонял, ну конвертнул я получил текстовый файл и чего с ним делать на ASA?
 
И еще скажите почему интерфейс мэнэжмент неможет быть в одной подсети с изернетом или так и задумано спецами из циски?

Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 13:56 15-09-2010 | Исправлено: Vic, 14:03 15-09-2010
kerpal

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сорри, если это тут ОФФ, но больше вроде и негде спросить, а новую тему создавать будет через чур.
 
В общем есть проблема с ASA 5505 после обновления с 7.2(3) до 8.2(1).
Обновилась, работает, но теперь на неё не получается попасть по https
Типа https://ciscoasa/ - раньше она предлагала оттуда установить ASDM или запустить его прям из браузера.
А сейчас, при попытке туда зайти, Firefox говорит "Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования.
(Код ошибки: ssl_error_no_cypher_overlap)", IE вообще тупо говорит ничего не могу открыть, Safari тоже ничего не говорит.
 
В принципе нашел описание подобной штуки вот тут
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#encrypmismatch
но вообще не понял что там предлагают удалить
 
Помогите, пожалуйста! Как починить?

Всего записей: 280 | Зарегистр. 24-05-2008 | Отправлено: 15:54 22-09-2010 | Исправлено: kerpal, 17:28 10-08-2011
Sterh84

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vic
ASA это устройство безопасности и даже Ваша локальная сеть может быть опасной, по неосторожности или туда всеже проникнут злоумышленники. Поэтому еще одним барьером должно стать данное разделение( те в сеть управления могут попасть только определенные пользователи)
kerpal
Вообще CSC это Content Security Control в статье предлогается почистить его кэш, вы обновили только бутовый образ  ? ASDM обновляли ?
Сам не сталкивался с таким... попробуйте почистить временные файлы, кэш ссл.  
 

Всего записей: 318 | Зарегистр. 03-10-2006 | Отправлено: 19:50 22-09-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kerpal
что показывает
sh run all ssl ?
попробуйте команду
ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 19:53 22-09-2010
kerpal

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sterh84
Цитата:
Вообще CSC это Content Security Control в статье предлогается почистить его кэш, вы обновили только бутовый образ  ? ASDM обновляли ?  
 

Обновлял и ASDM до 6.3.3

Цитата:
Сам не сталкивался с таким... попробуйте почистить временные файлы, кэш ссл.

Подскажите как это сделать.
 
ESX091
Код:
 
ciscoasa# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1


Цитата:
попробуйте команду  
ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1


Код:
ciscoasa# conf t
ciscoasa(config)# ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256$
ciscoasa(config)# wr mem
Building configuration...
Cryptochecksum: acd78ae0 311189ca 2f9d020c 27e5610f
 
3138 bytes copied in 1.410 secs (3138 bytes/sec)
[OK]
ciscoasa(config)# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption 3des-sha1 des-sha1 rc4-md5 aes128-sha1 aes256-sha1

И всё заработало!!! ESX091, большущее вам спасибо!!!!!!
 
А не поделитесь мыслями на счет того чивойта с ним случилось?

Всего записей: 280 | Зарегистр. 24-05-2008 | Отправлено: 20:39 22-09-2010 | Исправлено: kerpal, 20:44 22-09-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
=) рад, что помог.
обновляется софт так... потом приходится ручками подправлять.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 21:36 22-09-2010
Vic

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так что никто конфигу неперегонял с PIX-a на ASA?

Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 17:15 28-09-2010
Elric72

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может ли один VPN-клинет получить доступ ко второму VPN-клиенту ?
 Если Да то какие нужны дополнительные настройки ?
 
 
При попытке пропинговать соседний VPN получаю следующую ошибку
 
Sep 28 2010 16:16:06: %ASA-6-109025: Authorization denied (acl=#ACSACL#-IP-itt_dacl-4c5a7ec6) for user 'atmtest2' from x.x.255.251/768 to x.x.245.225/0 on interface vpngate531 using ICMP
 
# show uauth
ipsec user 'atmtest2' at x.x.x.251, authenticated
   access-list #ACSACL#-IP-monitoring-4ca1ebfa (*)
 
 
На компах CISCO VPN Client
ASA 5540 работает в связке с CSAS
 
 Сплиттунелиг и листы доступа настроены ,к другим устройствам сети VPN-клиенты получают доступ без проблем
 

Всего записей: 15 | Зарегистр. 13-05-2010 | Отправлено: 17:49 28-09-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vic
вручную перегонялось и не раз.
 
Elric72
покажите split-tunnel acl и address pool

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 18:29 28-09-2010
Vic

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
 

Цитата:
вручную перегонялось и не раз.

 
это как ручками все правила набивал?

Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 09:47 29-09-2010
Elric72

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Elric72  
покажите split-tunnel acl и address pool  

на Группе которая хочет видеть соседнюю
permit icmp host x.x.255.251  x.x.244.0 255.255.252.0
permit icmp host x.x.255.251  x.x.254.0 255.255.254.0
deny ip any any log informational interval 5
 
 
на соседней которую надо пинговать
permit icmp x.x.244.0 255.255.252.0 host x.x.255.251
...........................................................
deny ip any any log informational interval 5
 
Как такового пула нет  на ASA нет -  IP адреса выдаются SACS (прописаны на каждом пользовале индивидуально)
ACL соотвественно тоже берутся с SACS
 
 
 

Всего записей: 15 | Зарегистр. 13-05-2010 | Отправлено: 10:58 29-09-2010 | Исправлено: Elric72, 12:04 29-09-2010
Vic

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогайте нифига понять немогу, в правило вношу машину с нестандартным портом, т.е. которого нет в списке в ASA, и это правило неработает, никто несталкивался с таким, соседние машины и по http и smtp работают, а работоспособности машины с нестандартным портом добится немогу

Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 12:09 30-09-2010
Vic

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все с предыдущим разобрался, скажите как на PIX-е очистить конфигурацию, типа ставить все с нуля?

Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 11:48 01-10-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vic

Цитата:
это как ручками все правила набивал?

ручками весь конфиг, а не только правила

Цитата:
Все с предыдущим разобрался, скажите как на PIX-е очистить конфигурацию, типа ставить все с нуля?

conf t
clear config all
wr
 
Elric72
у меня на асе не получилось сделать, чтобы пользователи из одной tunnel-group могли общаться между собой. правда времени было немного.
если у кого такое реализовано - поделитесь =)
как будет время  - посмотрю, можно ли реализовать такой вариант - remote-users распределить по нескольким группам, чтобы они могли общаться между собой.
другой вариант, который точно работал - это использование маршрутизатора в качестве EZVPN сервера.
а какая задача - может получится ее решить другими способами?
 
 
 

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 22:11 07-10-2010
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добр день.
Есть asa5510
Есть 1 опубликованный веб сервер  
Лезут и лезут снаружи сервер всячески "пощупать"
 
Можно ли установить максимальное колво outside соединение с одного ip?  

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 13:02 14-10-2010
Kipoy

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Балуюсь с ASA 5510 Bun -8k. Пытаюсь ввести компьютор находящийся за интерфейсом outsaide в домен находящийся за insaide интерфейсом. На компе могу подключить сетевые ресурсы контроллера домена, а вот комп включить в домен ни как не получается. Контроллер домена пробрасываю в outside статикой. Также статикой пробрасываю комп в inside. В фаерволе на интерфейсах insaide и outside разрешены ходнения всех ко всем ip.  Возможно ли это в принципе? Если да то, что еще надо добавить.

Всего записей: 7 | Зарегистр. 23-09-2010 | Отправлено: 14:36 15-10-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zubastiy
можно через static nat или mpf (команда set connections)

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 12:47 16-10-2010
taelas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
asa5505, OS 8.2.3
при команде
show switch mac-
валится в корку. есть ещё у кого нить такой глюк?

Всего записей: 158 | Зарегистр. 24-01-2006 | Отправлено: 00:58 19-10-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru