Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA
 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 
Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
skirix



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос в следующем... Починился старенький PIX 501  и решил создать в локальной сети скажем 192.168.0.0 некую безопасноую зону с возможностью подключения только по vpn, а во внутренней зоне pix разместить некий файловый сервер...
 
Соответственно pix решил подключить к существующей локальной сети через wan с адресом 192.168.0.200... вроде всё настроил... но по vpn с сетки этой сетки не получается подключиться? Выдает ошибку 721... Ниже выкладываю конфиг.
 
: Saved
: Written by enable_15 at 00:20:48.610 UTC Fri Jan 1 1993
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ************* encrypted
passwd *************** encrypted
hostname Pix501
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl-nonat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.25
5.0
pager lines 24
logging on
logging timestamp
logging buffered debugging
logging trap informational
logging history errors
logging facility 6
mtu outside 1500
mtu inside 1500
ip address outside 192.168.0.200 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn_users 192.168.2.1-192.168.2.254
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list acl-nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pptpgroup accept dialin pptp
vpdn group pptpgroup ppp authentication mschap
vpdn group pptpgroup ppp encryption mppe auto required
vpdn group pptpgroup client configuration address local vpn_users
vpdn group pptpgroup pptp echo 60
vpdn group pptpgroup client authentication local
vpdn username user1 password ********
vpdn enable outside
dhcpd auto_config outside
terminal width 80
Cryptochecksum:ce9870b3c544182d2f689616b3b72ffa
 
 
Что не так?
 
Добавлено:
111009: User 'enable_15' executed cmd: show logging
603104: PPTP Tunnel created, tunnel_id is 3, remote_peer_ip is 192.168.0.13, ppp
_virtual_interface_id is 1, client_dynamic_ip is 192.168.2.1, username is , MPPE
_key_strength is None
603105: PPTP Tunnel deleted, tunnel_id = 3, remote_peer_ip = 192.168.0.13
710001: TCP access requested from 192.168.0.13/3270 to outside:192.168.0.200/ppt
p
710002: TCP access permitted from 192.168.0.13/3270 to outside:192.168.0.200/ppt
p
 
Добавлено:
Ещё добавил
 
fixup protocol pptp 1723
access-list acl-outside permit gre any any
access-list INBOUND permit icmp any any echo-reply
access-list INBOUND permit icmp any any unreachable
access-list INBOUND permit icmp any any time-exceeded
access-group INBOUND in interface outside
 
всё на том же месте(((
Всего записей: 26 | Зарегистр. 11-02-2009 | Отправлено: 12:50 25-09-2009
lexx

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите в чем может быть причина следущей проблемы:
cisco asa 5520 сконфигурирована в режиме прозрачного фаервола, через нее устанавливаются VPN соединения до интернет шлюза, и после 3-4 одновременных соединений, при попытке установки 5го соедининения вываливается "Ошибка 800 подключения к VPN Не удалось установить подключение."
в логах  

Код:
 
4|Sep 28 2009|11:50:59|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:50|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:45|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:42|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:41|106023|192.168.100.253|56810|ProxyServer|443|Deny tcp src inside:192.168.100.253/56810 dst outside:ProxyServer/443 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:41|106023|192.168.100.253|56810|ProxyServer|443|Deny tcp src inside:192.168.100.253/56810 dst outside:ProxyServer/443 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:40|106023|192.168.100.253|500|ProxyServer|500|Deny udp src inside:192.168.100.253/500 dst outside:ProxyServer/500 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:40|106023|192.168.100.253|56810|ProxyServer|443|Deny tcp src inside:192.168.100.253/56810 dst outside:ProxyServer/443 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:30|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:20|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:18|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:18|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:17|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:16|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:15|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:15|106023|192.168.100.253|137|192.168.101.255|137|Deny udp src inside:192.168.100.253/137 dst outside:192.168.101.255/137 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:14|106023|192.168.100.253|59808|224.0.0.252|5355|Deny udp src inside:192.168.100.253/59808 dst outside:224.0.0.252/5355 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:14|106023|192.168.100.253|59808|224.0.0.252|5355|Deny udp src inside:192.168.100.253/59808 dst outside:224.0.0.252/5355 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:12|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:08|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:06|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
4|Sep 28 2009|11:50:05|106023|192.168.100.253|1701|ProxyServer|1701|Deny udp src inside:192.168.100.253/1701 dst outside:ProxyServer/1701 by access-group "inside_access_in" [0x0, 0x0]
6|Sep 28 2009|11:50:05|302018|192.168.100.253||ProxyServer|2048|Teardown GRE connection 468090 from inside:192.168.100.253 to outside:ProxyServer/2048 duration 0:00:00 bytes 0
6|Sep 28 2009|11:50:05|302018|ProxyServer||192.168.100.253|22621|Teardown GRE connection 468091 from outside:ProxyServer to inside:192.168.100.253/22621 duration 0:00:00 bytes 0
6|Sep 28 2009|11:50:05|302014|ProxyServer|1723|192.168.100.253|56809|Teardown TCP connection 468089 for outside:ProxyServer/1723 to inside:192.168.100.253/56809 duration 0:00:00 bytes 512 TCP FINs
6|Sep 28 2009|11:50:05|302013|ProxyServer|1723|192.168.100.253|56809|Built outbound TCP connection 468089 for outside:ProxyServer/1723 (ProxyServer/1723) to inside:192.168.100.253/56809 (192.168.100.253/56809)
 

 
Всего записей: 63 | Зарегистр. 16-11-2002 | Отправлено: 10:01 28-09-2009
emoxam

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
так как провишка у меня asa722-k8.bin
а asdm версии 5.2
решил обновить
имена файлов узнал на сайте cisco - asdm-621.bin и asa821-k8.bin
а дальше в яндекс
 
закачал asdm и по доке http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask3
обновил asdm
после перегрузки браузер у меня спросил про сертификат, ну стандартно, я согласился и .. что-то типа admin/index.php не найден.. оппа.. запустил asdm не через браузер, тот сказал что новая версия, надо бы обновиться, согласился, после обновления он не соединяется.. через ssh вернул обратно, asdm заработал...
 
решил закачать asa
как не стараюсь он не закачивается, индикатор ходит туда сюда .. оставил на ночь, утром индикатор все ещё ходил туда-сюда..  
 
что делать граждане, как обновиться ? и стоит ли ? и что я делаю не так ? вроде все по доке...
Всего записей: 40 | Зарегистр. 14-01-2006 | Отправлено: 00:03 03-10-2009 | Исправлено: emoxam, 12:29 03-10-2009
ZmiterIv

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Помогите с настройкой PIX 515E.
Из сети, которая за пиксом, не могу установить исходящее VPN соединение. Надо срочно для работы Клиент-банка.  
Порты уже все для этого хоста открыл (IP ANY), а соединение не устанавливается - ругается на закрытый порт. Где-то надо включить GRE, а где не нашел - весь PDM излазил...
Всего записей: 2 | Зарегистр. 13-12-2008 | Отправлено: 12:21 09-10-2009
8BNHWZ



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZmiterIv
 
желательно было указать что за клиент.
обычно достаточно этого:
 
access-list acl_0 permit esp host xxxx host xxxx  
access-list acl_0 permit udp host xxxx host xxxx eq isakmp  
access-list acl_0 permit udp host xxxx host xxxx eq 4500  
 
sysopt connection permit-ipsec
vpdn enable outside
vpdn enable inside
 
может понабиться isakmp enable if_names
Всего записей: 60 | Зарегистр. 18-05-2005 | Отправлено: 19:11 09-10-2009
Sterh84

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emoxam
Процедура обновления стандартня, льете по tftp, затем прописываете в бут систем, и также постумпаете с асдм, льете и прописываете в асдм имадж. При подобных проблемах рекомендовал бы порыть извесные баги, проверить версю явы на всякий случай обновить.
Всего записей: 319 | Зарегистр. 03-10-2006 | Отправлено: 09:56 10-10-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZmiterIv
Скиньте конфиг и уточните, что именно нужно GRE или VPN?
какой трафик пропустить (откуда/куда) или терминировать на pix.
открыть порты для gre и vpn (isakmp и esp) на пиксе можно. но терминировать gre нельзя.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 14:51 14-10-2009 | Исправлено: ESX091, 14:55 14-10-2009
Kwasti



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Был на днях на конференции, и в руки попался рекламный буклет от Cisco
 
полистал, нашел свой ASA 5505
и прочитал интересную вешь:
 
цитирую:
".... Поддержка до 50 виртуальных межсетевых экранов на одном устройстве.."
 
это действительно можно так сделать? если да то как это делается?
(т.е у меня сейчас 2 аса одно имеет ип 254 вторая 253 обе в одной подсети с общей маской..я был бы непротив одну аса освободить...и настроить 2 аса на одной)
Всего записей: 47 | Зарегистр. 04-03-2008 | Отправлено: 11:11 15-10-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kwasti
не читайте рекламные буклеты=) для этого есть дата шиты.
до 50 виртуальных межсетевых экранов поддерживают старшие модели 5580-20 и 5580-40.
в 5505 их вроде как вообще нет, зато есть до 20 vlan. может не так перевели? )))  
 
http://cisco.com/en/US/products/ps6120/prod_models_comparison.html
 
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 20:11 15-10-2009 | Исправлено: ESX091, 20:12 15-10-2009
Sterh84

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kwasti
Это называется Контекстом безопасности , он есть начиная с АСА 5510 с лицензией сек плюс.  
Всего записей: 319 | Зарегистр. 03-10-2006 | Отправлено: 14:38 16-10-2009
grayfog



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста, где скачать Pix Device Manager (PDM) для PIX 501. На сайте там где логично его искать пишет "There are currently no files for this type". Заранее спасибо.
Всего записей: 908 | Зарегистр. 14-03-2004 | Отправлено: 01:06 17-10-2009
Sterh84

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
grayfog , проверте тут
Всего записей: 319 | Зарегистр. 03-10-2006 | Отправлено: 22:38 17-10-2009
stalker1980



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
доброго времени суток! помогите в решении незначительной для профессионалов проблеме.
итак проблема...
необходимо настроить впн до филиала, для соединения используем cisco vpn client. для настройки использовал ASDM, настроил все визардом. клиент конектится но моей сетки не видит и не пингует, хотя соединение на циске видно.
также прописал два ACL
access-list outside_nat0_inbound extended permit ip 10.10.15.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 10.10.15.0 255.255.255.0
в access rules на интерфейсе outside прописано правило permit ip 10.10.15.0/24 10.10.10.0/24
но все без результатно...
если есть у кого нибудь мысли на эту тему буду благодарен любой помощи.
Всего записей: 16 | Зарегистр. 28-03-2006 | Отправлено: 15:52 13-11-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
stalker1980
а вы конфиг скиньте
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 12:56 16-11-2009
stalker1980



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hostname ciscoasa
domain-name my-domain.local
enable password kiS8rFK44oGwQQtS encrypted
passwd kiS8rFK44oGwQQtS encrypted
names
name 10.10.15.0 orenburg
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 ospf cost 10
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.10.10.1 255.255.255.0
 ospf cost 10
!
interface Ethernet0/2
 shutdown
 nameif dmz
 security-level 50
 ip address 10.10.50.1 255.255.255.0
 ospf cost 10
!
interface Ethernet0/3
 shutdown
 nameif foo
 security-level 100
 ip address 10.10.100.1 255.255.255.0
 ospf cost 10
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.0.1 255.255.255.0
 ospf cost 10
 management-only
!
!
time-range orenburg
 periodic daily 0:00 to 23:59
!
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone MSK/MDD 3
clock summer-time MSK/MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group DefaultDNS
 name-server 10.10.10.5
 domain-name my-domain.local
object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
access-list inside_access_in extended permit object-group TCPUDP 10.10.10.0 255.255.255.0 any eq domain
access-list inside_access_in extended permit object-group TCPUDP 10.10.10.0 255.255.255.0 any eq www
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq https
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq ftp
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq 1863
access-list inside_access_in extended permit udp 10.10.10.0 255.255.255.0 any eq ntp
access-list inside_access_in extended permit icmp 10.10.10.0 255.255.255.0 any echo
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq pop3
access-list inside_access_in extended permit tcp 10.10.10.0 255.255.255.0 any eq smtp
access-list outside_access_in extended permit ip any any
access-list outside_nat0_inbound extended permit ip orenburg 255.255.255.0 10.10.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.10.10.0 255.255.255.0 orenburg 255.255.255.0
access-list outside_nat0_outbound extended permit ip orenburg 255.255.255.0 any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu foo 1500
mtu management 1500
ip local pool orenburg 10.10.15.5-10.10.15.15 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-61551.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (outside) 0 access-list outside_nat0_outbound outside
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
route outside orenburg 255.255.255.0 10.10.15.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
dynamic-access-policy-record orenburg
 network-acl outside_access_in
 network-acl outside_nat0_inbound
 network-acl inside_nat0_outbound
 priority 1
 webvpn
  url-list none
  file-browsing enable
  file-entry enable
nac-policy oren nac-framework
 reval-period 36000
 sq-period 300
 exempt-list os WinNT filter
aaa local authentication attempts max-fail 5
http server enable
http 192.168.0.0 255.255.255.0 management
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sla monitor 1
 type echo protocol ipIcmpEcho xxx.xxx.xxx.xxx interface outside
sla monitor schedule 1 life forever start-time now
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP
-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto isakmp enable outside
crypto isakmp enable inside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 30
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
no crypto isakmp nat-traversal
crypto isakmp ipsec-over-tcp port 10000
!
track 1 rtr 1 reachability
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet 10.10.10.0 255.255.255.0 inside
telnet 192.168.0.0 255.255.255.0 management
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.0.2-192.168.0.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 64.147.116.229 source outside
ntp server 129.6.15.29 source outside
ntp server 129.6.15.28 source outside
ntp server 198.123.30.132 source outside
ntp server 64.125.78.85 source outside
webvpn
 enable outside
 enable inside
 svc image disk0:/anyconnect-win-2.3.0185-k9.pkg 1
 svc enable
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn
group-policy orenburg internal
group-policy orenburg attributes
 dns-server value 10.10.10.5
 vpn-access-hours value orenburg
 vpn-simultaneous-logins 3
 vpn-tunnel-protocol IPSec l2tp-ipsec svc
 group-lock value orenburg
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value outside_nat0_inbound
 address-pools value orenburg
 client-firewall req cisco-integrated acl-in outside_nat0_inbound acl-out inside_nat0_outbound
 webvpn
  svc compression deflate
username orenit password Bb.eLH9DwulDgAdX encrypted privilege 0
username orenit attributes
 vpn-group-policy orenburg
 vpn-tunnel-protocol IPSec l2tp-ipsec
 group-lock value orenburg
 service-type remote-access
tunnel-group orenburg type remote-access
tunnel-group orenburg general-attributes
 address-pool orenburg
 authorization-server-group LOCAL
 default-group-policy orenburg
 username-from-certificate use-entire-name
tunnel-group orenburg ipsec-attributes
 pre-shared-key *
tunnel-group-map default-group DefaultL2LGroup
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:3445b1ba58ed0688d63aed8a13b25cf2
: end
Всего записей: 16 | Зарегистр. 28-03-2006 | Отправлено: 14:13 16-11-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
stalker1980
 
Пока вот такие замечения/вопросы
вот эта команда зачем?
nat (outside) 0 access-list outside_nat0_outbound outside  
зачем crypto map на inside интерфейсе?
зачем webvpn активирован на inside интерфейсе?
 
чтобы из ezvpn подсети пользователи могли попадать в lan, необходимо убрать эту подсеть из ната
access-list no-nat extended permit ip any 10.10.15.0 255.255.255.0  
nat (inside) 0 access-list no-nat
 
В качестве split-tunnel
access-list SPLIT_TUNNEL standard permit <внутренняя подсеть> 255.255.255.0
и добавляете этот acl в split-tunnel-network-list value, которое находится в  
group-policy orenburg attributes.
 
Что-то много всего понамудрили в конфиге../
 
Добавлено:
если можно, то напишите, что должно работать на  асе.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 15:14 16-11-2009 | Исправлено: ESX091, 16:43 16-11-2009
stalker1980



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
Спасибо за помощь, все работает..
Всего записей: 16 | Зарегистр. 28-03-2006 | Отправлено: 09:59 17-11-2009
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
stalker1980
не за что =)  
обращайтесь еще. тока конфиг "причешите", а то в нем много лишнего.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 11:58 17-11-2009
asm74



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем,
Просмотрел всю тему, вроде бы не нашёл похожих сценариев. ASA 5510 (8.2.1) уже преднастроенная до меня, у нас есть белая 212.154.210.х и серая 192.168.1.х сети. Внутри стоит SBS 2003 на сером адресе 192.168.1.5, для доступа извне к OWA с адреса 212.154.210.5 на него проброшен порт 443. Мне нужно, чтобы при обращении из локалки (из сети 192.168.1.x), на адрес 212.154.210.5 на порт 443 я попадал на 192.168.1.5 порт 443. Наверняка чтото простое, я наверное плохо ищу, подскажите, кто знает, где прочитать о похожем сценарии.  
Забавно, что на домашнем роутере (Asus с прошитым dd-wrt) такой сценарий работает "из коробки", т.е. набирая с внутреннего хоста белый адрес и порт, попадаешь на нужный серый адрес и порт.
Читал, что можно модифицировать ответ ДНС, чтобы он указал на нужный адрес, но такое решение по некоторым причинам не подходит.  
Второй вопрос - где прочитать, как открытые с одного белого адреса порты можно мапить на несколько хостов внутри локалки, например 212.154.210.6:8080 на 192.168.1.10:8080, 212.154.210.6:8081 на 192.168.1.15:8081 и тд. Те мануалы что я нашёл, подразумевают схему один белый адрес и порт - один внутренний адрес и порт.
Примеры конфигов приветствуются, но еще лучше ссылка на соотв.документ на циско.ком
Спасибо!
Всего записей: 261 | Зарегистр. 30-12-2003 | Отправлено: 03:25 19-11-2009 | Исправлено: asm74, 03:32 19-11-2009
Delfinok



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
asm74
1) Не очень понятен смысл такого сценария.. Зачем из той же подсети, что и сервер назначения, пытаться достучаться до него через внешний IP шлюза..
И понятия "белая" "серая" я встречал только в отношении зарплаты =)
По-моему, в таком сценарии как вы хотите это невозможно реализовать, т.к. не может трафик, выходящий из WAN интерфейса в него же входить.
 
2) Для этого решения используйте статический нат и команду static (LAN,WAN) ip_WAN ip_LAN eq port  
Если не ошибся в написании.. проверьте командой static ? на ASA
Прямой внешний IP может быть и один. Внутренних может быть сколько угодно.. Здесь все решается PAT и портами..
Всего записей: 164 | Зарегистр. 12-11-2006 | Отправлено: 12:04 19-11-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru