На работе пришлось столкнуться с аппаратурой Cisco, но что-то пошло сразу не так. Сразу говорю, что до этого мне приходилось настраивать устройства только домашнего класса, ну или может, устройства для малого бизнеса. Или делал всё программно на Ubuntu Server. Cisco ASA 5505 - у меня впервые.
Задача - настроить прозрачный VPN между двумя офисами (у всех "белые" IP) и добавить возможность подключения пользователей к серверу из дома. Выбор руководства пал на Cisco ASA 5505 с соответствующими лицензиями. Мне же теперь нужно это всё настроить и подключить.
Открыл коробку, достал межсетевой экран, кабели, инструкцию. Подключил, как написано в инструкции - WAN провод в Eth0, LAN - в компьютер. Cisco выдала мне IP и, собственно, на этом дело и закончилось, ибо ни какой страницы https://192.168.1.1/admin я открыть не смог.
Полез читать статьи и форумы. Оказалось, что оф. инструкция - бред, а аппаратура так себя ведет не только у меня. Стало спокойнее. Копаю дальше.
Следующим шагом была покупка USB-COM переходника и подключение железяки через Console.
Попробую воспроизвести конфиг, что я делал (в итоге всё равно ничего не получилось):
Интерфейсы и IP-ы уже были настроены по умолчанию - меня это устроило.
Vlan1 - inside, 192.168.1.1/24
Vlan2 - outside, DHCP

Eth0 - Vlan2;
Eth1-7 - Vlan1;

Далее я попытался включить ASDM:
Делал я это так:
# http server enable
# http 192.168.1.0 255.255.255.0 inside

Подключил LAN кабель к компьютеру, но https://192.168.1.1/admin опять не доступен. Ладно, копаю дальше.
Указал образ ASDM:

# asdm image asdm-632.bin
Делаю # wr
....
Но админка по прежнему не работает. Короче, чего я с ней только не делал - не получилось. Стал думать уже, что она не работает, как должна. Взял вторую такую-же. Сделал подобное. Итог - нуль. Ну не могут же обе быть плохими?
В общем прошу помочь новичку. Для полноты картины публикую полный run. Спасибо.

А какую ошибку вам браузер отдаёт?
Судя по конфигу, точно надо добавить команду


и посмотрите вывод команды
там должна быть строка

И добавьте пользователя, под которым будете логиниться.

netten, спасибо за внимание к моему вопросу!
Итак, если выполнить код в таком виде (без "dhe-aes128-sha1 dhe-aes256-sha1" - она такого не знает):

то циска напишет:

Кстати, лицензия, как я понял активна, я её лично ставил (хотя, может тоже не правильно?):


Да, строки "Encryption-3DES-AES : Enabled perpetual" там нет.

Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке:
https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPage
там Get Other Licenses-->IPS, crypto,other-->security products-->Cisco ASA 3DES/AES license
и потом активировать её на ASA с помощью команды activation-key.
И затем ещё раз ввести вводите все возможные виды шифрования, доступные в вашем ПО:
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

Да, только это не будет ASA 5505 Security Plus license, как сейчас.
Только Base license.

Хм... Но это же не правильно. И, кстати, а легально ли это на территории России (стойкий 3des)? Неужели нельзя поднять WEB интерфейс без шифрования трафика?

Браузер будет отдавать ошибку.

Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты.

Вы обращаетесь https://192.168.1.1?

В консоли команда sh logging asdm | inc 443 покажет, кто стучался на порт 443 и что после этого было.

Не верю.
Какая ОС на машине, с которой подключаетесь? Какой браузер?
На самой рабочей станции никаких файерволов, препятствующих этому трафику нет?

Дайте с рабочей станции telnet 192.168.1.1 443 - что покажет?

Не исключено. На 5515 всё прошло без проблем. Как была ASA 5515 Security Plus license, так и осталась.

Не вводите в заблуждение.
На 5515-Х нет Security Plus вообще.
Разделение Base и Security Plus существует на 5505, 5510, 5512-Х.
http://www.cisco.com/c/en/us/td/docs/se ... cense.html

Не собирался никого вводить в заблуждение, возможно неверно интерпретировал.



Спасибо, что указали на документ.

Пустоту команда выдаёт.

ОС - Windows 7, Ubuntu Linux. Браузеры - Firefox, IE, Yandex. Фаерволл остановлен, подключение прямое.

Telnet - "Подключение к 192.168.1.1........" И тишина.

Вы адрес 192.168.1.1 пинговать можете?

Начните вот с чего:
- какой IP адрес у Вас на компьютере?
- есть ли пинг до 192.168.1.1?
- дайте с АСА-ки вывод show int ip brief, show nameif

Да, могу. IP мне выдаёт, 192.168.1.3 - с этим проблем нет.

sh int ip br:


show nameif:

Из коробки конфиг очень-очень странный.
Отсутствуют класс-мапы, полиси-мапы
Всегда сам начинаю с "write erase", чего и вам предлагаю.
А потом уже продолжать пытаться здесь совместно решать вашу проблему, если она останется.

Этот конфиг как раз после write erase. Специально её тер.

Насчет write erase на asa не уверен, что сделает то, что нужно.

Тогда уж дайте в режиме config команду
configure factory-default
и дальше уже приблизительно по такому сценарию.
http://www.net-gyver.com/?p=1419

А файл asdm-632.bin вообще на flash: присутствует?

factory-default уже делал. Файл asdm-632.bin на диске, успешно скормлен asdm image.
Попробовал сделать factory-default и по той инструкции - тишина, как и раньше.

Ну, тогда дальше идем по списку:


Ввести команды:

username admin password ... privilege 15
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL

ssh 192.168.1.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

Ну, и пробуйте по очереди подключаться телнетом, ssh, https.
Будет получаться? Ответы сюда пишите.

Хм. Уже лучше. Телнет подключается. SSH - тоже. Самое интересное - https.
Если набрать в браузере https://192.168.1.1/ - то браузер напишет, что соединение сброшено, а если сделать telnet o 192.168.1.1 443 - то курсор попадает на верхнюю строку и telnet ждёт от меня ввода, а значит порт все таки что-то слушает!

Но в sh logging asdm | inc 443 решительно пусто.