Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 13:14



Ответить на тему  [ Сообщений: 11 ] 
Не могу подключиться к ASA по http 
Автор Сообщение

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Привет всем. Есть ASA5580. Никак не могу подключиться по http c одного адреса. В конфигурации все прописал.
http server enable
http 10.161.1.1 255.255.255.255 inside
При попытке зайти на асу из IE в логах вижу:
Build inbound TCP connection...
Starting SSL handshake with client... for TLSv1 session.
Teardown TCP connection ... TCP reset by appliance.
ПОчему она обрывает сессию? Как отдебажить?


18 авг 2011, 12:53
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
sh cry key m r

sh run http

sh int ip brie


18 авг 2011, 15:24
Профиль

Зарегистрирован: 20 июл 2009, 11:31
Сообщения: 565
аутентификация у вас локальная?
aaa authentication http console LOCAL не забыли? да и если на асе крипто-функции не настраивались до этого, то нужно еще сгенерировать ключик crypto key gener rsa mod 1024


18 авг 2011, 15:27
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Криптокей сгенерирован, аутентификация локальная, http запущен. С других менеджмент адресов нормально подключаюсь, а вот с 10.161.1.1 никак.
sh int ip brie зачем? Интерфейсы посмотреть? Все с ними нормально, она в боевом "режиме"


19 авг 2011, 16:37
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
А packet-tracer что выдает?


19 авг 2011, 21:31
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Что все проходит.


22 авг 2011, 13:43
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
sh arp
и сравните с реальным МАСом компа.


22 авг 2011, 17:46
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Кстати, у Вас проблема с определенным ip или компьютером? Если поменять машине адрес или поставить этот ip другому компьютеру соединение пройдет/не пройдет?


22 авг 2011, 20:40
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
В ARP нет мака проблемного ПК, тк он из другой сети.
Смена IP адреса не помогает.


26 авг 2011, 11:07
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Значит на этом компе проблемы с https

Для примера попробуйте зайти на
https://95.143.113.2/admin


31 авг 2011, 09:44
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Разобрался...
Выяснилось что начиная с Vista и далее, IE не поддерживает DES в SSL. Чтобы зайти на асу по https надо явно это разрешить в локальной политике.
Описание проблемы тутhttp://support.microsoft.com/kb/929708
Что нужно добавить тут http://www.zephyrcorp.com/kb/configuration/ssl_security/cant_connect_to_an_ssl_secure_session_from_windows_vista.htm
После добавления и перезагрузки сразу нормально зашел. Проблема решена.


09 ноя 2011, 11:28
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB