Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA
 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 
Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
drakunov



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
...  сорри  промах )
Всего записей: 1138 | Зарегистр. 07-04-2002 | Отправлено: 08:46 23-03-2006 | Исправлено: drakunov, 09:28 23-03-2006
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите пофиксить, нифига никак неразберусь, поставил последние версии, и увидел, что PIX стал резать http запросы, например есть пхп скрипт, и конструкцию типа $file = fopen ("http://user:password@www.domain.ru/rus/smi/news.urq?get_list?LANGUAGE=R", "r"); перестал пропускать в логах такая фигня типа сначала 2006-03-28 12:27:24    Local4.Info    192.168.254.6    Mar 28 2006 12:29:49: %PIX-6-302013: Built outbound TCP connection 176734 for outside:ххх.хх.ххх.ххх/80 (ххх.хх.ххх.ххх/80) to trade:mail.ххх.ru/4243 (mail.ххх.ru/4243)
2006-03-28 12:27:24    Local4.Notice    192.168.254.6    Mar 28 2006 12:29:49: %PIX-5-304001: mail.ххх.ru Accessed URL ххх.хх.ххх.ххх:/rus/smi/news.urq?get_list?LANGUAGE=R
 а потом 2006-03-28 12:27:31    Local4.Info    192.168.254.6    Mar 28 2006 12:29:56: %PIX-6-106015: Deny TCP (no connection) from mail.ххх.ru/4243 to ххх.хх.ххх.ххх/80 flags PSH ACK  on interface trade
 
Что за флаг PSH ACK и где его разрешают?
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 12:41 28-03-2006
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vic
поставил 7.1(2) ? Она походу глючная, народ жалуется
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 14:09 28-03-2006
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да ее и поставил, похоже надо на предыдущюю откатываться, неставьте ее, я почти неделю искал непонятные глюки, то здесь, то там, пока понял, что это пикс грешит, откатился на предыдущую версию, и все хорошо стало, так все гладко проходило и на тебе, сразу в одной версии столько косяков.
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 14:35 28-03-2006 | Исправлено: Vic, 15:18 28-03-2006
Any



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
привет,
есть 515 с 2-мя ipsec тоннелями pix-2-netscreen, pix-2-m0n0wall.
хочу чтоб roaming клиенты могли соединяться , но постоянно возникают проблемы - то один тоннель упадет, то другой. если отключить roaming клиентов - всё нормально.
может кто сталкивался с такой проблемой ? киньте плз линк на конфиг или может кто даст свой на сравнение..
 
вот мой работающий конфиг без roaming:
 
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac  
crypto map newmap 20 ipsec-isakmp
crypto map newmap 20 match address 120
crypto map newmap 20 set peer 62.xx.xx.xx
crypto map newmap 20 set transform-set myset
crypto map newmap 30 ipsec-isakmp
crypto map newmap 30 match address 130
crypto map newmap 30 set peer 66.xx.xx.xx
crypto map newmap 30 set transform-set myset
crypto map newmap interface outside
isakmp enable outside
isakmp key ******** address 66.xx.xx.xx netmask 255.255.255.255  
isakmp key ******** address 62.xx.xx.xx netmask 255.255.255.255  
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0  
isakmp identity address
isakmp keepalive 10 5
isakmp client configuration address-pool local RemoteVPN outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
 
вот кусок от roaming:
 
crypto dynamic-map vpnclient 40 set transform-set vpnclient
crypto map newmap 40 ipsec-isakmp dynamic vpnclient
crypto map newmap client configuration address initiate
crypto map newmap client configuration address respond
 
 
если отдельно без статических тоннелей - то с roaming клиентами нет проблем, как вот это всё вместе подружить ? я понимаю что ошибся где-то , но не пойму где.
Всего записей: 86 | Зарегистр. 31-10-2002 | Отправлено: 00:54 10-04-2006 | Исправлено: Any, 00:55 10-04-2006
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По новой версии PIX 7.2(1)+ASDM 5.2(1) подскажите сам по себе ребутится, у меня одного так или у всех?
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 16:38 05-06-2006
MoBilka

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть книга  "Брандмауэры Cisco Secure PIX" в djvu-формате. Если надо могу подогнать.
Всего записей: 15 | Зарегистр. 22-05-2006 | Отправлено: 17:01 05-06-2006
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Vic
у меня 7.2(1) на 525UR - полет нормальный
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 10:34 06-06-2006
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а у меня 515, вчера 2 раза ребутнулась сама, опять откатился назад, хотя очень грамотная стала, понравилась версия. Еще обратил внимание, у меня за пиксом стоит почтарь, так на бесплатные серваки уходит почта, а на нормальные домены нифига нехочет отправлять почту.
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 11:42 06-06-2006 | Исправлено: Vic, 13:53 06-06-2006
trisen

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vic

Цитата:
PIX 7.2(1)+ASDM 5.2(1) подскажите сам по себе ребутится

 
PIX 525, поставил 7.2.1 - такая же беда... по crashinfo вроде как от ISAKMP падает...
блин, плюс в 7.2.1 - оверхеда меньше стало, глючило в 7.1.1, канал забивало,
минус - падает ;(
 
кошкари блин как все стали за версией гнаться ;(
Всего записей: 278 | Зарегистр. 15-11-2002 | Отправлено: 07:30 19-06-2006
trisen

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сорри, колбасит ;(
Всего записей: 278 | Зарегистр. 15-11-2002 | Отправлено: 19:53 30-06-2006 | Исправлено: trisen, 19:54 30-06-2006
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
да, у меня тож начала ребутиться под 7.2(1), откатился
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 14:32 03-07-2006
trisen

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
удивительное рядом.
пришлось почистить Service Policy Rules; падать перестал...
 
либо конфиг мигрировал криво, либо... на этом мысль останавливается.
 
придётся садиться переписывать/переделывать.
 
...но по крайней мере откатываться не пришлось.
Всего записей: 278 | Зарегистр. 15-11-2002 | Отправлено: 09:51 18-07-2006
vl99

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня тоже 515E ребутилась на 7.2(1) откатился на 7.1(2)7. Полет нормальный.
Всего записей: 7 | Зарегистр. 20-09-2005 | Отправлено: 10:51 08-08-2006
oldhuman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите, чего-то я не понимаю, пытаюсь сделать enroll от центра сертификации (на windows 2003). сертификат приходит и убивает самоподписанный сертификат для работы с pdm по ssl, в итоге pdm уже не пашет, выдавая ошибку 8101.  
Pix 535 (наверняка дело не в модели), версия ос 6.3(5).  
в чем могут быть грабли??
Всего записей: 97 | Зарегистр. 12-08-2002 | Отправлено: 11:10 08-08-2006
ExArmic

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настраиваю IPsec. На пиксе при debug crypto isakmp  
постоянно пишет  
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!  
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x24e3860, mess id 0xafde1419)!  
Aug 28 18:28:24 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!  
Aug 28 18:29:04 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x24e3c70, mess id 0xec52d9bc)!  
Aug 28 18:29:04 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!  
Aug 28 18:29:05 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, QM FSM error (P2 struct &0x2c59c28, mess id 0xadf1be27)!  
Aug 28 18:29:05 [IKEv1]: Group = 192.168.2.1, IP = 192.168.2.1, Removing peer from correlator table failed, no match!  
 
Мож подскажете в чем дело? Вроде все проверил  
Вот Конфиг самого айпи сек на пиксе 515е  
 
crypto ipsec transform-set My1 esp-des esp-md5-hmac  
crypto ipsec transform-set My2 esp-3des esp-md5-hmac  
crypto ipsec transform-set My3 esp-3des esp-sha-hmac  
crypto ipsec transform-set My4 esp-des esp-sha-hmac  
crypto map exarmic 20 match address 101  
crypto map exarmic 20 set pfs  
crypto map exarmic 20 set peer 192.168.2.1  
crypto map exarmic 20 set transform-set My1 My2 My3 My4  
crypto map exarmic 20 set security-association lifetime seconds 3600  
crypto map exarmic interface outside  
crypto isakmp identity address  
crypto isakmp enable outside  
crypto isakmp policy 10  
  authentication pre-share  
  encryption 3des  
  hash sha  
  group 2  
  lifetime 86400  
crypto isakmp am-disable  
tunnel-group 192.168.2.1 type ipsec-l2l  
tunnel-group 192.168.2.1 ipsec-attributes  
  pre-shared-key *  
telnet 192.168.2.0 255.255.255.0 outside
Всего записей: 1 | Зарегистр. 29-08-2006 | Отправлено: 09:10 29-08-2006
IceFusion



Full Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Там где то спор был о том что лучше PIX или CP...... у ПИКСА есть одно преимущество, на него нет вирусов и прочей лабуды систему нельзя убить в отличие от винды ))) Сам не пользовался ни тем не этим но щас изучаю эти штуки!
Всего записей: 588 | Зарегистр. 29-10-2005 | Отправлено: 11:29 02-10-2006
Vic

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Новую версию, никто еще неиспытал?
Всего записей: 333 | Зарегистр. 17-10-2001 | Отправлено: 14:44 30-11-2006
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Сегодня зарядил, посмотрим
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 18:21 01-12-2006
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
7.2(2) трое суток - полет нормальный
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 09:18 04-12-2006
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru