Автор |
Сообщение |
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Привет всем. Есть ASA5580. Никак не могу подключиться по http c одного адреса. В конфигурации все прописал. http server enable http 10.161.1.1 255.255.255.255 inside При попытке зайти на асу из IE в логах вижу: Build inbound TCP connection... Starting SSL handshake with client... for TLSv1 session. Teardown TCP connection ... TCP reset by appliance. ПОчему она обрывает сессию? Как отдебажить?
|
18 авг 2011, 12:53 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
sh cry key m r
sh run http
sh int ip brie
|
18 авг 2011, 15:24 |
|
|
komuccap
Зарегистрирован: 20 июл 2009, 11:31 Сообщения: 565
|
аутентификация у вас локальная? aaa authentication http console LOCAL не забыли? да и если на асе крипто-функции не настраивались до этого, то нужно еще сгенерировать ключик crypto key gener rsa mod 1024
|
18 авг 2011, 15:27 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Криптокей сгенерирован, аутентификация локальная, http запущен. С других менеджмент адресов нормально подключаюсь, а вот с 10.161.1.1 никак. sh int ip brie зачем? Интерфейсы посмотреть? Все с ними нормально, она в боевом "режиме"
|
19 авг 2011, 16:37 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
А packet-tracer что выдает?
|
19 авг 2011, 21:31 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Что все проходит.
|
22 авг 2011, 13:43 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
sh arp и сравните с реальным МАСом компа.
|
22 авг 2011, 17:46 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
Кстати, у Вас проблема с определенным ip или компьютером? Если поменять машине адрес или поставить этот ip другому компьютеру соединение пройдет/не пройдет?
|
22 авг 2011, 20:40 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
В ARP нет мака проблемного ПК, тк он из другой сети. Смена IP адреса не помогает.
|
26 авг 2011, 11:07 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Значит на этом компе проблемы с https Для примера попробуйте зайти на https://95.143.113.2/admin
|
31 авг 2011, 09:44 |
|
|
Vandamme77
Зарегистрирован: 05 ноя 2009, 07:39 Сообщения: 32
|
Разобрался... Выяснилось что начиная с Vista и далее, IE не поддерживает DES в SSL. Чтобы зайти на асу по https надо явно это разрешить в локальной политике. Описание проблемы тут http://support.microsoft.com/kb/929708Что нужно добавить тут http://www.zephyrcorp.com/kb/configuration/ssl_security/cant_connect_to_an_ssl_secure_session_from_windows_vista.htmПосле добавления и перезагрузки сразу нормально зашел. Проблема решена.
|
09 ноя 2011, 11:28 |
|
|