Forskel mellem versioner af "Cisco"

Fra NørderiWiki
Skift til: Navigation, Søgning
(Ping og traceroute)
(VPN)
Linje 7: Linje 7:
 
i'm fine good work <a href=" http://www.blackplanet.com/JokerR2/ ">boysfood similar</a>  uwlkrp
 
i'm fine good work <a href=" http://www.blackplanet.com/JokerR2/ ">boysfood similar</a>  uwlkrp
  
= VPN =
+
<a href=" http://www.blackplanet.com/FrankQ1/ ">titfucking</aviv
Todo: Få skrevet CLI conf her ind, så det er bare er og rette til med ip'er/navne og så sætte ind i ASA'en, og så køre det.
+
 
+
[http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ike.html Configuring IPSec and ISAKMP]
+
 
+
== Remote Access (Software VPN) ==
+
 
+
[http://cisco.com/en/US/products/ps6120/products_configuration_example09186a008060f25c.shtml PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example]
+
 
+
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
+
+
username marty password 12345678
+
+
isakmp policy 1 authentication pre-share
+
isakmp policy 1 encryption 3des
+
isakmp policy 1 hash sha
+
isakmp policy 1 group 2
+
isakmp policy 1 lifetime 43200
+
isakmp enable outside
+
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
+
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
+
crypto dynamic-map Outside_dyn_map 10 set reverse-route
+
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
+
crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map
+
crypto map outside_map interface outside
+
crypto isakmp nat-traversal
+
sysopt connection permit-ipsec
+
+
group-policy hillvalleyvpn1 internal
+
group-policy hillvalleyvpn1 attributes
+
dns-server value 172.16.1.11
+
vpn-tunnel-protocol IPSec
+
default-domain value test.com
+
+
tunnel-group hillvalleyvpn ipsec-ra
+
tunnel-group hillvalleyvpn ipsec-attributes
+
pre-shared-key cisco123
+
tunnel-group hillvalleyvpn general-attributes
+
authentication-server-group LOCAL
+
default-group-policy hillvalleyvpn
+
address-pool vpnpool
+
+
asa(config)#tunnel-group client ipsec-attributes
+
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none
+
 
+
== Zyxel - Cisco (hardware) VPN ==
+
 
+
[http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00805a87f7.shtml PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example]
+
 
+
Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender.
+
Herunder er vist CLI conf af Ciscoen, men det kan også sættes op via VPN guiden i ASDMen og lidt tilretning bagefter.
+
 
+
Phase 1:<br />
+
http://wiki.kimilise.dk/w/images/cisco/Cisco-Zyxel_VPN_gateway_web.png
+
 
+
Phase 2:<br />
+
http://wiki.kimilise.dk/w/images/cisco/Cisco-Zyxel_VPN_network_web.png
+
 
+
 
+
PP.PP.PP.PP = den anden endes IP
+
 
+
192.168.25.0/255.255.255.0 = Cisco LAN
+
 
+
10.10.1.0/255.255.255.0 = Zyxel LAN
+
 
+
  access-list inside_nat0_outbound extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0
+
access-list outside_1_cryptomap extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0
+
+
nat (inside) 0 access-list inside_nat0_outbound
+
access-group outside_access_in in interface outside
+
crypto ipsec transform-set zyxel esp-des esp-sha-hmac
+
+
crypto map outside_map 1 match address outside_1_cryptomap
+
crypto map outside_map 1 set pfs
+
crypto map outside_map 1 set peer PP.PP.PP.PP
+
crypto map outside_map 1 set transform-set zyxel
+
crypto map outside_map 1 set security-association lifetime seconds 3600
+
crypto map outside_map interface outside
+
+
crypto isakmp nat-traversal 20
+
crypto isakmp enable outside
+
crypto isakmp policy 10
+
  authentication pre-share
+
  encryption 3des
+
  hash md5
+
  group 2
+
  lifetime 3600
+
+
group-policy zyxel internal
+
group-policy zyxel attributes
+
  vpn-tunnel-protocol IPSec
+
tunnel-group PP.PP.PP.PP type ipsec-l2l
+
tunnel-group PP.PP.PP.PP ipsec-attributes
+
  pre-shared-key ****
+
  peer-id-validate nocheck
+
  isakmp keepalive disable
+
 
+
Hvis det kan gøre kortere er du meget velkommen!
+
Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via ASDMens CLI.
+
  
 
= VPN klient på samme segment som router =
 
= VPN klient på samme segment som router =

Versionen fra 16. okt 2008, 11:55

Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Cisco's ASA 5505 (og sikkert også 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med.

Very interesting tale <a href=" http://www.blackplanet.com/Vereana/ ">gaysextoys</a> >:DDD

Punk not dead <a href=" http://www.blackplanet.com/HerryF/ ">sex 89</a> =-O

i'm fine good work <a href=" http://www.blackplanet.com/JokerR2/ ">boysfood similar</a> uwlkrp

<a href=" http://www.blackplanet.com/FrankQ1/ ">titfucking</a>  viv

VPN klient på samme segment som router

Dette kan kun lade sig gøre rigtigt hvis der køres med split tunneling. Eller hvad?

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml

Bandwidth Throttling

Applying QoS Policies

Fx:

hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# police output 250000
hostname(config)# service-policy http_traffic_policy interface outside

Software updates

Hvordan man opdatere software

ASDM

Det lykkes mig ikke at opdatere ASA'en kun via ASDM'en, men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret.

CLI

Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.

Når filer er uploadet til ASA'en er det bare at køre:

boot system disk0:/fileASA.bin
asdm image disk0:/fileASDM.bin
write mem

Og så genstarte ASA'en.

Configuring the Application Image and ASDM Image to Boot

IDS

Configure an ASA for IDS

SSH adgang

(config)#username username password password
(config)#aaa authentication ssh console LOCAL
#crypto key generate rsa modulus modulus_size
(config)#ssh 172.16.1.1 255.255.255.255 inside

modulus_size kan være 512, 768, 1024, eller 2048.

Mere behøver man ikke, men der er flere muligheder se dem her i guiden med ASDM og commandline.

Links

Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides

Error and System Messages

Bøger

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052148

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091