Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 12:21



Ответить на тему  [ Сообщений: 12 ] 
проблемы с anyconnect asa 5516-x with firepower 
Автор Сообщение

Зарегистрирован: 21 ноя 2017, 14:24
Сообщения: 19
Доброго времени всем!
Случилась беда, разрулить не могу.
Раз в неделю, а то и чаще, перестает работать, сам по себе https://vpn.company.ru, по айпи тоже самое (но сайт снаружи пингуется и трасировки проходят), помогает только релоад асы.
Если в Group Policies anyconnect выставить split tunneling и направлять только нужный мне трафик в канал, то никто к энику подключиться не может, но если убрать split и отправить весь трафик в туннель, то подключаться могут только юзеры с андроид и ios, а те кто на винде испытывают неприятности в виде не подключения. Собственно split меня волнует меньше всего, меня интересует почему отваливается https://vpn.company.ru. В момент подключения с винды запускаю debug webvpn anyconnect 150 и там вроде как все норм, пишет что подключился к ресурсу, авторизация пройдена и даже айпишник из пула выдается, но потом сразу последней строчкой np_svc_destroy_session(0x6D000) и на этом всё, лог винды пишет вот это VAMGR_ERROR_OPEN_SESSION_FAILED.
Бьюсь уже больше месяца с этим, ничего понять не могу, что происходит. До этого случая, полгода работало всё без проблем.
Нужен будет конфиг, я прицеплю, только скажите какие части конфига нужны, а то он здоровый
помогите советом, я на пороге отчаяния :|


15 авг 2018, 13:42
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Для начала какой имидж на АСЕ -? какая версия Эниконнекта - ? Если не можете понять через ЦМД по-пробуйте понять через АСДМ так хоть увидите всё картину


15 авг 2018, 14:17
Профиль

Зарегистрирован: 21 ноя 2017, 14:24
Сообщения: 19
asa 9.6
anycon 4.6
asdm 7.6


15 авг 2018, 14:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
zorg писал(а):
asa 9.6
anycon 4.6
asdm 7.6

9.6.?
Обновите хотя бы до 9,6,4


15 авг 2018, 14:45
Профиль

Зарегистрирован: 21 ноя 2017, 14:24
Сообщения: 19
ок, попробую найти
а может кто поделится прошивкой, а то у меня на cisco.com с 1 июля больше не скачивает, ругается


15 авг 2018, 14:52
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
вот тут всё есть и аса имиджи и асдм и эниконнект - https://certcollection.org/forum/topic/ ... e__st__518

P.S. Можете смело ставить 992-14 и 792-152 ASDM


15 авг 2018, 16:20
Профиль

Зарегистрирован: 21 ноя 2017, 14:24
Сообщения: 19
спасибо


15 авг 2018, 16:50
Профиль

Зарегистрирован: 21 ноя 2017, 14:24
Сообщения: 19
Подскажите, а какая прошивка сейчас самая распространенная, стабильная и актуальная? :)
что б уж если и обновляться, то на что-то посвежее.


16 авг 2018, 08:28
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
zorg писал(а):
стабильная и актуальная?

ну cisco же сама вам советует - 9.4.4, 9.6.4, 9.8.2 - в них мильон багов исправлено, судя по RN
можете и самую последнюю поставить - вы же все равно раз в 5-7 дней ребутите ее))


16 авг 2018, 08:43
Профиль

Зарегистрирован: 21 ноя 2017, 14:24
Сообщения: 19
Обновился на 9.6.4
ждем 4-5 дней
возникло несколько вопросов
нужно ли сделать следующее для anyconnect:
1. закрыть доступ на портал командой
Код:
portal-access-rule 1 deny any
(в принципе клиенты у всех есть)?

2. поменять порт с 443 на какой нибудь другой?

3. добавить такую строчку
Код:
     group-policy GroupPolicy_AnyConnect attributes
        split-tunnel-all-dns enable


4. в некоторых мануалах встречал вот такое, т.е. помимо outside, открывают на inside, для чего?
Код:
 webvpn
        enable inside


17 авг 2018, 08:32
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
zorg писал(а):
4. в некоторых мануалах встречал вот такое, т.е. помимо outside, открывают на inside, для чего?
Код:
 webvpn
        enable inside

А как тестировать будешь?
Вообще, открывать на внутренних интерфейсах это зло.
Оно у меня открыто на Guest vlan


17 авг 2018, 09:00
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Извините если я излишне груб, но по сути это называется "обратитесь к инженеру".


17 авг 2018, 19:17
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 89


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB