|
Начальная настройка Cisco ASA 5505 ASDM
Автор |
Сообщение |
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
На работе пришлось столкнуться с аппаратурой Cisco, но что-то пошло сразу не так. Сразу говорю, что до этого мне приходилось настраивать устройства только домашнего класса, ну или может, устройства для малого бизнеса. Или делал всё программно на Ubuntu Server. Cisco ASA 5505 - у меня впервые. Задача - настроить прозрачный VPN между двумя офисами (у всех "белые" IP) и добавить возможность подключения пользователей к серверу из дома. Выбор руководства пал на Cisco ASA 5505 с соответствующими лицензиями. Мне же теперь нужно это всё настроить и подключить. Открыл коробку, достал межсетевой экран, кабели, инструкцию. Подключил, как написано в инструкции - WAN провод в Eth0, LAN - в компьютер. Cisco выдала мне IP и, собственно, на этом дело и закончилось, ибо ни какой страницы https://192.168.1.1/admin я открыть не смог. Полез читать статьи и форумы. Оказалось, что оф. инструкция - бред, а аппаратура так себя ведет не только у меня. Стало спокойнее. Копаю дальше. Следующим шагом была покупка USB-COM переходника и подключение железяки через Console. Попробую воспроизвести конфиг, что я делал (в итоге всё равно ничего не получилось): Интерфейсы и IP-ы уже были настроены по умолчанию - меня это устроило. Vlan1 - inside, 192.168.1.1/24 Vlan2 - outside, DHCP Eth0 - Vlan2; Eth1-7 - Vlan1; Далее я попытался включить ASDM: Делал я это так: # http server enable # http 192.168.1.0 255.255.255.0 inside Подключил LAN кабель к компьютеру, но https://192.168.1.1/admin опять не доступен. Ладно, копаю дальше. Указал образ ASDM: # asdm image asdm-632.bin Делаю # wr .... Но админка по прежнему не работает. Короче, чего я с ней только не делал - не получилось. Стал думать уже, что она не работает, как должна. Взял вторую такую-же. Сделал подобное. Итог - нуль. Ну не могут же обе быть плохими? В общем прошу помочь новичку. Для полноты картины публикую полный run. Спасибо. Код: : Saved : ASA Version 8.3(2) ! hostname ciscoasa enable password XXXXXX encrypted passwd XXXXXXX encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address dhcp setroute ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive object network obj_any subnet 0.0.0.0 0.0.0.0 pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-632.bin no asdm history enable arp timeout 14400 ! object network obj_any nat (inside,outside) dynamic interface timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config outside ! dhcpd address 192.168.1.5-192.168.1.36 inside dhcpd enable inside !
threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn ! ! prompt hostname context Cryptochecksum:XXXXXXX : end
|
25 дек 2014, 00:14 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
А какую ошибку вам браузер отдаёт? Судя по конфигу, точно надо добавить команду Код: ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 dhe-aes128-sha1 dhe-aes256-sha1 null-sha1 rc4-md5 rc4-sha1 и посмотрите вывод команды там должна быть строка Код: Encryption-3DES-AES : Enabled perpetual
|
25 дек 2014, 09:28 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
И добавьте пользователя, под которым будете логиниться.
|
25 дек 2014, 09:31 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
netten, спасибо за внимание к моему вопросу! Итак, если выполнить код в таком виде (без "dhe-aes128-sha1 dhe-aes256-sha1" - она такого не знает): Код: ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 null-sha1 rc4-md5 rc4-sha1 то циска напишет: Код: The 3DES/AES algorithms require a VPN-3DES-AES activation key. Кстати, лицензия, как я понял активна, я её лично ставил (хотя, может тоже не правильно?): Код: # show version ... ... VPN-DES : Enabled perpetual VPN-3DES-AES : Disabled perpetual ... ... This platform has an ASA 5505 Security Plus license.
Serial Number: XXXXXXX Running Permanent Activation Key: XXXXX XXXX XXX XXXX XXXXX ...
Да, строки "Encryption-3DES-AES : Enabled perpetual" там нет.
|
25 дек 2014, 15:36 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке: https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPageтам Get Other Licenses-->IPS, crypto,other-->security products-->Cisco ASA 3DES/AES license и потом активировать её на ASA с помощью команды activation-key. И затем ещё раз ввести вводите все возможные виды шифрования, доступные в вашем ПО: ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
|
25 дек 2014, 15:51 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
netten писал(а): Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке: https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPageтам Get Other Licenses-->IPS, crypto,other-->security products-->Cisco ASA 3DES/AES license и потом активировать её на ASA с помощью команды activation-key. И затем ещё раз ввести вводите все возможные виды шифрования, доступные в вашем ПО: ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 Да, только это не будет ASA 5505 Security Plus license, как сейчас. Только Base license.
|
25 дек 2014, 15:54 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
Nikolay_ писал(а): netten писал(а): Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке: https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPageтам Get Other Licenses-->IPS, crypto,other-->security products-->Cisco ASA 3DES/AES license и потом активировать её на ASA с помощью команды activation-key. И затем ещё раз ввести вводите все возможные виды шифрования, доступные в вашем ПО: ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 Да, только это не будет ASA 5505 Security Plus license, как сейчас. Только Base license. Хм... Но это же не правильно. И, кстати, а легально ли это на территории России (стойкий 3des)? Неужели нельзя поднять WEB интерфейс без шифрования трафика?
|
25 дек 2014, 15:59 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
Браузер будет отдавать ошибку.
|
25 дек 2014, 16:03 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
netten писал(а): Браузер будет отдавать ошибку. Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты.
|
25 дек 2014, 16:13 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
Вы обращаетесь https://192.168.1.1? В консоли команда sh logging asdm | inc 443 покажет, кто стучался на порт 443 и что после этого было.
|
25 дек 2014, 16:21 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
poshlipismo писал(а): netten писал(а): Браузер будет отдавать ошибку. Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты. Не верю. Какая ОС на машине, с которой подключаетесь? Какой браузер? На самой рабочей станции никаких файерволов, препятствующих этому трафику нет? Дайте с рабочей станции telnet 192.168.1.1 443 - что покажет?
|
25 дек 2014, 16:28 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
Nikolay_ писал(а): Да, только это не будет ASA 5505 Security Plus license, как сейчас. Только Base license. Не исключено. На 5515 всё прошло без проблем. Как была ASA 5515 Security Plus license, так и осталась.
|
25 дек 2014, 16:31 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Не вводите в заблуждение. На 5515-Х нет Security Plus вообще. Разделение Base и Security Plus существует на 5505, 5510, 5512-Х. http://www.cisco.com/c/en/us/td/docs/se ... cense.html
|
25 дек 2014, 16:55 |
|
|
netten
Зарегистрирован: 31 мар 2014, 09:49 Сообщения: 265
|
Не собирался никого вводить в заблуждение, возможно неверно интерпретировал. Код: Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual IPS Module : Enabled perpetual Cluster : Enabled perpetual Cluster Members : 2 perpetual
This platform has an ASA 5515 Security Plus license. Спасибо, что указали на документ.
|
25 дек 2014, 17:40 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
netten писал(а): Вы обращаетесь https://192.168.1.1? В консоли команда sh logging asdm | inc 443 покажет, кто стучался на порт 443 и что после этого было. Пустоту команда выдаёт.
|
25 дек 2014, 23:33 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
Nikolay_ писал(а): poshlipismo писал(а): netten писал(а): Браузер будет отдавать ошибку. Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты. Не верю. Какая ОС на машине, с которой подключаетесь? Какой браузер? На самой рабочей станции никаких файерволов, препятствующих этому трафику нет? Дайте с рабочей станции telnet 192.168.1.1 443 - что покажет? ОС - Windows 7, Ubuntu Linux. Браузеры - Firefox, IE, Yandex. Фаерволл остановлен, подключение прямое. Telnet - "Подключение к 192.168.1.1........" И тишина.
|
25 дек 2014, 23:40 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Вы адрес 192.168.1.1 пинговать можете?
|
26 дек 2014, 10:33 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Начните вот с чего: - какой IP адрес у Вас на компьютере? - есть ли пинг до 192.168.1.1? - дайте с АСА-ки вывод show int ip brief, show nameif
|
26 дек 2014, 11:12 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
Nikolay_ писал(а): Вы адрес 192.168.1.1 пинговать можете? Да, могу. IP мне выдаёт, 192.168.1.3 - с этим проблем нет. sh int ip br: Код: Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Virtual0 127.0.0.1 YES unset up up Vlan1 192.168.1.1 YES CONFIG up up Vlan2 unassigned YES DHCP down down Ethernet0/0 unassigned YES unset down down Ethernet0/1 unassigned YES unset up up Ethernet0/2 unassigned YES unset down down Ethernet0/3 unassigned YES unset down down Ethernet0/4 unassigned YES unset down down Ethernet0/5 unassigned YES unset down down Ethernet0/6 unassigned YES unset down down Ethernet0/7 unassigned YES unset down down
show nameif: Код: Interface Name Security Vlan1 inside 100 Vlan2 outside 0
|
28 дек 2014, 01:09 |
|
|
GopherZ
Зарегистрирован: 28 мар 2014, 16:05 Сообщения: 90
|
Из коробки конфиг очень-очень странный. Отсутствуют класс-мапы, полиси-мапы Всегда сам начинаю с "write erase", чего и вам предлагаю. А потом уже продолжать пытаться здесь совместно решать вашу проблему, если она останется.
|
28 дек 2014, 08:46 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
GopherZ писал(а): Из коробки конфиг очень-очень странный. Отсутствуют класс-мапы, полиси-мапы Всегда сам начинаю с "write erase", чего и вам предлагаю. А потом уже продолжать пытаться здесь совместно решать вашу проблему, если она останется. Этот конфиг как раз после write erase. Специально её тер.
|
28 дек 2014, 11:25 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Насчет write erase на asa не уверен, что сделает то, что нужно. Тогда уж дайте в режиме config команду configure factory-default и дальше уже приблизительно по такому сценарию. http://www.net-gyver.com/?p=1419А файл asdm-632.bin вообще на flash: присутствует?
|
29 дек 2014, 10:10 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
Nikolay_ писал(а): Насчет write erase на asa не уверен, что сделает то, что нужно. Тогда уж дайте в режиме config команду configure factory-default и дальше уже приблизительно по такому сценарию. http://www.net-gyver.com/?p=1419А файл asdm-632.bin вообще на flash: присутствует? factory-default уже делал. Файл asdm-632.bin на диске, успешно скормлен asdm image. Попробовал сделать factory-default и по той инструкции - тишина, как и раньше.
|
29 дек 2014, 12:17 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Ну, тогда дальше идем по списку: Цитата: - какой IP адрес у Вас на компьютере? - есть ли пинг до 192.168.1.1? - дайте с АСА-ки вывод show int ip brief, show nameif Ввести команды: username admin password ... privilege 15 aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL
ssh 192.168.1.0 255.255.255.0 inside telnet 192.168.1.0 255.255.255.0 inside http 192.168.1.0 255.255.255.0 inside
Ну, и пробуйте по очереди подключаться телнетом, ssh, https. Будет получаться? Ответы сюда пишите.
|
29 дек 2014, 14:14 |
|
|
poshlipismo
Зарегистрирован: 24 дек 2014, 23:48 Сообщения: 21
|
Nikolay_ писал(а): Ну, тогда дальше идем по списку: Цитата: - какой IP адрес у Вас на компьютере? - есть ли пинг до 192.168.1.1? - дайте с АСА-ки вывод show int ip brief, show nameif Ввести команды: username admin password ... privilege 15 aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL aaa authentication http console LOCAL
ssh 192.168.1.0 255.255.255.0 inside telnet 192.168.1.0 255.255.255.0 inside http 192.168.1.0 255.255.255.0 inside
Ну, и пробуйте по очереди подключаться телнетом, ssh, https. Будет получаться? Ответы сюда пишите. Хм. Уже лучше. Телнет подключается. SSH - тоже. Самое интересное - https. Если набрать в браузере https://192.168.1.1/ - то браузер напишет, что соединение сброшено, а если сделать telnet o 192.168.1.1 443 - то курсор попадает на верхнюю строку и telnet ждёт от меня ввода, а значит порт все таки что-то слушает! Но в sh logging asdm | inc 443 решительно пусто.
|
29 дек 2014, 15:17 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|