Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 5.00/4: Рейтинг темы: голосов - 4, средняя оценка - 5.00
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
1

ASA https

15.01.2017, 12:23. Просмотров 645. Ответов 24
Метки нет (Все метки)

Добрый день.
Подскажите не получается настроить доступ по hhtps:
C
1
2
3
4
5
6
7
aaa authentication http console LOCAL
http server enable
http 20.0.0.2 255.255.255.255 IN
http authentication-certificate IN
policy-map global_policy
 class inspection_default
 inspect http
При попытке доступа выдает ошибку 401 Unauthorized
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
15.01.2017, 12:23
Ответы с готовыми решениями:

ASA
на Cisco ASA нужно настроить сетевой мост на диапазон адресов, например...

ASA не загружается
Привет всем, есть ASA 5505 при включении питания горит красный(оранжевый)...

ASA Policy
Добрый день Есть чистая конфигурация ASA 5510 Вешаю на ВАН ип провайдера...

Cisco ASA CX
Привет всем. А на ASA CX уже установлен Prime Manager, или его надо отдельно...

2 IP on ASA Int
Доброго времени суток. Хотелось бы выяснить один моментик. Есть фирма, в...

24
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
16.01.2017, 10:45 2
В какой момент выдает? После ввода логина-пароля?
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
16.01.2017, 15:17  [ТС] 3
Цитата Сообщение от xeonz Посмотреть сообщение
В какой момент выдает? После ввода логина-пароля?
Когда в браузере набираю https://20.0.0.1, спрашивает подтверждение, потому что считает недостоверный сертификат, я подтверждаю соединение. И после подтверждения вылетает ошибка. До Логина и пароля дело даже не доходит...
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
16.01.2017, 15:41 4
А что в логах асы?
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
16.01.2017, 17:16  [ТС] 5
Цитата Сообщение от xeonz Посмотреть сообщение
А что в логах асы?
Надо посмотреть? чет не глянул сразу...
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
21.01.2017, 12:39  [ТС] 6
Убрал строчку:
C
1
http authentication-certificate IN
Я так понимаю, что ASA ждет соответствия кого-то сертификата?!
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
23.01.2017, 10:11 7
Это скорее всего авторизация по сертификатам.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
23.01.2017, 12:00  [ТС] 8
Возникла еще одна задача, дабы не плодить темы пишу здесь.
Необходимо получить доступ для конфигурации на ASA по https и ssh со стороны внешнего интерфейса-out (security level 0).
Маршрут есть. С ASA моя машина пингуется, а вот я ее не могу пингануть. И соответственно, по https и ssh зайти тоже.
C
1
2
3
route KKS 10.0.0.1 255.255.255.255 20.0.0.1
http 10.0.0.1 255.255.255.255 KKS
ssh 10.0.0.1 255.255.255.0 KKS
Попробовал даже ACL написать
C
1
2
3
4
5
object network ARM
 host 10.0.0.1
object network ASA-Out
 host 20.0.0.2
access-list KKS_access_in extended permit ip object ARM object ASA-Out
Но все равно не работает... Может нельзя пинговать внешний интерфейс и заходить для конфига на него???!!!!
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
23.01.2017, 13:42 9
У вас нстройка АСА такая как тут:
http://www.cyberforum.ru/attachments/788383d1484755356
?
Опишите, с какого адреса вы пингуете и пытаетесь подключится к Outside интерфейсу (к какому адресу подключаетесь).
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
23.01.2017, 14:14  [ТС] 10
Цитата Сообщение от xeonz Посмотреть сообщение
Опишите, с какого адреса вы пингуете и пытаетесь подключится к Outside интерфейсу (к какому адресу подключаетесь).
Нет, это уже другая схема!!!
Пингую с адреса 10.0.0.1. А подключиться хочу к интерфейсу outside 20.0.0.2
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
23.01.2017, 14:22 11
А кто роутит между 10.0.0.1 и 20.0.0.2?
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
23.01.2017, 14:28  [ТС] 12
Цитата Сообщение от xeonz Посмотреть сообщение
А кто роутит между 10.0.0.1 и 20.0.0.2?
На ASA маршрут
C
1
route KKS 10.0.0.1 255.255.255.255 20.0.0.1
А дальше маршруты на других cisco в корпортивной сети.
Но с ASA пинг идет на 10,0,0,1. Т.е. ip доступность есть)))
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
23.01.2017, 15:06 13
KKS - это outside что ли?
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
23.01.2017, 20:29  [ТС] 14
Цитата Сообщение от xeonz Посмотреть сообщение
KKS - это outside что ли?
Да, outside

Добавлено через 2 часа 30 минут
Дома собрал примерно такую же схему. И пытался управлять asa заходя на интерфейс с security level 0. И пинговать (причем не настраивал ни нат ни ACL).
Все работает нормально. Непонятно почему на живой схеме проблема? Я так понимаю, что ни нат, ни ACL здесь не нужен?!!!
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
24.01.2017, 10:55 15
Цитата Сообщение от Техник55 Посмотреть сообщение
Я так понимаю, что ни нат, ни ACL здесь не нужен?!!!
Нет, не нужны. Нужен маршрут до узла управления и настройка
http 10.0.0.1 255.255.255.255 KKS
ssh 10.0.0.1 255.255.255.0 KKS
маршрут до адреса ASA также должен быть и со стороны маршрутизаторов, где находится хост управления.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
24.01.2017, 15:50  [ТС] 16
Цитата Сообщение от xeonz Посмотреть сообщение
маршрут до адреса ASA также должен быть и со стороны маршрутизаторов, где находится хост управления.
Дело в том, что пинг от asa до хоста управления проходит.
Так что я понимаю, что маршруты в обе стороны есть, иначе бы пинг даже в одну сторону не проходил.
А вот с хоста до ASA нет пинга.

Сеть между ними километровая и отследить сеть между ними тяжело, но и на хосте и на asa next-hop написан...
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
25.01.2017, 11:08 17
Цитата Сообщение от Техник55 Посмотреть сообщение
А вот с хоста до ASA нет пинга.
А у вас ACL разрешает пинговать outside интерфейс?
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
25.01.2017, 18:32  [ТС] 18
Цитата Сообщение от xeonz Посмотреть сообщение
А у вас ACL разрешает пинговать outside интерфейс?
Приехал на объект. Была проблема именно в ACL.
Настроил себе удаленный доступ. Спасибо)))
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
31.01.2017, 13:55  [ТС] 19
Добрый день.
Снова какая-то проблема с доступом по ssh, https на ASA(уже правда другая).
IP доступность есть. Интерфейсы пингуются.
В ACL никаких запретов не было. Я даже первой строчкой поставил access-list IN extended permit ip any any.
ssh 10.33.0.49 255.255.255.255 outside
aaa authentication ssh console LOCAL

Добавлено через 1 час 57 минут
Вроде нашел в чем причина но не знаю как с этим справится?!
У меня есть static nat, который
C
1
2
object network ASA
  nat(inside,outside) static interface
И получается, что весь трафик который приходит на интерфейс outside транслируется на inside.
Думаю что не могу поэтому подцепиться по ssh.
Дело в том, что не я это делал, поэтому переделать этот НАТ не представляется возможным...

Добавлено через 17 минут
На время удалил НАТ и сразу все заработало)))

Добавлено через 56 секунд
Все вернул обратно, надо думать как это обойти
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
07.02.2017, 09:29 20
Цитата Сообщение от Техник55 Посмотреть сообщение
Все вернул обратно, надо думать как это обойти
Сделать нат только нужных портов, тогда остальные останутся "на асе".
0
07.02.2017, 09:29
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
07.02.2017, 09:29

ASA traceroute
Добрый день. может кто встречался с такой проблемой: Есть cisco ASA 5512....

Cisco ASA-SM
Доброго времени суток! Необходимо руководство по монтажу сервисного модуля...

NAT на ASA
Простейшая с виду задачка - настроить NAT на ASA. Пока делано в GNS. Если это...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru