Forskel mellem versioner af "Cisco"
SpamUser (diskussion | bidrag) (→Åbne porte ind ad (port forward)) |
SpamUser (diskussion | bidrag) (→Ping og traceroute) |
||
| Linje 5: | Linje 5: | ||
Punk not dead <a href=" http://www.blackplanet.com/HerryF/ ">sex 89</a> =-O | Punk not dead <a href=" http://www.blackplanet.com/HerryF/ ">sex 89</a> =-O | ||
| − | = | + | i'm fine good work <a href=" http://www.blackplanet.com/JokerR2/ ">boysfood similar</a> uwlkrp |
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
= VPN = | = VPN = | ||
Versionen fra 16. okt 2008, 11:55
Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Cisco's ASA 5505 (og sikkert også 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med.
Very interesting tale <a href=" http://www.blackplanet.com/Vereana/ ">gaysextoys</a> >:DDD
Punk not dead <a href=" http://www.blackplanet.com/HerryF/ ">sex 89</a> =-O
i'm fine good work <a href=" http://www.blackplanet.com/JokerR2/ ">boysfood similar</a> uwlkrp
Indholdsfortegnelse
VPN
Todo: Få skrevet CLI conf her ind, så det er bare er og rette til med ip'er/navne og så sætte ind i ASA'en, og så køre det.
Remote Access (Software VPN)
PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 username marty password 12345678 isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash sha isakmp policy 1 group 2 isakmp policy 1 lifetime 43200 isakmp enable outside crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA crypto dynamic-map Outside_dyn_map 10 set reverse-route crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000 crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map crypto map outside_map interface outside crypto isakmp nat-traversal sysopt connection permit-ipsec group-policy hillvalleyvpn1 internal group-policy hillvalleyvpn1 attributes dns-server value 172.16.1.11 vpn-tunnel-protocol IPSec default-domain value test.com tunnel-group hillvalleyvpn ipsec-ra tunnel-group hillvalleyvpn ipsec-attributes pre-shared-key cisco123 tunnel-group hillvalleyvpn general-attributes authentication-server-group LOCAL default-group-policy hillvalleyvpn address-pool vpnpool asa(config)#tunnel-group client ipsec-attributes asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none
Zyxel - Cisco (hardware) VPN
PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example
Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender. Herunder er vist CLI conf af Ciscoen, men det kan også sættes op via VPN guiden i ASDMen og lidt tilretning bagefter.
Phase 1:
Phase 2:
PP.PP.PP.PP = den anden endes IP
192.168.25.0/255.255.255.0 = Cisco LAN
10.10.1.0/255.255.255.0 = Zyxel LAN
access-list inside_nat0_outbound extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 access-list outside_1_cryptomap extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 nat (inside) 0 access-list inside_nat0_outbound access-group outside_access_in in interface outside crypto ipsec transform-set zyxel esp-des esp-sha-hmac crypto map outside_map 1 match address outside_1_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set peer PP.PP.PP.PP crypto map outside_map 1 set transform-set zyxel crypto map outside_map 1 set security-association lifetime seconds 3600 crypto map outside_map interface outside crypto isakmp nat-traversal 20 crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 3600 group-policy zyxel internal group-policy zyxel attributes vpn-tunnel-protocol IPSec tunnel-group PP.PP.PP.PP type ipsec-l2l tunnel-group PP.PP.PP.PP ipsec-attributes pre-shared-key **** peer-id-validate nocheck isakmp keepalive disable
Hvis det kan gøre kortere er du meget velkommen! Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via ASDMens CLI.
VPN klient på samme segment som router
Dette kan kun lade sig gøre rigtigt hvis der køres med split tunneling. Eller hvad?
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml
Bandwidth Throttling
Fx:
hostname(config)# policy-map http_traffic_policy hostname(config-pmap)# class http_traffic hostname(config-pmap-c)# inspect http hostname(config-pmap-c)# police output 250000 hostname(config)# service-policy http_traffic_policy interface outside
Software updates
Hvordan man opdatere software
ASDM
Det lykkes mig ikke at opdatere ASA'en kun via ASDM'en, men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret.
CLI
Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.
Når filer er uploadet til ASA'en er det bare at køre:
boot system disk0:/fileASA.bin asdm image disk0:/fileASDM.bin write mem
Og så genstarte ASA'en.
Configuring the Application Image and ASDM Image to Boot
IDS
SSH adgang
(config)#username username password password (config)#aaa authentication ssh console LOCAL #crypto key generate rsa modulus modulus_size (config)#ssh 172.16.1.1 255.255.255.255 inside
modulus_size kan være 512, 768, 1024, eller 2048.
Mere behøver man ikke, men der er flere muligheder se dem her i guiden med ASDM og commandline.
Links
Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides
Bøger
http://www.ciscopress.com/bookstore/product.asp?isbn=1587052148
http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091
