我的设置: 位于子网10.1.1.10上的WDS服务器(w2indows 2003 R2)各个站点位置全部位于不同的子网上。 Eah站点configuration了Cisco ASA防火墙,用于响应DHCP请求。 问题 是否有可能将我的思科ASA作为DHCP服务器,但仍然有一些将PXE请求转发到WDS服务器,而无需在我的ASA上手动设置选项66和67。 我想保留我的WDS服务器作为所有PXEconfiguration的中央服务器(如果我改变启动文件在function等…) 所以本质上我想: 思科ASA提供IP地址 Cisco ASA将PXE请求转发到10.1.1.0子网,以便WDS服务器可以响应 WDS服务器响应PXE请求 所有的PXEconfiguration留在WDS服务器上 非常感谢
我在我们的数据中心build立了一个netflow服务器,它通过VPN连接到大约40个使用Cisco ASA 5505的远程办公室。目的是分析使用数据,准确找出如何使用远程连接。 我遵循http://techowto.files.wordpress.com/2008/09/ntop-guide.pdf来设置ntop和https://supportforums.cisco.com/docs/DOC-6114来设置ASA。 从插件> Netflow> Statistics页面,我可以看到来自ASA的Netflow数据包正在接收 – 计数器正在增加。 但是,在切换到Netflow界面后,我没有看到“全局stream量统计”页面上出现任何故障。 我刚刚看到一个饼图显示eth0的100%stream量。 接口和文档是有点难以遵循,所以我不知道我有东西configuration正确。 当设置我的NetFlow设备.2我可以指定虚拟NetFlow接口networking地址 – networking用户界面说 该值采用实际NetFlow探针所在networking上的networking地址和掩码的forms。 这是networking地址(例如192.168.0.0/24)还是实际的主机IP地址(192.167.0.1/24)? 如果这应该是一个networking地址,这是我的一个ASAnetworking或我的ntop服务器所在的networking? 如果一个主机的IP地址,这是我的ntop服务器上eth0使用的IP地址,ASA的IP地址还是其他的? 我是否需要为每个ASA分别创build一个虚拟接口? 任何指导将非常受欢迎。
有人可以给我一个path(或链接到文档/如何)在Cisco ASA for RemoteVPN(使用Anyconnect客户端)上实现双因素身份validation(LDAP密码+证书)? 目前我们的思科ASA(5505,8.4.3)configuration为使用OpenLDAP服务器进行密码authentication。 我们使用RemoteVPN与AnyConnect客户端(SSL VPN)。 我想将证书添加到authentication/授权过程中。 我不想使用任何外部证书颁发机构。 我甚至可能不需要每个用户的个人证书。 我需要的仅仅是检查用户是否具有有效的证书之前/之后/期间的身份validation/授权LDAP的密码。 说实话,现在我不清楚它应该如何工作。 1)首先,我不明白,应该在哪里configurationCisco ASA。 我应该通过我的OpenLDAP服务器为我的隧道组启用证书和aaa身份validation“(config-tunnel-webvpn)#authentication aaa certificate”吗? 那么它将如何工作? OpenLDAP是否支持证书validation? 或者我需要使用辅助身份validation来添加证书? 我需要然后configuration一些服务器,然后进行二次authentication? 或者我需要进行其他configuration,如CA权限? 那么CA权威机构如何从OpenLDAP获取用户名呢? 或者我可以为所有用户制作一个证书(这样的安全级别对我的公司来说是完全够用的)? 2)证书validation过程如何工作? 思科ASA如何validation证书? 是不是像openssl私人/公共密钥或不? 我可以在ASA上设置本地CA权限,但仍然可以从OpenLDAP获得所有用户吗? 它会从证书中提取用户名还是以某种方式使用证书本身进行身份validation? 非常感谢您提前。
我的网站和客户端网站具有相同的Lan IP范围。 两者都使用ASA版本8.4 网站A:192.168.18.0网站B:192.168.18.0 请告诉我如何在8.4上完成Natting 任何帮助将不胜感激。 问候, Kinnu
我在思科ASA 5505上设置了一个远程访问VPN。我可以通过我的电话或思科客户端连接到我的ASA,但是当通过VPN连接时,我无法连接到内部局域网中的设备。 设置如下: 内网:10.0.0.0/24 VPN_POOL:172.16.0.0/24外网:192.168.1.0/24 ASA不是外围路由器,在连接到我的有线电视提供商的192.168.1.0/24networking上有另一个设备。 显然UDP端口500和4500被转发到ASA的外部接口。 一切工作完美,除了VPN的东西。 configuration: interface Vlan1 nameif inside security-level 100 ip address 10.0.0.254 255.255.255.0 interface Vlan2 description Outside Interface nameif outside security-level 0 address 192.168.1.254 255.255.255.0 object network VPNPOOL subnet 172.16.0.0 255.255.255.0 object network INSIDE_LAN subnet 10.0.0.0 255.255.255.0 然后是免除NAT规则。 nat (inside,outside) source static INSIDE_LAN INSIDE_LAN destination static VPNPOOL VPNPOOL 我不认为这是VPNconfiguration的问题,因为我可以成功build立VPN连接,但只是为了防止在这里发布: […]
我已经在运行Keepalived和HAproxy的DMZ中有一对思科ASA [0]和一对Linux机箱,作为另一对Windows服务器(也在DMZ中)的负载平衡故障转移对。 我确信Keepalived工作正常。 我可以成功从DMZ中的另一台主机ping虚拟地址(10.0.1.8); 当我在主站(10.0.1.6)上停止Keepalived时,在备份(10.0.1.7)接pipe虚拟地址之前,几个ping失败。 当我在主设备上重新启动Keepalived时,发生类似的一些故障。 当主服务器或辅助服务器处于活动状态时,此其他主机可以通过HAProxy查看两台Windows服务器上托pipe的网页。 虚拟IP地址有一个到外部地址的静态NAT映射(比如1.2.3.8)。 当我尝试从防火墙外部进行类似的testing时,ping到1.2.3.8只在主服务器处于活动状态时才起作用 – 当我停止主服务器上的Keepalived服务时,防火墙外的ping失败,而DMZ内的Ping成功。 我可以看到,当停止并重新启动Keepalived主虚拟IP地址时,虚拟IP地址的MAC地址条目发生了变化,所以ASA似乎知道主虚拟主机和备用主机何时处于活动状态。 但是,当辅助操作系统处于活动状态时,似乎拒绝入站stream量的NAT。 我最好的猜测是,ASA试图阻止这个地址被欺骗,但在这种情况下,我真的很喜欢ASA来允许它。 我不知道如何做到这一点(或从哪里开始,真的)。 有什么build议么? [0] – 它实际上是一对故障转移configuration,但我认为这不是相关的。
我有一个Cisco IOS XRv演示,我想设置连接logging。 例如,对于ASA,“show logging”显示每个build立或拆卸的TCP连接的日志消息: Jun 11 12:29:31 10.10.10.254 %ASA-6-302013: Built outbound TCP connection 8236065 for outside:xxxx/443 (xxxx/443) to inside:yyyy/58772 (zzzz/58772) Jun 11 12:29:36 10.10.10.254 %ASA-6-302014: Teardown TCP connection 8236059 for outside:xxxx/443 to inside:yyyy/49350 duration 0:00:00 bytes 11460 TCP FINs 但是,如果我在IOS上执行“show logging”,它只会显示有关configuration更改的信息,但不会显示连接痕迹。 我是否需要任何其他configuration来在IOS上启用此类连接日志logging(以查看ASA上的连接跟踪)? 或者根本不支持,我需要一个单独的ASA虚拟机?
我从ASA 5510中导出了现有的证书和密钥: asa5510(config)# crypto ca export MYTRUSTSTORE pkcs12 MYPASSWORD 将输出保存在一个文件(vpn-cisco.pkcs12)中,现在我试图将证书和密钥拉入单独的文件中,如下所示: openssl pkcs12 -in cisco-vpn.pkcs12 -nocerts -out privateKey.pem 我收到的错误: 139708630054816:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1319: 139708630054816:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:381:Type=PKCS12 同样的错误,如果我运行openssl pkcs12 -info …或任何其他命令。 我试图再次导出文件,并使用ASDM而不是CLI进行比较,但文件完全相同。 谷歌search错误只是说文件的编码可能是某种方式,但没有具体的细节。
我有一个使用思科客户端的MacBook,除了当我使用特殊的Mac / iPadfunction来连接iPad数据连接时,它工作正常。 对于那些不熟悉这一点的人来说,Mac和iPad可以通过蓝牙连接来利用iPad的互联网连接。 我不是Cisco VPN目标的networkingpipe理员,但我想给他们最准确/相关的信息来解决这个问题。 如何解决/收集信息,使我们的networkingpipe理员的生活更轻松?
我目前有几个VPN的内部部署设置在外部接口上,并使用接口上的默认网关作为VPN通道的始发源。 虽然外部接口已经configuration了IP块 – 我想创build一个新的VPN来源于另一个IP。 我注意到在静态路由部分有一个“隧道”选项,允许你设置一个默认隧道 – 虽然在我的情况下,我想在外部接口上有多个VPN的起源。 我的问题是 – 是否有可能有多个来源?