Поиск...

среда, 14 сентября 2011 г.

Распространенная настройка cisco PIX/ASA для предприятия (часть №1)

Доброго времени суток!!!

Недавно пообщался с одним человеком, которому потребовалась помощь в настройках cisco ASA. Помог, чем смог, обменялись координатами, надеюсь, и в дальнейшем будем общаться по общим вопросам. Но он меня навел на мысль о написании данного поста (спасибо большое Alex).
А речь сегодня пойдет о, как мне кажется, распространенных (стандартных) настройках cisco PIX/ASA для нормальной и полноценной работы, на предприятии или какой либо небольшой сети.
Кто заинтересовался этой идеей, добро пожаловать под кат…


Сразу приведу схему, по которой будем ставить задачи на настройку:


Я предполагаю, что данная схема весьма распространена. Поэтому и взял ее за основу.
Сформулируем легенду. Имеется Corporate Office, у которого имеется cisco PIX/ASA (ASA1) на границе и две внутренние сети. Одна для пользователей (Net 192.168.1.0/24, находится за интерфейсом inside), и одна для серверов (Net 10.10.10.0/24, находится за интерфейсом DMZ). В сети для серверов находится корпоративный web-сервер (Office_Web_Server), который должен быть доступен как из сети для пользователей, так и из «интернета». Пользователи имеют доступ в интернет только по 80-му порту и по ftp. Остальные порты закрыты. Также имеется удаленный офис (Net 192.168.2.0/24), у которого тоже имеется PIX/ASA (ASA2) и его сотрудники имеют доступ к Corporate Office. Из интернета могут прийти только на web-сайт (Office_Web_Server) и только по порту 80.
Сформулируем основные задачи:
  • 1 – настроить ASA1 для организации внутренних сетей и разрешения хождения трафика между ними (пользователи имеют доступ к Office_Web_Server по порту 80 (web-сайт), 22 (для sftp) и 10000 (для администрирования сервера ftp по web-интерфейсу);
  • 2 – настроить ASA1 для прохождения пользовательского трафика в «интернет» по указанным портам (80 и 21);
  • 3 – обеспечить доступность внутреннего Web-сайта (Office_Web_Server) для «интернет» - пользователей по порту 80;
  • 4 – обеспечить связь с удаленным офисом посредством VPN (Site-to-Site VPN);
Проверки будут следующие:
  • 1 – успешное прохождение трафика (Открытие веб - страницы, Ping, ftp, sftp, port 10000) от Working_PC (192.168.1.12) к Office_Web_Server (10.10.10.201);
  • 2 – успешное прохождение трафика (Открытие веб – страницы, ftp) от Working_PC (192.168.1.12) к Public_Web_Server (3.3.3.10);
  • 3 – успешное прохождение трафика (Открытие веб - страницы) от Public_Web_Server (3.3.3.10) или Remote_PC (192.168.2.10) к Office_Web_Server (10.10.10.201);
  • 4 – успешное прохождение трафика (Ping, RDP) между Remote_PC (192.168.2.10) и Working_PC (192.168.1.12) через настроенный VPN. Причем, должен быть обеспечен доступ с Remote_PC к Public_Web_Server (3.3.3.10) (открытие веб - страницы).
Итак, приступим :). Сначала настроим ASA1. Заходим на устройство и настраиваем (как запустить ASA в GNS3, можно посмотреть тут, а как запустить ASDM для нее – вот тут).
  • ASA1> en
    Password:
    ASA1# conf t
    ASA1(config)# hostname ASA1
    ASA1(config)# enable password cisco – задаем пароль для привилегированного режима;
    ASA1(config)# username admin password ciscocisco privilege 15 - создаем локального администратора (нужно для ASDM);
    ASA1(config)# interface ethernet 0/2
    ASA1(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ASA1(config-if)# ip address 192.168.1.1 255.255.255.0
    ASA1(config-if)# no shutdown
    ASA1(config-if)# exit
    ASA1(config)# int ethernet 0/1
    ASA1(config-if)# nameif DMZ
    ASA1(config-if)# security-level 50
    ASA1(config-if)# ip address 10.10.10.1 255.255.255.0
    ASA1(config-if)# no shutdown
    ASA1(config-if)# exit
    ASA1(config)# int ethernet 0/0
    ASA1(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ASA1(config-if)# ip address 2.2.2.2 255.255.255.252
    ASA1(config-if)# no shutdown
    ASA1(config-if)# exit
    ASA1(config)# copy run disk0:/.private/startup-config – сохраняем конфигурацию;
    ASA1(config)# http server enable – включаем доступ по https;
    ASA1(config)# http 192.168.1.0 255.255.255.0 inside – прописываем, кто может заходить через ASDM;
    ASA1(config)# access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 any eq www – создаем список доступа согласно оговоренных портов для внутренних пользователей;
    ASA1(config)# access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 host 10.10.10.201 eq ssh
    ASA1(config)# access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 host 10.10.10.201 eq 10000
    ASA1(config)# access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
    ASA1(config)# access-list WORK extended permit icmp 192.168.1.0 255.255.255.0 any
    ASA1(config)# access-group WORK in interface inside – привязываем созданный список к интерфейсу;
    ASA1(config)# access-list FOR_NAT extended permit tcp 192.168.1.0 255.255.255.0 any eq www – создаем список для NAT;
    ASA1(config)# access-list FOR_NAT extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
    ASA1(config)# access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0 – создаем список для того, чтобы запросы, адресованные Office_Web_Server, не подпадали под NAT;
    ASA1(config)# nat (inside) 0 access-list NO_NAT – говорим устройству, что не надо пускать через NAT;
    ASA1(config)# nat (inside) 1 access-list FOR_NAT – говорим устройству, что пускать через NAT;
    ASA1(config)# global (outside) 1 interface – включаем NAT на внешнем интерфейсе (outside);
    INFO: outside interface address added to PAT pool
    ASA1(config)# route outside 0.0.0.0 0.0.0.0 2.2.2.1 – задаем маршрут по умолчанию;
    ASA1(config)# copy run disk0:/.private/startup-config
    ASA1(config)#exit
    ASA1#exit
    ASA1>
Пока остановимся и настроим наш роутер Provider. Заходим на него и настраиваем:
  • R1>en
    R1#conf t
    R1(config)#hostname Provider
    Provider(config)#int fa 0/0
    Provider(config-if)#description TO_ASA2
    Provider(config-if)#ip address 1.1.1.1 255.255.255.252
    Provider(config-if)#no shutdown
    Provider(config-if)#exit
    Provider(config)#int fa 0/1
    Provider(config-if)#description To_ASA1
    Provider(config-if)#ip address 2.2.2.1 255.255.255.252
    Provider(config-if)#no shutdown
    Provider(config-if)#exit
    Provider(config)#int fa 1/0
    Provider(config-if)#description To_Public_Web_Server
    Provider(config-if)#ip address 3.3.3.1 255.255.255.0
    Provider(config-if)#no shutdown
    Provider(config-if)#exit
    Provider(config)#exit
    Provider#wr
Проверим, что у нас получилось. Фактически, мы настроили первые два пункта наших задач. Давайте их и проверим. Для этого, я установил ftp – сервер на наших серверах (локальном и удаленном) и настроил простенькие web-страницы на них для проверки. В качестве ftp я использовал вот этот вариант.
Итак, заходим на Working_PC (192.168.1.12). Проверяем ping на Office_Web_Server (10.10.10.201):


Ping есть. Открываем web-браузер и пытаемся открыть локальный web-сайт на Office_Web_Server (10.10.10.201). (Замечу, что мы используем IP-адреса, так как DNS – серверов я не настраивал):


Работает. Пробуем зайти на ftp:


Ftp тоже работает. Попробуем доступ к Office_Web_Server (10.10.10.201) по sftp:


И, наконец, доступ для администратора ftp-сервера (через web-интерфейс):


С задачей №1 справились :). Проверим теперь задачу №2. Снова идем в браузер на Working_PC (192.168.1.12) и теперь пробуем открыть сайт на Public_Web_Server (3.3.3.10):


Работает. Теперь ftp:


Все работает!!! А как насчет ping:


А ping-а и нет, как и договаривались :).
Теперь переходим к настройке задачи №3. Для этого нам придется настроить, так называемый, port-mapping. Он подразумевает перенаправление запросов, приходящих на один IP-адрес и port (обычно на интерфейс outside), на другой IP-адрес и port (адрес внутреннего web-сервера).
Чтобы реализовать запланированное, будем использовать статический NAT. Переходим на наше устройство ASA1 и добавляем в конфигурацию следующее:
  • ASA1>en
    Password:
    ASA1#conf t
    ASA1(config)# static (DMZ,outside) tcp interface www 10.10.10.201 www netmask 255.255.255.255 – статический NAT. Согласно ему, запросы, приходящие на 80-ый порт интерфейса outside, будут перенаправлены на IP-адрес Office_Web_Server-а 80 порт, находящийся за интерфейсом DMZ;
    ASA1(config)# access-list REMOTE extended permit tcp any host 2.2.2.2 eq www – так как по умолчанию все внешние попытки подключения к интерфейсу outside на cisco ASA заблокированы, то создадим разрешающий список доступа (подключится могут любые IP, но только на порт 80);
    ASA1(config)# access-group REMOTE in interface outside – привязываем созданный список доступа к интерфейсу;
    ASA1(config)# copy run disk0:/.private/startup-config
    ASA1(config)#exit
    ASA1#exit
    ASA1>
Осталось проверить наши настройки. Для этого, перейдем на Public_Web_Server (3.3.3.10), откроем там web-браузер и попробуем открыть сайт:


Ура!!! Все работает!!! :)
Для ориентировки приведу вам конфигурацию ASA1:
  • ASA1# sh run
    : Saved
    :
    ASA Version 8.0(2)
    !
    command-alias exec wr copy running-config disk0:/.private/startup-config
    hostname ASA1
    enable password 2KFQnbNIdI.2KYOU encrypted

    names
    !
    interface Ethernet0/0
    nameif outside
    security-level 0
    ip address 2.2.2.2 255.255.255.252

    !
    interface Ethernet0/1
    nameif DMZ
    security-level 50
    ip address 10.10.10.1 255.255.255.0

    !
    interface Ethernet0/2
    nameif inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0

    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/4
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/5
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 any eq www
    access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 host 10.10.10.201 eq ssh
    access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 host 10.10.10.201 eq 10000
    access-list WORK extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
    access-list WORK extended permit icmp 192.168.1.0 255.255.255.0 any
    access-list FOR_NAT extended permit tcp 192.168.1.0 255.255.255.0 any eq www
    access-list FOR_NAT extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
    access-list NO_NAT extended permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
    access-list REMOTE extended permit tcp any host 2.2.2.2 eq www

    pager lines 24
    logging enable
    logging asdm informational
    mtu outside 1500
    mtu DMZ 1500
    mtu inside 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-625.bin
    no asdm history enable
    arp timeout 14400
    global (outside) 1 interface
    nat (inside) 0 access-list NO_NAT
    nat (inside) 1 access-list FOR_NAT
    static (DMZ,outside) tcp interface www 10.10.10.201 www netmask 255.255.255.255
    access-group REMOTE in interface outside
    access-group WORK in interface inside
    route outside 0.0.0.0 0.0.0.0 2.2.2.1 1

    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    http server enable
    http 192.168.1.0 255.255.255.0 inside

    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    no crypto isakmp nat-traversal
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics access-list
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    inspect icmp
    !
    service-policy global_policy global
    username admin password M5soT6HHRslbuoh3 encrypted privilege 15
    prompt hostname context
    Cryptochecksum:4c94b15e8d5c93fd03daada026fd0564
    : end
    ASA1#
Итак, подведем предварительные итоги. Сегодня мы настроили и проверили первые 3 задачи (создали внутренние сети, обеспечили доступ сотрудникам как в интернет, так и к внутреннему web и ftp серверу, а так же сделали доступным внутренний web-сервер для «интернет»-пользователей). В принципе, этого, как мне кажется, вполне достаточно для функционирования небольшого предприятия или офиса.
На этом, я хочу закончить первую часть этого поста. В следующей части мы настроим site-to-site VPN между двумя устройствами cisco ASA и проверим взаимодействие между удаленными и внутренними пользователями.
Надеюсь, вам было интересно и вы что-то почерпнули для себя или просто обновили свои знания.
Жду вас во второй части!!!

По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.


С нетерпением жду вас в следующих постах!!!
С уважением, Ant0ni0n

35 комментариев:

  1. Очень познавательная статья, Спасибо.
    Вот только у меня вопрос, не могу сделать соединение между ASA и Ethernet коммутатор. Не могли бы вы подсказать, как это сделать. Или если не сложно выложили бы сохраненную схему.

    ОтветитьУдалить
  2. Спасибо за теплый отзыв!!!!
    Нет, не сложно конечно прислать схему (если вы имеете ввиду файл .net программы GNS3). Напишите мне на мою почту, я вышлю вам в ответ.
    А так, какую ошибку пишет при попытке соединить ASA и коммутатор?

    ОтветитьУдалить
  3. Пишет следующее:
    => ---------Traceback lines (saved in exception.log)----------
    Traceback (most recent call last):
    File "GNS3\UndoFramework.pyo", line 133, in redo
    File "GNS3\Topology.pyo", line 924, in addLink
    File "GNS3\Dynagen\dynagen.pyo", line 626, in connect
    File "GNS3\Dynagen\qemu_lib.pyo", line 572, in connect_to_dynamips
    AttributeError: 'ETHSW' object has no attribute 'router'

    ОтветитьУдалить
  4. Спасибо большое за данную статью!! Очень помогают такие работы как ваша в выполнении заданий на работе!!
    Одна просьба, если у вас будет время и желание, вы могли бы написать статью по конфигурированию Cisco ASA 5500 для доступа удаленных пользователей по Cisco VPN client во внутреннюю сеть компании??? Я думаю что она многим пригодится! Спасибо!!

    ОтветитьУдалить
  5. Доброго времени суток!!!
    Спасибо за теплый отзыв!!! Желание и время есть, но нет технической возможности, так нет под рукой 5500 :). Есть только GNS3 (ну, не считая конечно, оборудования на работе :)). Так что, если будет возможность поиграться с 5500, то обязательно напишу.
    Но вы можете посмотреть вот этот мой пост: http://go-to-easyit.blogspot.com/2011/08/remote-access-vpn-pix-cisco-vpn-client.html. Там я описывал как раз настройку remote access vpn и cisco vpn client, правда там был PIX, но я не думаю что настройка сильно отличается...

    С уважением, Ant0ni0n

    ОтветитьУдалить
  6. спасибо)))очень помогают Ваши статьи,жаль что мало примеров полной сети,только одна сеть разобрана полностью)

    ОтветитьУдалить
  7. Спасибо за теплый отзыв!!!
    Насчет примеров, то присылайте мне на почту варианты и предложения, будем смотреть и потом описывать :)

    С уважением, Ant0ni0n

    ОтветитьУдалить
  8. Как можно подключить две ASA и два интернет канала что бы оба канала были доступны и что бы ни один из них не натился?

    ОтветитьУдалить
  9. Добрый день, Ant0ni0n

    Использовал ваш конфиг на своей асе, подскажите пожалуйста , на основе данного конфига, как можно разрешить icmp заппросы из inside в outside ?

    Ping в dmz сеть есть, а вот в outside сеть не идут.

    ОтветитьУдалить
    Ответы
    1. Добрый день!
      Если вы использовали мой конфиг, то вам необходимо добавить разрешающее правило в access-list REMOTE, который применен на in интерфейса outside. А именно вот такое правило:

      access-list REMOTE extended permit icmp any any - (если нужно разрешить ping с определенных хостов, то необходимо написать конкретные IP адреса)

      Удалить
  10. Спасибо за быстрый ответ!

    У меня данный acl для внешнего интерфейса называется , outside_access_in ,. что не суть так важно... при добавления данного acl:

    access-list outside_access_in extended permit icmp any any

    Ping все ровно не проходит, также включено инспектирование для icmp (inspect icmp)

    Помимо правила для icmp, есть еще time-exceeded, echo-reply, unreachable - но результат тот же.

    Подскажите где еще могут быть грабли ?


    Спасибо!

    ОтветитьУдалить
    Ответы
    1. Спасибо, вопрос исчерпан! Возможно был глюк какой то в asdm, хотя галка стояла на inspect icmp, но в конфиге данной записи не было. Пришлось руками через cli добавить.

      Удалить
  11. Этот комментарий был удален автором.

    ОтветитьУдалить
  12. Если позволите еще один вопрос :) Мне необходимо прописать маршрут на асе для внутренней сети.

    Схема будет такая:

    имеется сеть 192.168.7.0/24 , default gw 192.168.7.10 - он же inside интерфейс asa.

    В этой сети имеется vpn клиент 192.168.7.1 который видит сеть 192.168.1.0/24 , т.е. маршруты у него прописаны.

    Нужно добавить новый маршрут для сети 192.168.7.0/24 на inside интерфейсе асы, таким образом чтобы запросы в сеть 192.168.1.0/24 шли через 192.168.7.1

    192.168.7.2 (wks) => 192.168.7.10 (inside asa) => 192.168.7.1 (vpn gw) => 192.168.1.1 (vpn_net)

    Я пробовал добавить правило на асе такое:

    route inside 192.168.1.0 255.255.255.0 192.168.7.1

    Но маршрут не работает для 192.168.7.0/24 ,

    хотя на асе маршрут правильно прописался:
    show route

    S 192.168.1.0 255.255.255.0 [1/0] via 192.168.7.1, inside

    ОтветитьУдалить
    Ответы
    1. ммм... Что-то я не совсем понял схему... Получается что запрос клиента приходит на inside интерфейс ASA, затем он должен уйти обратно через inside но уже на адрес 192,168,7,1? Как то это не совсем логично мне кажется....
      Может пришлите мне на почту схему вашей сети (можно с другими IP) и что надо получить в итоге, так понятнее будет.

      Удалить
    2. Да, все правильно. Так как шлюз может быть только один, и у меня только один хост имеет доступ в подсеть vpn :) Запрос будет приходить на inside интерфейс асы (т.к. шлюз по умолчанию), т.е. будет брать таблицу маршрутизации для сети 192.168.1.0/24 , а далее через хост 192.168.7.1 будет маршрутизироваться в сеть 192.168.1.0/24 через vpn сеть.

      Пришлось использовать данную схему, ввиду отсутствия vpn клиента на асе.

      В данный момент нет возможности прислать Вам схему, но может быть подскажите , правильно ли я думаю о такой реализации ?

      Т.е. таким образом я хочу объеденить две разно удаленные сети, по типу точка-точка. (Cisco ASA => Linux) Причем linux будет находиться за асой.

      К сожалению, из за отсутствия навыков по развертыванию Site-to-Site VPN IPSec между Linux и Cisco ASA 5510 , пришлось выбрать схему маршрутизации через OpenVPN на линуксах.

      Удалить
    3. А почему бы вам не попробовать прописать маршрут на вашем внутреннем хосте? Например вот так:
      route add 192.168.1.0 mask 255.255.255.0 192.168.7.1 -p
      (если это windows)
      route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.7.1 (интерфейс)
      если линукс
      Тогда запросы в удаленную сеть будут идти сразу на vpn шлюз, а все остальное по маршруту по-умолчанию (через ASA 192.168.7.10).

      Удалить
    4. Этот комментарий был удален автором.

      Удалить
    5. Этот комментарий был удален автором.

      Удалить
  13. Спасибо за ответ, Антон! Да, конечно я могу прописать данный маршрут на внутреннем хосте, и удаленная сеть будет видна, но мне не охото его прописывать на всех других внутренних хостах, так как их довольно много, и даже лень прописывать через групповую политику. Поэтому хотелось использовать асу как роутер, подскажите это реально ли прописать данный маршрут на асе ?

    В данный момент, такая ситуация - на vpngw (192.168.7.1) я вижу сам vpn сервер и за ним подсеть.

    Но на другом хосте (для которого шлюз по умолчанию inside асы 192.168.7.10), для того чтобы увидеть сеть за vpn сервером, мне нужно в ручную прописывать маршут. (route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.7.1), без прописывания маршрута я вижу только сам сервер vpn, и его внутренний адрес.

    ОтветитьУдалить
    Ответы
    1. Еще как вариант, я бы мог задействовать второй сетевой интерфейс, и тогда шлюзом по умолчанию для всей сети был бы 192.168.7.1 (vpn-gw) , но все ровно хотелось бы узнать , как прописать данный маршрут на асе :)

      Удалить
  14. I'd like to add here that u don't need to create acl for traffic from high secure level interface (inside) to low secure (dmz).

    ОтветитьУдалить
  15. При попытке:
    nat (inside) 1 access-list FOR_NAT
    Выдает:
    ERROR: This syntax of nat command has been deprecated.
    Please refer to "help nat" command for more details.
    Прошивка asa912-k8.bin. Может в ней дело?

    ОтветитьУдалить
    Ответы
    1. Добрый день!
      Да, дело во-первых в прошивке (интересно, что она вообще запустилась в GNS3).
      Во-вторых, начиная с версии 8.3 у cisco ASA поменялись команды и принцип настройки NAT. Как это делается на новых прошивках, можете посмотреть в других моих постах (например вот тут: http://www.go-to-easyit.com/2013/07/cisco-asa-3.html).

      Удалить
    2. Спасибо, а то уже четвертый день бьюсь! Понятно что синтаксис поменялся, но в чем поменялся, самостоятельно разобраться не могу.

      Удалить
  16. Доброго вам дня. С настоящего времени железки уровня 5505 стали доступны для домашнего даже использования. Хотелось бы вас спросить. Как банально просто настроить его в качестве ударного устройства файервола .
    При том что бы поставить его между GPON MTS и WifI роутером (GPON после себя автоматом выдает адреса.
    Спасибо.
    И можно ли приблизительно для этих целей использовать еще более древнюю 506E ?

    ОтветитьУдалить
  17. Есть следующее положение дел.

    Господа.
    Я тапок или НУУБ, кому как нравится.
    Вижу что хожу где-то рядом. но ...
    Есть такая связка ББ с USB (w\o COM) + USB-COM адаптер + Com консольный кабель и + ASA 5505 в консольный порт
    Комп смотрит в Инет через WI-Fi ройтер. Зачем пишу это: может надо кому и такое: Win7)

    Итак:
    Картинка что было прилеплена к посту )
    Как получил такое - было 512 - загружалась. по Telnet достукивался - сомтрел все работало - после загрузки выпадало в статус Active.
    Решил поставить планку на 2 Гига (На 2 Гига не запустилась - сразу оранжевеньким статус загорелся.) - не получилось - поставил на 1 Гиг.
    Тыкал кнюппель Reset.в процессе перезапуска пытался пару раз нажать кнопочку Reset - звука щелк не услышал, поэтому не знаю - получилось или нет.
    На 1 Гиге запустилась.
    Теперь
    Cisco ASA 5505 циклично перезагружается ищет почему-то версию asa912-k8.bin и почему то ее не находит.
    Горит Power и Status зеленым - через связку USB + USB-Com адаптер + Консольный кабель по порту Com3 и раньше можно было смотреть на загрузку, и сейчас достучался. Вижу этот процесс как она (5505) ищет образ для загрузки ... долго долго ждет и начинает заново его искать. при Esc по приглашению прекратить вываливается в обычное приветствие rommon#.
    @IO memory blocks requested from bigphys 32bit: 9928
    CISCO SYSTEMS
    Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
    Low Memory: 632 KB
    High Memory: 507 MB
    PCI Device Table.
    Bus Dev Func VendID DevID Class Irq
    00 01 00 1022 2080 Host Bridge
    00 01 02 1022 2082 Chipset En/Decrypt 11
    00 0C 00 1148 4320 Ethernet 11
    00 0D 00 177D 0003 Network En/Decrypt 10
    00 0F 00 1022 2090 ISA Bridge
    00 0F 02 1022 2092 IDE Controller
    00 0F 03 1022 2093 Audio 10
    00 0F 04 1022 2094 Serial Bus 9
    00 0F 05 1022 2095 Serial Bus 9

    Evaluating BIOS Options ...
    Launch BIOS Extension to setup ROMMON

    Cisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT 2008
    Platform ASA5505
    Use BREAK or ESC to interrupt boot.
    Use SPACE to begin boot immediately.

    Launching BootLoader...
    Default configuration file contains 1 entry.
    Searching / for images to boot.
    Loading /asa912-k8.bin...@
    -это то что Циска выдает сейчас (поставил обратно 512 планку - думал мало ли ))
    ***
    Спрашивается - что я нахимичил ? почему не загружается в Active статус - чего ждет ? как лечится
    Как поднять и залить по TFTPDnld по связке USB-Com адаптер ... запутался.
    Или банально через Ethernet порт стучаться ?
    (изначально Циска была до приобретения сброшена в нач. установки. Версия Базовая)

    ОтветитьУдалить
  18. Доброго времени суток!
    Так а по возвращению старой планки 512 она все-таки загрузилась? Просто во-первых, не все планки подходят, во-вторых, на asa 5505 1 или 2 Гб планки могут вообще не запуститься.
    Насчет подключения должны и по Ethernet подключиться. После сброса настроек, порты с 0/1 по 0/7 в vlan1 (типо внутренние), а порт 0/0 в другом (vlan2). Во внутреннем по-умолчанию работает DHCP (сеть 192.168.1.0/24, а IP на самой asa 192.168.1.1), так что подключитесь.
    Насчет первого вопроса, да, можно поставить в качестве обычного фаервола для домашних целей, и да, можно и более древний PIX.

    ОтветитьУдалить
  19. Добрый вечер.

    Начал копаться дальше. 512 не завела асу.

    Вынул Флеш: нашел на нем две сои
    843-9-к8
    и 912-к8
    Почему искала и не могла загрузитьсчя не понял. Качнул обе соьки с Циско фтп. Залил с замещением на флешку. поставил обратно 512. Завелась. Но не думаю что это из-за 1 Гига.
    Планки с 5510 эти. У меня на версии V09 с планкой 1 Гиг она переходит в рабочий статус . У человека эта же планка на версии V04 - постоянно мигает оранжевым и не загружается. У меня же одинаково не закгружалась и на 512 и на 1 гиге.
    Сейчас обратнор тут планку на 1 гиг получу. снова ее включу - посмотрю что да как.
    Залез в конфиг, вычеркнул строчку про загрузку версии 8.4.3-9? а ОНА ОПЯТЬ ЗАГРУЖАЕТСЯ, не понял. Файл конфиг вообще ни ка кне влияет на puhepre? & или надо "перепрошивать" внутреннуую флешпамять с вынимаемой флешки?

    Спасибо)

    ОтветитьУдалить
    Ответы
    1. Файл конфиг вообще ни как не влияет на загрузку ОСи или надо "перепрошивать" внутреннуую флешпамять с вынимаемой флешки?
      типа командой flash disk0

      Удалить
  20. Добрый день!Прочитал Вашу замечательную статью по ASA.Не могли бы на своем примере пояснить как прописать прохождение маршрута из сети 10.10.10.0/24 в 192.168.1.1/24 и наоборот из 192.168.1.1/24 в 10.10.10.0/24.

    ОтветитьУдалить
    Ответы
    1. Доброго времени суток!
      По умолчанию, если нет ACL на интерфейсах, то ASA не пропускает трафик с интерфейса с более низким security-level на интерфейс с более высоким. Соответственно, для того, чтобы прописать прохождение трафика из DMZ в Inside необходимо:
      1. Создать ACL;
      2. Применить его на интерфейсе DMZ;
      3. Сделать исключение из NAT (хотя можно и с натом, но больше настроек).
      Выглядеть это будет так:
      1. - ASA1(config)# access-list DMZ_to_INSIDE extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255.255.255.0
      2. - ASA1(config)# access-group DMZ_to_INSIDE in interface DMZ
      3. - ASA1(config)# access-list NO_NAT extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255.255.255.0

      В обратную сторону у нас трафик и так разрешен, правда по определенным портам (если надо по всем, то правило в ACL надо поменять с "tcp" на "ip").

      Удалить
    2. Спасибо за ответ.Я правильно Вас понял,что помимо маршрута прохода пакетов из сети в сеть необходимо еще разрешения прописывать в firewall? А то я маршрут на ASA прописал с ASA сеть пингуется вторая ,а из другой сети пинги в другую сеть не идут.

      Удалить
    3. Да, все верно понли

      Удалить