我有一个运行固件8.2(5)的Cisco ASA路由器,它在192.168.30.0/24上托pipe一个内部LAN。 我已经使用VPN向导来设置L2TP访问,并且我可以在Windows中正常连接,并可以ping通VPN路由器后面的主机。 但是,当连接到VPN,我不能再ping通我的互联网或浏览网页。 我希望能够访问VPN,并同时浏览互联网 – 我明白这是所谓的拆分隧道(已勾选向导中的设置,但不起作用),如果是的话,我该怎么做? 或者,如果拆分隧道是一个痛苦的设置,然后使连接的VPN客户端从ASA WAN IP的互联网访问将是可以的。 names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.30.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 208.74.158.58 255.255.255.252 ! ftp mode passive access-list inside_nat0_outbound extended permit ip any 10.10.10.0 255.255.255.128 […]
你能告诉我在一个networking中同时拥有一个Cisco路由器和ASA设备并且只有ASA有什么区别吗? 我记得我的ISP已经在我们的networking前面设置了一个路由器,并且我在后面设置了一个路由器和一个透明模式的ASA,所以我想如果我现在把ASA设置成路由器模式,并且我不做dynamic路由没有必要在它前面有一个路由器。 正确?
我试图站在我们的networking上的一个新的ASA5505(以前我们使用IPCop),我有点问题让VPN工作。 我运行ASA(8.3)上的ASDM(6.3)中的IPSec VPN向导,并select了第二个选项L2TP over IPSec。 在configuration文件中同时启用L2TP / IPSec和IPSec后,我可以连接到以下客户端: OSX内置的VPN客户端 OSX Cisco VPN客户端 苹果手机 iPad的 我试图让我们的Windows客户端连接,但使用Cisco VPN客户端不幸是不是我们的select,因为我们大多数人运行Windows 7 64位,但ASA附带5.0.06的VPN客户端,但5.0.07是引入了64位支持的版本。 我试图在Windows 7中使用内置的L2TP / IPSec客户端连接到VPN,但这里是我在连接时在监视器中看到的事件链(设置为“debugging级别”): Built inbound UDP connection 66792 for outside:xxxx/27917 (xxxx/27917) to identity:IP4/4500 (IP4/4500) Group = DefaultRAGroup, IP = xxxx, Automatic NAT Detection Status: Remote end IS behind a NAT device This end is NOT behind […]
我们有一个思科asa5505,我们通过服务器2008 R2框运行DHCP。 我做了一个80/20的规则与另一台服务器2008 RU机器(在这个networking上),但是当主服务器出现故障时,它没有向客户端提交/填充DHCP设置,我们closures了30分钟。 对于通过服务器2008 R2框运行它或从asa5505运行DHCP,你有什么意见? 我们去了服务器2008年,因为它更灵活一点。 谢谢!
在我们公司,目前我们有三个独立的服务器。 这三个服务器中的每一个具有相同的公共IP地址,并且基本上驻留在不同子网下的相同networking上。 我们试图想出一种允许以相对容易的方式访问所有三台机器的方法。 有任何想法吗?
我需要在Cisco ASA防火墙上购买并安装SSL证书。 这将允许我的VPN用户连接到我的ASA,而不会收到来自ASA上当前不受信任的自分配SSL证书的证书错误。 我对GoDaddy销售的SSL证书有很好的经验。 不过,我很关心使用它们。 在我的networking服务器上,我还必须安装GoDaddy的“中级证书包”。 在ASA上,我认为我不能像这样做任何事情。 我不完全理解“中间证书包”的作用,但显然这很重要。 所以我的问题是,我可以在ASA上使用GoDaddy SSL证书,而我的用户在连接到使用不可信SSL证书的网站时会收到任何types的警告或错误。 我需要这个尽可能简单,我的最终用户和警告消息总是吓人:) 谢谢!
Out客户有一个名为“SSL Explorer”的SSL VPN解决scheme,它是一个在DMZ主机上运行的基于服务器的应用程序。 由于该软件已宣布报废,我们希望迁移到ASA WebVPN。 目前有一个指向xx.xx.xx.68 / 29的DNSlogging“ssl.customer.ch” 。 我们不希望改变DNSlogging来尽可能降低迁移的停机时间。 ASA本身在外部接口上具有IP地址xx.xx.xx.66 / 29。 如果我要使用向导通过ASDM设置WebVPN,似乎访问WebVPN的IP地址不能改变,它总是您select的接口上的IP地址,在这种情况下,外部IP地址xx.xx .xx.66。 我的问题是如何通过IP地址xx.xx.xx.68 / 29访问WebVPN,这是一个与外部IP地址不同的IP地址? 这是我已经尝试过的: 1)在外部接口上创build第二个(子)接口,并将xx.xx.xx.68 / 29configuration为IP地址。 – >不起作用,因为子网重叠。 (也许它会工作,如果我会子网,子网再次,但比我会失去所需的IP地址,所以它不是一个选项) 我也尝试了一种应该将xxx68:443redirect到xxx66:443的NAT语句 static (outside,outside) tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0 access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP […]
我有以下设置: LAN -> DHCP / DNS / VPN server (OSX 10.6) -> Cisco ASA 5505 -> WAN 通过VPN连接到局域网工作正常。 我得到所有的细节正确,我可以ping任何内部networking上的主机使用他们的IP。 但是,我无法做任何主机查找。 我查看了日志,发现这个块在防火墙日志中: 3 Sep 08 2010 10:46:40 305006 10.0.0.197 65371 portmap translation creation failed for udp src inside:myhostname.local/53 dst inside:10.0.0.197/65371 端口53是DNS服务,不是? 由于那个日志条目,我想这个问题是与防火墙,而不是服务器。 有任何想法吗? 请记住,我对这种防火墙的知识和经验知之甚less,我所拥有的一点经验就是使用ASDM GUI控制台,而不是CLI控制台。
我有一个作为DHCP服务器的Cisco 5505和一个运行AD域的服务器2008 DNS服务器。 我遇到了所有不更新正向查找区域的XP计算机的问题。 反向查找区域更新正在工作。 Windows Vista和7台电脑更新就好了。 另外,DNS服务器同时接受安全更新和非安全更新。 当人们通过思科VPN连接时,他们无法parsing到任何具有反向查找区域的机器,但可以parsing正向查找区域中的条目。 我已经尝试过ipconfig /registerdns ,但XP客户端的正向查找区域条目没有被填充。 我怎样才能让XPdynamicDNS客户端进行更新,或者我能做些什么来debugging发生了什么? 谢谢
我遇到的问题是,我们的某个DMZnetworking上的某些用户没有从内部接口上的Windows DHCP服务器获取DHCP地址。 因为不是每个人都受到影响,所以难以排除故障。 下面是我看到的日志,任何想法要看什么: Apr 13 13:28:11 172.xxx Apr 13 2011 13:28:11: %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to dorms:255.255.255.255/67 Apr 13 13:28:12 172.xxx Apr 13 2011 13:28:12: %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to dorms:255.255.255.255/67 Apr 13 13:28:14 172.xxx Apr 13 2011 13:28:14: %ASA-7-710005: UDP request discarded from 0.0.0.0/68 to dorms:255.255.255.255/67 ASA DHCPconfiguration: dhcprelay […]