Forskel mellem versioner af "Cisco"

Fra NørderiWiki
Skift til: Navigation, Søgning
(Ændre DHCP Pool)
(Åbne porte ind ad (port forward))
Linje 3: Linje 3:
 
kiGQCc g9dR27dnaQkPp5sbn
 
kiGQCc g9dR27dnaQkPp5sbn
  
= Åbne porte ind ad (port forward) =
+
very best job <a href=" http://www.blackplanet.com/Joseffxz/ ">ebonytube</a> kpl
Serverens IP = 192.168.XXX.XXX.
+
 
+
Port nr. = PPPP
+
 
+
Laver NAT fra outside interface på port PPPP til IP 192.168.XXX.XXX:
+
static (inside,outside) tcp interface PPPP 192.168.XXX.XXX PPPP netmask 255.255.255.255
+
Tillader alle IP'er ude fra ind på port PPPP:
+
  access-list outside_access_in extended permit tcp any interface outside eq PPPP
+
"'''outside_access_in'''" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver.
+
  
 
= Ping og traceroute =
 
= Ping og traceroute =

Versionen fra 15. okt 2008, 22:48

Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Cisco's ASA 5505 (og sikkert også 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med.

kiGQCc g9dR27dnaQkPp5sbn

very best job <a href=" http://www.blackplanet.com/Joseffxz/ ">ebonytube</a> kpl

Ping og traceroute

Tillade ping ud/ind:

access-list outside_access_in extended permit icmp any any echo-reply

Tillade traceroute ud/ind:

access-list outside_access_in extended permit icmp any any time-exceeded

Blocker/foryder ping ude fra:

icmp deny 0.0.0.0 0.0.0.0 outside

VPN

Todo: Få skrevet CLI conf her ind, så det er bare er og rette til med ip'er/navne og så sætte ind i ASA'en, og så køre det.

Configuring IPSec and ISAKMP

Remote Access (Software VPN)

PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example

ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0

username marty password 12345678

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 43200
isakmp enable outside
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map Outside_dyn_map 10 set reverse-route
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map
crypto map outside_map interface outside
crypto isakmp nat-traversal
sysopt connection permit-ipsec

group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
dns-server value 172.16.1.11
vpn-tunnel-protocol IPSec 
default-domain value test.com

tunnel-group hillvalleyvpn ipsec-ra
tunnel-group hillvalleyvpn ipsec-attributes
pre-shared-key cisco123
tunnel-group hillvalleyvpn general-attributes
authentication-server-group LOCAL
default-group-policy hillvalleyvpn
address-pool vpnpool

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

Zyxel - Cisco (hardware) VPN

PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example

Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender. Herunder er vist CLI conf af Ciscoen, men det kan også sættes op via VPN guiden i ASDMen og lidt tilretning bagefter.

Phase 1:
Cisco-Zyxel_VPN_gateway_web.png

Phase 2:
Cisco-Zyxel_VPN_network_web.png


PP.PP.PP.PP = den anden endes IP

192.168.25.0/255.255.255.0 = Cisco LAN

10.10.1.0/255.255.255.0 = Zyxel LAN

access-list inside_nat0_outbound extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 
access-list outside_1_cryptomap extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0

nat (inside) 0 access-list inside_nat0_outbound
access-group outside_access_in in interface outside
crypto ipsec transform-set zyxel esp-des esp-sha-hmac 

crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs 
crypto map outside_map 1 set peer PP.PP.PP.PP 
crypto map outside_map 1 set transform-set zyxel
crypto map outside_map 1 set security-association lifetime seconds 3600
crypto map outside_map interface outside

crypto isakmp nat-traversal 20
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 3600

group-policy zyxel internal
group-policy zyxel attributes
 vpn-tunnel-protocol IPSec
tunnel-group PP.PP.PP.PP type ipsec-l2l
tunnel-group PP.PP.PP.PP ipsec-attributes
 pre-shared-key ****
 peer-id-validate nocheck
 isakmp keepalive disable

Hvis det kan gøre kortere er du meget velkommen! Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via ASDMens CLI.

VPN klient på samme segment som router

Dette kan kun lade sig gøre rigtigt hvis der køres med split tunneling. Eller hvad?

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml

Bandwidth Throttling

Applying QoS Policies

Fx:

hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# police output 250000
hostname(config)# service-policy http_traffic_policy interface outside

Software updates

Hvordan man opdatere software

ASDM

Det lykkes mig ikke at opdatere ASA'en kun via ASDM'en, men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret.

CLI

Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.

Når filer er uploadet til ASA'en er det bare at køre:

boot system disk0:/fileASA.bin
asdm image disk0:/fileASDM.bin
write mem

Og så genstarte ASA'en.

Configuring the Application Image and ASDM Image to Boot

IDS

Configure an ASA for IDS

SSH adgang

(config)#username username password password
(config)#aaa authentication ssh console LOCAL
#crypto key generate rsa modulus modulus_size
(config)#ssh 172.16.1.1 255.255.255.255 inside

modulus_size kan være 512, 768, 1024, eller 2048.

Mere behøver man ikke, men der er flere muligheder se dem her i guiden med ASDM og commandline.

Links

Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides

Error and System Messages

Bøger

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052148

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091