我正在运行安全加ASA 5505 我从里面和dmz vlans互联网接入 我可以从里面远程桌面到另一台机器里面 我可以在互联网上的机器和机器内部进行ping操作 我正在使用ASDM来configuration路由器。 我怎样才能远程桌面到我的DMZ? 以下是我的configuration和数据包跟踪 Result of the command: "sh run" : Saved : ASA Version 8.2(5) ! hostname evo-fw-ext enable password *password* encrypted passwd *password* encrypted names name 10.10.1.200 buildserver name 192.168.1.2 evo-fw-int name 10.10.1.100 webserver name *myip* outside-buildserver name *myip* outside-webserver name 192.168.1.10 appserver name 192.168.1.250 vpn-host-1 ! interface […]
我有两个子网的现有networking – 一个是主公司子网(192.168.1.0/24),另一个是Guest Wireless和BYOD设备(192.168.2.0/24)完全独立的VLAN。 主要子网中有Windows 2012 R2 DC,当然还有DNS和DHCP服务器(192.168.1.254)。 来宾无线的DHCP服务器和DNS转发器在ASA防火墙的(wannabe路由器)VLAN接口(192.168.2.1)上进行设置。 现在我们想通过在生产testing过程中添加2个额外的子网(192.168.3.0/24和192.168.4.0/24)来扩展networking来分离我们的最终产品设备。 理想情况下,我可以使用主子网中现有的DHCP服务器,并在ASA上build立DHCP中继; 但由于ASA充当访客无线的DHCP服务器,因此不能承担DHCP中继的angular色。 所以我想设置ASA作为新的子网的DHCP服务器。 新的子网将具有对主子网的完全访问权,反之亦然。 我想从新的子网(192.168.3.0/24和192.168.4.0/24)注册到主子网(192.168.1.254)的DNS服务器的设备。 或者,如果我们将公司计算机放入其中一个子网中,我希望它们能够对DC进行身份validation。 这个设置是否在注册客户端方面与主DNS服务器一起工作?
我最近安装了一个ASA 5505.但现在我有用户被阻止/从互联网上踢。 我能做些什么来防止这种情况? 这里是运行configuration: 命令结果:“sh run” : Saved :ASA Version 9.0(1) ! hostname ciscoasa enable password ————- encrypted passwd ———— encrypted names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside […]
我有几个路由器,交换机和防火墙发送日志到系统日志服务器,而不会干扰控制台线。 我在没有syslog服务器的远程位置testingASA 5506(运行IOS 9.5.2),所以我试图使用“logging缓冲”解决VPN问题,当我运行以下 no logging console logging buffered debug debug crypto isa 127 debugging消息开始垃圾邮件控制台线,我需要重新启动ASA进行任何更改。 ( terminal没有监视器给我一个监视器选项不支持控制台 我以为'logging缓冲'命令只应该login到内部缓冲区? 然后我可以看看他们。 这里发生了什么? 任何帮助表示赞赏。 编辑:添加日志控制台错误或日志logging控制台紧急情况没有帮助。 编辑: sh run | 公司日志给了我这个输出 logging console emergencies logging buffered debugging logging asdm informational
我们的商业互联网提供商最近为我们的光纤连接启用IPv6 他们给了我们一个/ 48的使用。 太好了,我终于可以放弃使用我们的6in4隧道了。 或不?… 他们希望我们使用PD,除非我们的思科ASA 5505似乎不支持这一点,否则这将很好。 实际上,我认为ASA只支持WAN接口上的静态IPv6寻址。 我怎样才能得到这个工作? 对于隧道设置,我在内部ESXi群集中设置了一个终止隧道的Linux DMZ主机。 内部IPv6stream量通过ASA传送到DMZ,由Linux主机插入隧道,并通过ASA再次路由到隧道提供商。 这是非常丑陋的,因为交通两次穿越ASA,造成了一个令人困惑和脆弱的设置。 使用本地IPv6,我希望有一个更简单的方法,即使我必须购买其他硬件。 有小费吗?
我有一个内部用户需要通过VPN连接到外部公司。 外部公司的vpn在端口57369上使用TCP上的IPSec。当我的用户尝试连接失败。 我的ASA上的日志显示如下。 拒绝TCP(无连接)从172.xxx/1155到167.xxx / 57369标志接口里面的RST 如何通过我的ASA允许这种stream量? 谢谢!
任何跨越思科ASA单元的大型文件传输都会遇到问题,最终会暂停。 build立 testing1:服务器A,FileZilla客户端< – 1GBPS – > Cisco ASA < – 1 GBPS – >服务器B,FileZilla服务器 在大文件传输大约30秒后,大传输上的TCP窗口大小将降为0。 然后RDP会话在一两分钟内变得没有响应,然后是零星的。 一两分钟后,FTP传输恢复,但速度为1-2 MB / s。 当FTP传输结束时,RDP会话的响应恢复正常。 testing2:与服务器B,FileZilla Client < – 本地networking – >服务器B,FileZilla服务器在同一networking中的服务器C. 文件将以30+ MB / s传送。 细节 使用ASDM 6.3(1)的ASA:5520运行8.3(1) Windows:带有最新修补程序的Server 2003 R2 SP2 服务器:运行在HP C3000刀片服务器上的虚拟机 FileZilla:3.3.5.1,最新稳定版本 传输:20 GB的SQL .BAK文件 协议:通过tcp / 20,tcp / 21的主动FTP 交换机:Cisco Small Business 2048千兆位,运行最新的2.0.0.8 […]
思科ASA可以在接口上定义子接口,通过该物理接口将vlan标记为软件认为是单独的逻辑接口。 此页面包含有关可以定义的最大子接口数量的信息; 我感兴趣的是确认此限制是否是全局限制,包括任何接口上的每个已定义的vlan或每个接口的限制。 链接的页面似乎意味着它是全球性的,但configuration“感觉”更像是一个接口的限制: interface GigabitEthernet0/2.28 vlan 28 nameif foo security-level 5 ip address 10.2.3.1 255.255.255.0 我的直觉是它是全球性的,但是我的Google-fu没有find任何支持它的东西(如果我是对的,我们需要努力获得一个新的防火墙预算;在去豆子之前certificate是好的计数器)。 谁能确认?
我们正试图在一个仅向我们提供一个networking丢失的colo上设置故障转移ASAconfiguration。 鉴于只有一个networking丢失,我们不能完全消除所有单点故障,我们希望仍然能够使用我们最初设想的故障转移ASAconfiguration。 我们在colo没有路由器,因为我们希望使用我们的3750交换机基础设施为我们做路由。 由colo提供的networking看起来像这样(显然这些不是公开路由的IP,但是这是一个例子): 客户IP:10.100.200.202/30 提供商路由器:10.100.200.201/30 客户路由块:192.168.200.0/27 除此之外,我们还有一点要指出,我们的主站点正在提供第2层连接。 在我们最初的devise中,我们曾设想3750将成为我们所有设备的路由器,也就是说,colo上的所有设备都将使用Cisco 3750作为默认网关。 3750将决定是否内部stream量(即本地交换),点对点(即切换回主办公室),或外部(路由出)。 我们遇到的问题是,我们希望我们的所有外部路由数据包都通过防火墙发送,以便进行过滤。 一旦这些数据包离开了防火墙,它们将通过OB连接被路由出去,然后将它们发送回源于它们的3750(通过不同的VLAN),然后离开COLO连接。 像这样的configuration允许我们做的是在每个ASA上configuration2个路由的IP(192.168.200.1和192.168.200.2)以进行故障切换。 在3750作为我们的边缘路由器,将使我们的科洛提供客户IP(10.100.200.202),也将代表我们的单点故障。 当我们开始绘制stream量path决策树时,我们碰到的问题是,我们基本上需要3750有2条默认路由,一条是从内部networking进入的stream量 – 到防火墙的默认路由 – 一条对于来自ASA的stream量 – 从COLO提供程序连接输出默认路由。 是否有任何方法可以使用单一Cisco 3750作为ASA的唯一path使用公共路由IP来实现故障转移ASA? 我知道我可以用路由器(这将成为我的SPOF)做到这一切,但我没有一个方便,我不是非常热衷于购买一个。
我必须禁用我们的一个ASA上的IPsec规则中的PFS,以允许Android姜饼客户端连接。 这样做是否会危及VPN的安全? 通讯是带有组密码的AES-256或AES-128。 从我的研究来看,似乎PFS被某些人认为是有问题的,并且告诉你事实,我从来没有真正注意到它,所以我现在不知道该怎么做。 ETA:因为这显然是相关的,所以ASA只用于远程访问,没有LAN-to-LAN。