我为这个问题的开放性质而道歉,但是我已经深入了解了一些问题,并且可以做一些指导。 我需要build立一个道路战士VPN解决scheme,这将允许我们的客户安全地访问我们提供给他们的一些服务。 客户机器将运行各种Windows XP版本以及各种补丁级别的Windows版本。 通常他们会从客户的主要办公室连接,但并不总是如此。 假设所有的客户端都会在NAT后面,但我们偶尔会看到一个没有NAT的连接是安全的。 典型的连接情况是: 客户笔记本电脑 – 路由器(NAT) – 互联网 – VPN服务器+防火墙 – 服务器(Win 2008 R2,非路由IP) 最初有十几个人可以连接,但是会迅速增长到100人左右。虽然我们不太可能会看到很多并发连接,但我想我们的总VPN吞吐量将达到<50Mbps峰值。 我有什么select来设置? 我一直在尝试使用MikroTik路由器设置一个这样的系统几天,但一直努力让它正常工作,特别是与NAT的客户端。 我已经快速浏览了OpenVPN,喜欢我所看到的,但我认为我们的客户IT部门不太可能允许客户端安装。 最后,我已经看了思科ASA系列产品,但是我的预算相当紧张,所以这不太可取,但看起来它几乎是开箱即用的。 我的回退位置是直接连接服务器并使用提供的VPN +防火墙设施,但这远非理想,因为服务器数量可能会随着时间的推移而增长。
对于我公司内部的电话,我一直面临着“提高Skype性能”的挑战。 阅读Skype ITpipe理员指南我想知道我们是否可能遇到性能问题,Skype客户端在通话中都在我们的广域网上。 该呼叫由总部的Skype客户端发起,并在通过IPSEC VPN连接的远程办公室的Skype客户端终止。 发生这种情况时,我假设来自客户端A(Skypeencryption)的stream量进入我们的ASA 5510,在那里它被encryption,发送到解密的远程ASA 5505,然后传递给解密Skypeencryption的客户端B. 如果stream量不通过VPN,通话质量是否会受益,而只依靠Skype的encryption? 我想我可以通过在我们的总部DMZ中为Skypestream量设置一个SOCKS5代理来实现这一点。 然后通过Skype中继networking将stream量从客户端A传输到代理服务器,然后以任何其他Internetstream量的forms到达Cisco ASA 5505,然后到达客户端B. 这样做有没有什么性能好处? 如果是这样,有没有办法做到这一点,不需要代理? 有没有其他人解决这个问题?
我需要关于连接到02 wan连接的configuration防火墙ASA 5505的帮助 interface Vlan1 nameif inside security-level 100 ip address 192.168.254.1 255.255.255.252 interface Vlan2 description LINK TO THE OUTSIDE – INTERNET nameif outside security-level 0 pppoe client vpdn group ****** ip address pppoe setroute interface Vlan3 description Link Wan Router 2 no forward interface Vlan2 nameif outside2 security-level 0 ip address 192.168.50.1 255.255.255.252 interface […]
我们有几个分支机构需要连接到一个主站点。 我们计划使用Cisco ASA 5515build立VPN连接。 我们还想在每个位置有2个ISP来使连接冗余。 这是图像: 到目前为止,我对ASA有点新,所以我的问题是“是否可以设置ASA 5515使用2个ISP与远程站点build立VPN连接,并且在主ISP失败的情况下自动切换到备份ISP那么在链接重新build立的时候,要回到主要的那个?
我有一个192.168.0.x的内部networking,我有一个服务器nat'd到我们有一个外部IP地址。 我无法弄清楚我需要如何改变这个东西的configuration才能使它工作。 我对ASDM也不是很好。 任何build议将不胜感激。 谢谢 这是我的configuration hostname xxx domain-name xxxx.local enable password xxxxx encrypted passwd xxxxxencrypted names name 192.168.10.0 A-192.168.10.0 description SSL_ANYWHERE_DHCP_POOL name 192.168.32.0 A-192.168.32.0 description Anaheim name 192.168.0.25 BAMServer description BelManage Server name 192.168.0.1 Cisco-ASDM description Cisco Firewall name 192.168.0.4 DC description Primary Domain Controller name 192.168.0.10 Intranet-Server description Internal Intranet and Forum name […]
我在哪里可以find思科ASA系统日志格式描述? 日志示例: Dec 11 08:01:24 <IP> %ASA-6-302015: Built outbound UDP connection 447235 for outside:NTP_Server_2/<port> (NTP_Server_2/<port>) to identity:<IP>/<port> (<IP>/<port>) Dec 11 08:01:24 <IP> %ASA-6-302015: Built outbound UDP connection 447235 for outside:NTP_Server_2/<port> (NTP_Server_2/<port>) to identity:<IP>/<port> (<IP>/<port>) Dec 11 08:01:24 <IP> %ASA-4-106023: Deny udp src dmz:OCSP_Server/<port> dst outside:DNS_Server_DO/<port> by access-group "dmz" [0x123a465e, 0x4c7bf613] Dec 11 08:01:24 <IP> %ASA-4-106023: […]
我正在使用FirePOWER实施Cisco ASA 5512-X设备来取代WatchGuard防火墙。 目前正在使用的WatchGuard设备正在使用名为“WatchGuard身份validation”的WatchGuarddynamic访问列表function来封装各种服务。 WG Auth通过用户身份validation到防火墙托pipe的HTTPSlogin表单,然后打开对其所保护的服务的访问权限(例如,如果源IP未经WGauthentication,访问其所保护的服务将丢失连接尝试)。 不用说,对于那些需要访问(希望encryption的)服务的dynamic公共地址的家庭用户来说,这是非常有用的。 那么对于我的问题…思科ASA 5512-X中是否有与此function相同的function? 我对ASA平台相当陌生,从我的研究来看,唯一能find的就是VPN服务(AnyConnect)。 我宁愿select不需要源安装任何VPN客户端软件(但将接受,如果它是唯一的select)。
我想设置一个代理服务器,获取我的networking上的所有HTTPstream量。 我想使用安装在Debian上的Squid。 在networking图下面: 我不想在我的局域网上设置代理服务器,因为我无法在每台计算机上configuration一个代理服务器。 有人能告诉我什么是最好的办法吗?
在Cisco ASA中使用ESP-NULL转换集的优点是什么? 根据我的理解,变换集参数仅用于阶段1协商。 数据包仍按照phase2 SAencryption(crypto isakmp policy XXX),因此在实际传输数据时仍然会产生很多开销。 我唯一能看到ESP-NULL加速的是phase1协商。 我是正确的还是我误解转换集与isakmp策略
我们使用ASA 5510作为防火墙和路由器,在我们的networking上运行多台服务器。 NAT用于为服务器提供其外部IP。 当使用外部IP进行外部请求时,可以使用http:// externalip /,但是当使用外部IP进行内部请求时,它会失败,因此,如果您要在内部服务器上并curlhttp:// externalip /它会超时。 虽然如果你使用innerip它会工作。 我想这是一个路由问题,不能外出的IP地址,然后回来。任何build议,将不胜感激。