Anticisco
https://anticisco.ru/forum/

Не могу подключиться к ASA по http
https://anticisco.ru/forum/viewtopic.php?f=8&t=2142
Страница 1 из 1

Автор:  Vandamme77 [ 18 авг 2011, 12:53 ]
Заголовок сообщения:  Не могу подключиться к ASA по http

Привет всем. Есть ASA5580. Никак не могу подключиться по http c одного адреса. В конфигурации все прописал.
http server enable
http 10.161.1.1 255.255.255.255 inside
При попытке зайти на асу из IE в логах вижу:
Build inbound TCP connection...
Starting SSL handshake with client... for TLSv1 session.
Teardown TCP connection ... TCP reset by appliance.
ПОчему она обрывает сессию? Как отдебажить?

Автор:  Fedia [ 18 авг 2011, 15:24 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

sh cry key m r

sh run http

sh int ip brie

Автор:  komuccap [ 18 авг 2011, 15:27 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

аутентификация у вас локальная?
aaa authentication http console LOCAL не забыли? да и если на асе крипто-функции не настраивались до этого, то нужно еще сгенерировать ключик crypto key gener rsa mod 1024

Автор:  Vandamme77 [ 19 авг 2011, 16:37 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

Криптокей сгенерирован, аутентификация локальная, http запущен. С других менеджмент адресов нормально подключаюсь, а вот с 10.161.1.1 никак.
sh int ip brie зачем? Интерфейсы посмотреть? Все с ними нормально, она в боевом "режиме"

Автор:  Lomax [ 19 авг 2011, 21:31 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

А packet-tracer что выдает?

Автор:  Vandamme77 [ 22 авг 2011, 13:43 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

Что все проходит.

Автор:  Fedia [ 22 авг 2011, 17:46 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

sh arp
и сравните с реальным МАСом компа.

Автор:  Lomax [ 22 авг 2011, 20:40 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

Кстати, у Вас проблема с определенным ip или компьютером? Если поменять машине адрес или поставить этот ip другому компьютеру соединение пройдет/не пройдет?

Автор:  Vandamme77 [ 26 авг 2011, 11:07 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

В ARP нет мака проблемного ПК, тк он из другой сети.
Смена IP адреса не помогает.

Автор:  Fedia [ 31 авг 2011, 09:44 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

Значит на этом компе проблемы с https

Для примера попробуйте зайти на
https://95.143.113.2/admin

Автор:  Vandamme77 [ 09 ноя 2011, 11:28 ]
Заголовок сообщения:  Re: Не могу подключиться к ASA по http

Разобрался...
Выяснилось что начиная с Vista и далее, IE не поддерживает DES в SSL. Чтобы зайти на асу по https надо явно это разрешить в локальной политике.
Описание проблемы тутhttp://support.microsoft.com/kb/929708
Что нужно добавить тут http://www.zephyrcorp.com/kb/configuration/ssl_security/cant_connect_to_an_ssl_secure_session_from_windows_vista.htm
После добавления и перезагрузки сразу нормально зашел. Проблема решена.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/