Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.63/16: Рейтинг темы: голосов - 16, средняя оценка - 4.63
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
1

Cisco asa 5505

21.06.2013, 13:14. Просмотров 3130. Ответов 23
Метки нет (Все метки)

Здравствуйте товарищи!
Я совсем новичек в cisco, подскажите пжл-та, должна ли по дефолту циска пинговаиться снаружи? В данный момент она не пингуется, Какие настройки за это отвечают?
В данный момент она выключена ее пинговать не стоит.

Привожу настройки:
Кликните здесь для просмотра всего текста
ciscoasa# sh run
: Saved
:
ASA Version 8.4(4)1
!
hostname ciscoasa
enable password kq8VjfQOgHWNjFvy encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 213.171.52.118 255.255.255.248
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 213.171.52.113 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0

dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:336e96335bd666bee48e044bbde221ad
: end
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
21.06.2013, 13:14
Ответы с готовыми решениями:

Cisco ASA 5505 можно ли в 5505 использовать DHCP настроенном на 2800
Пришлось недавно перейти с 2800 на 5505. Как всегда есть плюсы и минусы. Один из минусов -...

Cisco ASA-5505 + Cisco AnyConnect + интернет от Megafon
Здравствуйте, коллеги! Подскажите пожалуйста, где рыть? Ситуация: в СПб стоит настроенная Cisco...

Cisco Asa 5505
Объясните, пожалуйста разницу http://network.msk.ru/catalog/asa5505_series Интересует только две...

Настройка Cisco ASA 5505
Вручили cisco asa 5505 с наилучшими и "попросили" инсталлировать в структуру сетки, а я до этого...

Cisco asa 5505 маршрутизация
Добрый день! Нужна помощь по настройке cisco asa5505! Нужно объединить два офиса, в одном офисе...

23
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 21:31 2
Проблема решилась?
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 21:59  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
Проблема решилась?
Нет.
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 22:12 4
Цитата Сообщение от staybox Посмотреть сообщение
Нет.
но пингуется же сейчас. или там другое устройство?
0
21.06.2013, 22:12
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 22:15  [ТС] 5
Цитата Сообщение от Jabbson Посмотреть сообщение
но пингуется же сейчас. или там другое устройство?
Там другое устройство.
Там стоят дефолтные настройки.
Делал даже сброс, хард сброс. Делал даже все разрешения на icmp в access rules и ничего, такая аса 5505 только другая пингуется из инета.

Еще одна особенность той циски которая извне не пингуется. Я попробовал ее поставить в обычный локальный сегмент сети, она получила на outside серый ип, и он пинговался из той сети которая выдала ему этот ип. Но когда выставляю его наружу с белым ip то ниче.
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 22:15 6
сделайте, пожалуйста,
Код
packet-tracer input outside icmp 1.2.3.4 8 0 213.171.52.118 detail
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 22:27  [ТС] 7
Цитата Сообщение от Jabbson Посмотреть сообщение
сделайте, пожалуйста,
Код
packet-tracer input outside icmp 1.2.3.4 8 0 213.171.52.118 detail
Ип другой теперь стоит
ciscoasa(config)# packet-tracer input outside icmp 1.2.3.4 8 0 77.41.111.104 $
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 77.41.96.0 255.255.240.0 outside

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcba24368, priority=111, domain=permit, deny=true
hits=2, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=outside

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 22:31 8
Что будет если сделать
Код
access-list PING extended permit icmp any any
access-group PING in interface outside
а потом повторить предыдущую команду?
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 22:34  [ТС] 9
Цитата Сообщение от Jabbson Посмотреть сообщение
Что будет если сделать
Код
access-list PING extended permit icmp any any
access-group PING in interface outside
а потом повторить предыдущую команду?
извините, предыдущий вывод был неправильный в силу не правильный настроек, вот вывод с правильными настройками:

ciscoasa(config)# packet-tracer input outside icmp 1.2.3.4 8 0 77.41.111.104 d$
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 77.41.111.104 255.255.255.255 identity

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcba24e60, priority=120, domain=permit, deny=false
hits=0, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=1
src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0
dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, dscp=0x0
input_ifc=outside, output_ifc=identity

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcb4ae7f8, priority=0, domain=inspect-ip-options, deny=true
hits=15150, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=any

Phase: 4
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcba25580, priority=66, domain=inspect-icmp, deny=false
hits=1, user_data=0xcb4bdda0, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0
dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, dscp=0x0
input_ifc=outside, output_ifc=identity

Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0xcb4ae3d0, priority=66, domain=inspect-icmp-error, deny=false
hits=1, user_data=0xcb4bcf90, cs_id=0x0, use_real_addr, flags=0x0, protocol=1
src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0
dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, dscp=0x0
input_ifc=outside, output_ifc=any

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 15171, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_inspect_icmp
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: allow
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 22:35 10
Этот пинг говорит нам, что АСА разрешает пинг.
Код
 Action: allow
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 22:36  [ТС] 11
Цитата Сообщение от Jabbson Посмотреть сообщение
Этот пинг говорит нам, что АСА разрешает пинг.
Код
 Action: allow
Пинганите плиз со своего компа сейчас 77.41.111.104
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 22:44 12
пингуется

(проверять можно тут)
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 22:50  [ТС] 13
Цитата Сообщение от Jabbson Посмотреть сообщение
пингуется

(проверять можно тут)
странно сегодня я целый день занимался этой проблемой и на внешнем ip на работе не пинговался извне.Причем настройки были дефолтные, т.е. никак каких спец правил не было.
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 22:52 14
магия)
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 22:58  [ТС] 15
Цитата Сообщение от Jabbson Посмотреть сообщение
магия)
Самое интересное что да. А подскажите почему может не открываться веб управление на адресе?
я прописал http 77.41.111.104 255.255.255.255 outside
И то что страницы не открываются через 15 минут пользования циской а скайп работает? днс?
сейчас чтобы вам ответить пришлось другой роутер ставить
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 23:01 16
я прописал
Код
http 77.41.111.104 255.255.255.255 outside
потому что это не правильно
тут вы должны указать не адрес на который можно обращаться, а адрес которому можно обращаться.
кроме того, нужно включить http server, залить образ asdm, создать пользователя и тогда, если все хорошо оно заработает.

да, больше всего похоже на ДНС. скайп и без него справляется.
попробуйте зайти на http://173.194.44.231/
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 23:03  [ТС] 17
Цитата Сообщение от Jabbson Посмотреть сообщение
я прописал
Код
http 77.41.111.104 255.255.255.255 outside
потому что это не правильно
тут вы должны указать не адрес на который можно обращаться, а адрес которому можно обращаться.
кроме того, нужно включить http server, залить образ asdm, создать пользователя и тогда, если все хорошо оно заработает.

да, больше всего похоже на ДНС. скайп и без него справляется.
попробуйте зайти на http://173.194.44.231/
А могу ли я с этого адреса к себе же обратиться с внешки?
И что делать если днс так отваливаться? причем стабильно через некоторое время, прописан вручную.
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 23:09 18
Цитата Сообщение от staybox Посмотреть сообщение
А могу ли я с этого адреса к себе же обратиться с внешки?
с какого этого?
Цитата Сообщение от staybox Посмотреть сообщение
И что делать если днс так отваливаться? причем стабильно через некоторое время, прописан вручную.
пытаться понять причину - где она, локально на компе, на ASA, на самом dns сервере.
для этого посмотреть пакеты уходящие с компа и логи асы
0
staybox
0 / 0 / 0
Регистрация: 21.06.2013
Сообщений: 16
21.06.2013, 23:11  [ТС] 19
Цитата Сообщение от Jabbson Посмотреть сообщение
с какого этого?
77.41.111.104

пытаться понять причину - где она, локально на компе, на ASA, на самом dns сервере.
для этого посмотреть пакеты уходящие с компа и логи асы
она не локальная, не днс. так как тестируется в разных сетях, разных компах и везде одна и та же проблема.

чтобы создать юзера я прописываю username логин password пароль privilege 15
надо что то еще? помимо wr?
0
Jabbson
Эксперт по компьютерным сетям
3466 / 2507 / 776
Регистрация: 03.11.2009
Сообщений: 7,944
Записей в блоге: 3
21.06.2013, 23:16 20
Цитата Сообщение от staybox Посмотреть сообщение
надо что то еще?
нет, для того чтобы создать пользователя этого достаточно
0
21.06.2013, 23:16
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
21.06.2013, 23:16

Firewall на Cisco ASA 5505
Доброго времени суток! Очень нужно настроить элементарную топологию сети в проге Packet Tracer (...

назначить IP в Cisco ASA 5505
Помогите назначить айпи Делаю следующее: ciscoasa(config)# interface Vlan1...

Cisco ASA 5505 и server2003
добрый день такая вот дело есть два офиса (в разных странах),на одном конче стоит ASA 5505 а в...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.