已通过VPN客户端成功连接到我的ASA。 设置:ASA >> Switch >> 2个CentOS Linux服务器 当我打开本地terminal(OSX)时,我可以在(192.168.0.1)的接口上进行ping操作,但是在192.168.0.2〜254 里面的服务器可以互相ping通192.168.0.1 似乎对IP上的服务器内部的VPN ping请求在Linux机器的公共接口(网关设置为public,而不是private)上发回, 不是任何方式专家系统pipe理员,我试图在服务器专用接口上设置网关,并做了“服务networking重启” – 没有骰子,看起来像Linux不喜欢多个网关? 无论如何,将是很好的VPN连接,并有权访问内部networking; 那么我可以阻止所有的stream量,除了networking服务,只有通过VPN的SSH。 必须是做到这一点的方式,理念表示赞赏
我们已经有一段时间在5505和870之间的现有VPN。 我们刚刚在5505端添加了VLAN到networking。 我们似乎无法弄清楚如何让VLAN上的设备与没有VLAN的870networking上的设备进行通信。 我们认为我们可能必须使用各种路由器来处理路由,然后再击中ASA。 我们认为PFsense可能运作良好。 我们一直对这个事情感兴趣2天,所以任何直接的帮助将是伟大的。 我们在最后期限之前。 谢谢!!!
我有一个ASA5520设置为将日志发送到splunk syslog服务器。 设置工作一段时间,通常大约24小时左右,但然后停止,直到日志重新configuration(twiddling端口)或ASA重新启动。 我应该看什么来解决这个问题? 我不知道,如果它的splunk syslog守护进程忽略连接或ASA得到搞砸,并停止发送。 编号喜欢启用'不通过stream量没有日志工作'选项,但没有稳定的连接到系统日志,这是一个非起动器。 尝试到目前为止:TCP和UDP,不同的端口,改变日志logging级别
Cisco 5510 ASA中的AIP模块是否可以解密和检查SSLstream量? 我已经问了我的本地供应商(谁放置了我所说的设备),他们说AIP模块不能检查encryption的内容。 我通常使用Web应用程序防火墙,因此熟悉在设备上安装Web证书的function,以便能够查看SSL通信。 在带有IPS模块的ASA上是不可能的?
我有一个思科ASA,我有VPN隧道连接我的内部Windowsnetworking。 我遇到了一些麻烦login到我的域名,所以我解开了该内部接口上的所有端口。 在之前发布的一个问题上,普遍的意见是我应该在我的内部接口上阻塞端口,但是我的问题是:我应该打开哪个端口? 我已经尝试解除端口88,139,135,389和445和Windowslogin仍然给我的问题。 是否有一些MS文档告诉我什么我需要解锁,以允许Windowslogin和其他东西?
我运行Windows 2008 Server,我有思科ASA设置站点到站点vpns和远程访问VPN。 经过研究,我读到,您可以更改拨入选项以允许或禁用远程用户的VPN访问。 然而,我testing了这个自己,它没有做任何事情.. 我有AAA服务器设置,在ASA上使用a / d服务器进行身份validation。 连接configuration文件使用AAA服务器进行authentication和授权。 我有两个AAA服务器组,Server-AD用户Kerberos进行身份validation,Server-AD2008用户LDAP进行授权 两个组都包括服务器win2k8dc1(我的域控制器,a / d,dns,dhcp服务器) 不知道为什么这不工作,任何帮助表示赞赏 谢谢!
我有一台ASA 5505和一台思科交换机。 我正试图把他们连在一起。 ASA的IP为10.11.2.5。 交换机上的VLAN 1102上的服务器具有默认网关10.11.2.1。 我在交换机上执行show vlan命令,端口gi1 / 16在VLAN 1102下的交换机上显示。 当我将ASA插入到gi1 / 16中时,它从1102上的交换机上的“show vlan”中消失。 我直接插入一个服务器到VLAN 1102,并设置一个默认网关10.11.2.5,它得到了networking罚款。 我尝试在另一个交换机(即连接到该交换机)在VLAN 1102下的服务器相同,它不起作用! 我究竟做错了什么?
去尝试和解释这个最好的我可以.. 我有2个公共IP地址。 我的思科asaconfiguration了一个NAT,指定我的交换服务器1的IP,其他一切都获得另一个IP。 我有交换2007年,win2k8ex1其中有一个NAT规则里面的一个思科ASA翻译所有通信通过一个静态的公共IP(以及说xxx1) 然后,我的域控制器与使用xxx2的所有其他系统一起使用 我目前正在升级到2010年,在里面一切都很好,我还没有迁移邮箱或任何东西。 但是我在内部的dns上设置了遗留,自动发现,邮件和owalogging(遗留是指向exchange07的唯一的东西),它工作正常。 我想在下个星期内将用户分组。 纵观ASA,是否有可能使用NAT规则使这两个服务器通过相同的公共IP进行通信? 我只能configuration它在exchange-outside-ip(xxx1)上一次使用一台服务器, 我希望我解释得很好 谢谢
文档指出,你可以(我假设) 全局禁用进取模式: isakmp am-disable 当两个对等体正在协商思科域的第一阶段时,不太清楚这个行为,但是在其他防火墙中,通常可以指定是否在每个隧道configuration上使用Main或Aggressive; 不完全确定如何与ASA 5505做到这一点。
我目前在使用我们的思科设备的RADIUS进行身份validation方面存在问题…似乎部分工作,但我错过了某些东西,希望有些专家可以指出我正确的方向。 我有一个ASA 5510和VPN上configuration的。 我将Windows Server 2008 R2设置为充当RADIUS服务器的NPSangular色(仅使用NAP等,只是为RADIUS设置)。 我最近设置VPN,它似乎工作正常,但现在我想configuration它,以便我可以使用我的AD凭据login到我们的交换机以及,但我不能得到它分为两个… for实例中,所有域用户都可以使用VPN,但是只有NetworkGroup应该能够访问其他Cisco设备。 在RADIUS客户端下,我创build了一个名为VPN的客户端,它具有ASA上的内部接口的IP地址,思科的设备制造商和启用的IP地址。 我有一个名为Switch的客户端,我正在testing的交换机的IP地址,思科作为设备制造商和启用。 在“策略”>“连接请求策略”下,默认情况下,“仅对所有用户使用Windows身份validation”仅将date/时间限制作为条件,但允许随时访问设置下的身份validation提供程序 – 本地计算机和覆盖身份validation禁用。 我在这里添加了一个名为VPN(开放时间限制和IPv4地址条件)和一个名为Switch(具有开放时间限制和IPv4地址条件),认为这是所需要的,但在testing期间,我发现我可以禁用他们工作得很好……但从阅读我看,至less有一个政策是有效的。 我可以禁用默认的一个,但是当我使用相同的凭据设置其他人之一,似乎并不需要,我不能从交换机login,我得到错误“访问被拒绝 – 使用键盘交互式身份validation。如果我启用默认的CR策略,它马上又会起作用……基本上,它似乎并不关心我是否有在每个设备的政策(也许我不应该?)。 在“策略”>“networking策略”下,我添加了两个策略,一个名为Switch,另一个名为VPN。 Switch策略设置为User Groups-Domain \ NetworkGroup。 在设置下我有: Cisco-AV-Pair值为shell:priv-lvl = 15。 扩展状态值为空白。 使用授予访问权限的访问权限。 具有未encryptionauthentication(PAP,SPAP)值的authentication方法。 午休强制执行,允许完全networking访问。 更新值为True的不合规客户端。 具有login值的服务types。 如果服务器在2分钟内达到50%,BAP的容量百分比值为“减less多重链接”。 我在testing中设置的一些设置,其他的默认设置。 VPN策略设置为User Groups-Domain \ DomainUsers。 在设置下我有: 忽略值为True的用户拨入属性。 使用授予访问权限的访问权限。 带有未encryptionauthentication(PAP,SPAP)或MS-CHAP v1或MS-CHAP v1或MS-CHAPV2值的身份validation方法。 午休强制执行,允许完全networking访问。 更新值为True的不合规客户端。 框架协议与PPP的价值。 带有框架值的服务types。 其中一些设置是不一样的,因为我已经来回尝试了几天不同的场景,所以我真的不知道是否有一些是必要的…我知道,如果我禁用那个在CR-Policy下的默认策略,我无法login到交换机…如果我禁用RADIUS客户端,我无法login到交换机(有道理),但如果我禁用交换机networking策略,它仍然让我login…假设它只是滚下来,从VPNnetworking策略,允许DomainUserslogin凭据,我也在该组… … 所以我努力争取的结果(抱歉这么长的问题,但尽可能地提供信息!)是,我希望DomainUsers AD组中的任何最终用户能够使用VPN并拨号但是不允许他们远程login我们的交换机并以相同的方式login。 我只想要NetworkGroup AD帐户能够login到那些。 […]