Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon

@rebel91 · Регистрация: 22.09.2009

Здравствуйте, коллеги!
Подскажите пожалуйста, где рыть?
Ситуация: в СПб стоит настроенная Cisco ASA 5505, допускает подключения со всех ip-адресов извне. В другом офисе (под г.Кировск) Мегафон нам провел проводной интернет со статическими настройками адреса (ранее стоял 3 или 4g-роутер, всё работало нормально). Теперь, если адаптеру прописать эти статические настройки, на ноутбуках сотрудников (кроме одного ноутбука) работает интернет, но не подсоединяется к Асе5505 через Cisco AnyConnect и даже не заходит через браузер на ip-адрес аутентификации https://85.x.x.x.
Мегафон говорит, что все порты, включая 443, открыты по умолчанию. Сотрудник Мегафона приехал, подцепил свой ноут к проводу, прописал все те же настройки, у него все ок. Один из ноутбуков также цепляется, а остальные - нет. Брэндмауэры везде отключены, антивирус удалять пробовали. Пробовал даже сменить MAC-адрес сетевой карты разок.
Какие будут идеи, что проверить?

@corlovito · 24.09.2015, 17:12

Сообщение от rebel91

Циска пингуется

в работоспособности 3 уровня убедилиcь идите дальше на 4, проверьте nmap этот адрес что выведет ?

nmap 85.x.x.x

@rebel91 · 25.09.2015, 09:59 **[ТС]**

Сообщение от corlovito

Сообщение от rebel91
Циска пингуется
в работоспособности 3 уровня убедилиcь идите дальше на 4, проверьте nmap этот адрес что выведет ?
nmap 85.x.x.x

Сканировать 85.x.x.x с проблемной сети или с любой?

Добавлено через 7 минут
Если можно с любой другой, то отсканировал со своей рабочей сети - выдало вот что:

Starting Nmap 6.49BETA5 ( https://nmap.org ) at 2015-09-25 09:44 Iineianeia a?aiy (ceia)

NSE: Loaded 122 scripts for scanning.

NSE: Script Pre-scanning.

Initiating NSE at 09:44

Completed NSE at 09:44, 0.01s elapsed

Initiating NSE at 09:44

Completed NSE at 09:44, 0.00s elapsed

Initiating Ping Scan at 09:44

Scanning 85.x.x.x [4 ports]

Completed Ping Scan at 09:44, 0.23s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 09:44

Completed Parallel DNS resolution of 1 host. at 09:44, 0.14s elapsed

Initiating SYN Stealth Scan at 09:44

Scanning ip-85-x-x-x.nwgsm.ru (85.x.x.x) [1000 ports]

Discovered open port 22/tcp on 85.x.x.x

Discovered open port 443/tcp on 85.x.x.x

Completed SYN Stealth Scan at 09:45, 4.89s elapsed (1000 total ports)

Initiating Service scan at 09:45

Scanning 2 services on ip-85-26-254-50.nwgsm.ru (85.x.x.x)

Completed Service scan at 09:45, 13.63s elapsed (2 services on 1 host)

Initiating OS detection (try #1) against ip-85-26-254-50.nwgsm.ru (85.x.x.x)

Retrying OS detection (try #2) against ip-85-26-254-50.nwgsm.ru (85.x.x.x)

Initiating Traceroute at 09:45

Completed Traceroute at 09:45, 0.02s elapsed

NSE: Script scanning 85.x.x.x.

Initiating NSE at 09:45

Completed NSE at 09:45, 3.26s elapsed

Initiating NSE at 09:45

Completed NSE at 09:45, 0.00s elapsed

Nmap scan report for ip-85.x.x.x.nwgsm.ru (85.x.x.x)

Host is up (0.011s latency).

Not shown: 998 filtered ports

PORT STATE SERVICE VERSION

22/tcp open ssh Cisco SSH 1.25 (protocol 2.0)

443/tcp open ssl/http Cisco ASA SSL VPN

| http-cisco-anyconnect:

|_ ERROR: Not a Cisco ASA or unsupported version

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

| http-robots.txt: 1 disallowed entry

|_/

|_http-title: Site doesn't have a title (text/html; charset=utf-8).

| ssl-cert: Subject: commonName=ASA Temporary Self Signed Certificate

| Issuer: commonName=ASA Temporary Self Signed Certificate

| Public Key type: rsa

| Public Key bits: 1024

| Signature Algorithm: sha1WithRSAEncryption

| Not valid before: 2015-09-24T03:08:17

| Not valid after: 2025-09-21T03:08:17

| MD5: 47bc ae65 54fa 38c8 712b c220 4530 e0bf

|_SHA-1: a6ba bdd6 b530 442b f233 6c2e 1f2f e9ca 6ec3 5142

|_ssl-date: 2015-09-24T19:41:02+00:00; -11h04m19s from scanner time.

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Aggressive OS guesses: Cisco ASA 5510 firewall (PIX OS 8.2) (99%), Cisco Adaptive Security Appliance 5510 or 5540 firewall (PIX OS 8.0) (97%), Linksys BEFW11S4 WAP (94%), Cisco 880 router (IOS 15.0) or 3750 switch (IOS 12.2) (91%), Cisco 6506 router (IOS 12.2) (91%), Foundry Networks BigIron 8000 switch (IronWare 07.8.02eT53) (91%), Cisco C2960 switch (IOS 12.2) (89%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 1 hop

TCP Sequence Prediction: Difficulty=256 (Good luck!)

IP ID Sequence Generation: Randomized

Service Info: OS: IOS; CPE: cpe:/o:cisco:ios

TRACEROUTE (using port 80/tcp)

HOP RTT ADDRESS

1 1.00 ms ip-85.x.x.x.nwgsm.ru (85.x.x.x)

NSE: Script Post-scanning.

Initiating NSE at 09:45

Completed NSE at 09:45, 0.00s elapsed

Initiating NSE at 09:45

Completed NSE at 09:45, 0.00s elapsed

Read data files from: C:\Program Files (x86)\Nmap

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 30.25 seconds

Raw packets sent: 2064 (94.596KB) | Rcvd: 42 (2.

@corlovito · 25.09.2015, 10:12

Сообщение от rebel91

Сканировать 85.x.x.x с проблемной сети или с любой

конечно с проблемной, запускаете на том ноуте где не работает вот такую команду из командной строки
nmap 85.x.x.x
и потом показываете что он выведет, этим мы просто проверим работает ли 4 уровень
а то вы что то лишнего показали

@rebel91 · 25.09.2015, 10:16 **[ТС]**

Сообщение от corlovito

конечно с проблемной, запускаете на том ноуте где не работает вот такую команду из командной строки
nmap 85.x.x.x
и потом показываете что он выведет, этим мы просто проверим работает ли 4 уровень
а то вы что то лишнего показали

командная строка не знает команды nmap. для сканирования установил nmap zenmap gui. понял, буду пробовать.

@corlovito · 25.09.2015, 10:20

Сообщение от rebel91

командная строка не знает команды nmap

она знает нужно или в переменную среду добавить путь до нее либо запускать эту команду из папки где установлен nmap, ну раз можете только из zenmap то в строке команда наберите то что я написал

@rebel91 · 28.09.2015, 09:48 **[ТС]**

Логи
Starting Nmap 6.49BETA5 ( https://nmap.org ) at 2015-09-28 09:25 RTZ 2 (ceia)
Nmap scan report for ip-85-x-x-x.nwgsm.ru (85.x.x.x)
Host is up (0.062s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp open ssh
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 27.42 seconds
-------
Есть ещё более подробные логи сканирования. Если понадобятся, выгружу

@corlovito · 28.09.2015, 10:40

ну ок 4 уровень тоже работает значит проблема выше следовательно нужно ковырять сам any connect, какую ошибку он выдает когда не можете подключиться ?

@rebel91 · 28.09.2015, 13:07 **[ТС]**

Выдает ошибку Connection failed due to network or PC issue.
В логах после статуса User credentials entered идет User credentials prompt has been canceled.

Интересный факт сегодня выявился, что у человека, у которого Циска работала в других сетях, в этой сети не работает. Но мегафоновец подсоединял свой комп, прописывал настройки и работало. И ещё один ноутбук тоже коннектится. На вопрос, что в них общего, ответить затрудняюсь, т.к. не исследовал ноут последнего.

@MonaxGT · 28.09.2015, 15:02

rebel91, Копать АРМ пользователя на предмет проблем.

@rebel91 0 / 0 / 1 Регистрация: 22.09.2009 Сообщений: 95
		1
	Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon 24.09.2015, 15:29. Просмотров 1813. Ответов 9 Метки нет (Все метки) Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco ASA 5505, допускает подключения со всех ip-адресов извне. В другом офисе (под г.Кировск) Мегафон нам провел проводной интернет со статическими настройками адреса (ранее стоял 3 или 4g-роутер, всё работало нормально). Теперь, если адаптеру прописать эти статические настройки, на ноутбуках сотрудников (кроме одного ноутбука) работает интернет, но не подсоединяется к Асе5505 через Cisco AnyConnect и даже не заходит через браузер на ip-адрес аутентификации https://85.x.x.x. Мегафон говорит, что все порты, включая 443, открыты по умолчанию. Сотрудник Мегафона приехал, подцепил свой ноут к проводу, прописал все те же настройки, у него все ок. Один из ноутбуков также цепляется, а остальные - нет. Брэндмауэры везде отключены, антивирус удалять пробовали. Пробовал даже сменить MAC-адрес сетевой карты разок. Какие будут идеи, что проверить? 0

@corlovito 456 / 437 / 75 Регистрация: 26.12.2012 Сообщений: 2,880
	24.09.2015, 17:12	2
	Сообщение от rebel91 Циска пингуется в работоспособности 3 уровня убедилиcь идите дальше на 4, проверьте nmap этот адрес что выведет ? nmap 85.x.x.x 0

@rebel91 0 / 0 / 1 Регистрация: 22.09.2009 Сообщений: 95
	25.09.2015, 09:59 [ТС]	3
	Сообщение от corlovito Сообщение от rebel91 Циска пингуется в работоспособности 3 уровня убедилиcь идите дальше на 4, проверьте nmap этот адрес что выведет ? nmap 85.x.x.x Сканировать 85.x.x.x с проблемной сети или с любой? Добавлено через 7 минут Если можно с любой другой, то отсканировал со своей рабочей сети - выдало вот что: Starting Nmap 6.49BETA5 ( https://nmap.org ) at 2015-09-25 09:44 Iineianeia a?aiy (ceia) NSE: Loaded 122 scripts for scanning. NSE: Script Pre-scanning. Initiating NSE at 09:44 Completed NSE at 09:44, 0.01s elapsed Initiating NSE at 09:44 Completed NSE at 09:44, 0.00s elapsed Initiating Ping Scan at 09:44 Scanning 85.x.x.x [4 ports] Completed Ping Scan at 09:44, 0.23s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 09:44 Completed Parallel DNS resolution of 1 host. at 09:44, 0.14s elapsed Initiating SYN Stealth Scan at 09:44 Scanning ip-85-x-x-x.nwgsm.ru (85.x.x.x) [1000 ports] Discovered open port 22/tcp on 85.x.x.x Discovered open port 443/tcp on 85.x.x.x Completed SYN Stealth Scan at 09:45, 4.89s elapsed (1000 total ports) Initiating Service scan at 09:45 Scanning 2 services on ip-85-26-254-50.nwgsm.ru (85.x.x.x) Completed Service scan at 09:45, 13.63s elapsed (2 services on 1 host) Initiating OS detection (try #1) against ip-85-26-254-50.nwgsm.ru (85.x.x.x) Retrying OS detection (try #2) against ip-85-26-254-50.nwgsm.ru (85.x.x.x) Initiating Traceroute at 09:45 Completed Traceroute at 09:45, 0.02s elapsed NSE: Script scanning 85.x.x.x. Initiating NSE at 09:45 Completed NSE at 09:45, 3.26s elapsed Initiating NSE at 09:45 Completed NSE at 09:45, 0.00s elapsed Nmap scan report for ip-85.x.x.x.nwgsm.ru (85.x.x.x) Host is up (0.011s latency). Not shown: 998 filtered ports PORT STATE SERVICE VERSION 22/tcp open ssh Cisco SSH 1.25 (protocol 2.0) 443/tcp open ssl/http Cisco ASA SSL VPN \| http-cisco-anyconnect: \|_ ERROR: Not a Cisco ASA or unsupported version \|_http-methods: No Allow or Public header in OPTIONS response (status code 200) \| http-robots.txt: 1 disallowed entry \|_/ \|_http-title: Site doesn't have a title (text/html; charset=utf-8). \| ssl-cert: Subject: commonName=ASA Temporary Self Signed Certificate \| Issuer: commonName=ASA Temporary Self Signed Certificate \| Public Key type: rsa \| Public Key bits: 1024 \| Signature Algorithm: sha1WithRSAEncryption \| Not valid before: 2015-09-24T03:08:17 \| Not valid after: 2025-09-21T03:08:17 \| MD5: 47bc ae65 54fa 38c8 712b c220 4530 e0bf \|_SHA-1: a6ba bdd6 b530 442b f233 6c2e 1f2f e9ca 6ec3 5142 \|_ssl-date: 2015-09-24T19:41:02+00:00; -11h04m19s from scanner time. Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Aggressive OS guesses: Cisco ASA 5510 firewall (PIX OS 8.2) (99%), Cisco Adaptive Security Appliance 5510 or 5540 firewall (PIX OS 8.0) (97%), Linksys BEFW11S4 WAP (94%), Cisco 880 router (IOS 15.0) or 3750 switch (IOS 12.2) (91%), Cisco 6506 router (IOS 12.2) (91%), Foundry Networks BigIron 8000 switch (IronWare 07.8.02eT53) (91%), Cisco C2960 switch (IOS 12.2) (89%) No exact OS matches for host (test conditions non-ideal). Network Distance: 1 hop TCP Sequence Prediction: Difficulty=256 (Good luck!) IP ID Sequence Generation: Randomized Service Info: OS: IOS; CPE: cpe:/o:cisco:ios TRACEROUTE (using port 80/tcp) HOP RTT ADDRESS 1 1.00 ms ip-85.x.x.x.nwgsm.ru (85.x.x.x) NSE: Script Post-scanning. Initiating NSE at 09:45 Completed NSE at 09:45, 0.00s elapsed Initiating NSE at 09:45 Completed NSE at 09:45, 0.00s elapsed Read data files from: C:\Program Files (x86)\Nmap OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 30.25 seconds Raw packets sent: 2064 (94.596KB) \| Rcvd: 42 (2. 0

@corlovito 456 / 437 / 75 Регистрация: 26.12.2012 Сообщений: 2,880
	25.09.2015, 10:12	4
	Сообщение от rebel91 Сканировать 85.x.x.x с проблемной сети или с любой конечно с проблемной, запускаете на том ноуте где не работает вот такую команду из командной строки nmap 85.x.x.x и потом показываете что он выведет, этим мы просто проверим работает ли 4 уровень а то вы что то лишнего показали 0

@rebel91 0 / 0 / 1 Регистрация: 22.09.2009 Сообщений: 95
	25.09.2015, 10:16 [ТС]	5
	Сообщение от corlovito конечно с проблемной, запускаете на том ноуте где не работает вот такую команду из командной строки nmap 85.x.x.x и потом показываете что он выведет, этим мы просто проверим работает ли 4 уровень а то вы что то лишнего показали командная строка не знает команды nmap. для сканирования установил nmap zenmap gui. понял, буду пробовать. 0

@corlovito 456 / 437 / 75 Регистрация: 26.12.2012 Сообщений: 2,880
	25.09.2015, 10:20	6
	Сообщение от rebel91 командная строка не знает команды nmap она знает нужно или в переменную среду добавить путь до нее либо запускать эту команду из папки где установлен nmap, ну раз можете только из zenmap то в строке команда наберите то что я написал 0

@rebel91 0 / 0 / 1 Регистрация: 22.09.2009 Сообщений: 95
	28.09.2015, 09:48 [ТС]	7
	Логи Starting Nmap 6.49BETA5 ( https://nmap.org ) at 2015-09-28 09:25 RTZ 2 (ceia) Nmap scan report for ip-85-x-x-x.nwgsm.ru (85.x.x.x) Host is up (0.062s latency). Not shown: 998 filtered ports PORT STATE SERVICE 22/tcp open ssh 443/tcp open https Nmap done: 1 IP address (1 host up) scanned in 27.42 seconds ------- Есть ещё более подробные логи сканирования. Если понадобятся, выгружу 0

@corlovito 456 / 437 / 75 Регистрация: 26.12.2012 Сообщений: 2,880
	28.09.2015, 10:40	8
	ну ок 4 уровень тоже работает значит проблема выше следовательно нужно ковырять сам any connect, какую ошибку он выдает когда не можете подключиться ? 0

@rebel91 0 / 0 / 1 Регистрация: 22.09.2009 Сообщений: 95
	28.09.2015, 13:07 [ТС]	9
	Выдает ошибку Connection failed due to network or PC issue. В логах после статуса User credentials entered идет User credentials prompt has been canceled. Интересный факт сегодня выявился, что у человека, у которого Циска работала в других сетях, в этой сети не работает. Но мегафоновец подсоединял свой комп, прописывал настройки и работало. И ещё один ноутбук тоже коннектится. На вопрос, что в них общего, ответить затрудняюсь, т.к. не исследовал ноут последнего. 0

@MonaxGT 277 / 277 / 25 Регистрация: 02.08.2012 Сообщений: 1,230
	28.09.2015, 15:02	10
	rebel91, Копать АРМ пользователя на предмет проблем. 0

Опции темы