我应该从解释地形开始,我们有两个不同的互联网连接与单独的防火墙。一个是asa,一个是meraki,防火墙后面的所有服务器的默认网关是ASA(10.100.200.1)。 我遇到的问题是,我们有一个网站到meraki站点(10.100.200.2),而站点另一端的子网(192.168.100.0)的stream量无法find,因为它正试图通过asa的默认网关(10.100.200.1)。 如果我在服务器上设置一个静态路由,试图将stream量发送到子网(192.168.100.0)以使用默认网关(10.100.200.2)。 如何在asa上设置静态路由,以便通过meraki传输的任何stream量使用meraki的默认网关脱身?
我们有两个站点通过两个WAN链接通过VPN连接,一个主站和一个备份。 VPN端点是每个站点上的一对主备ASA集群。 每个站点还有多个附加的VPN到次要站点,其中一些也是双path,同样只有一个主站和一个备份。 我们有这个工作,虽然它运作不好,即我无法创build新的VPN到新的远程站点,因为他们上线。 我重新devise了设置,但devise使用了回送接口,现在我知道ASA不支持回送接口。 我试图解决这个问题,在“冗余”接口上build立一个虚拟的子接口,将链路中继到WAN链路。 不用说,这一直没有成功。 有没有其他人有这个问题,并有一个解决scheme,他们可以分享? 谢谢 CC
在我们的ASA 5525-X中,我们有一个NAT规则,这基本上使得外部的1.2.3.4和内部的10.1.9.10基本上都是NAT的。 也就是说,你可以在外面达到1.2.3.4,并获得10.1.9.10的数据。 这一切都很好,但现在我们不能在内部访问10.1.9.10; 我不完全确定如何解决这个问题,所以我们可以在内部和外部访问它。 任何人有任何指针? 我们正在使用ASA版本9.1(7),在ASA 5525-X上运行。 ASA处于路由模式。
我是pipe理路由器/防火墙的新手,现在需要在小型企业中pipe理ASA 5510。 我以前只是从我们的networking提供商那里要求设置,因此我对基本概念很熟悉,但是没有设置防火墙的真实经验。 你会推荐哪些书籍/教程来pipe理路由器? 有没有人看过哈里斯·安德烈的电子书?
我尝试使用远程桌面服务连接到负载平衡的Windows 2008 R2群集。 从子网(.253)内连接到服务器的IP地址(.253.16和.253.17)或群集地址(.253.20)没有问题。 麻烦的是当我尝试从另一个子网(.251)连接。 我可以从.251的.253子网内的其他非群集服务器(.253.12和.253.15)远程没有问题。 当我在.251子网上时,收到来自集群和其他服务器的ping回复。 但是,当我尝试通过远程桌面进行连接时,超时但只限于群集中的任何IP(.20,.17,.16)。 我的ASA 5510处理日志中的路由报告消息:拒绝TCP(无连接)从192.168.251.2/4283到192.168.253.16/3389标志FIN PSH ACK 更新:它确实出现,如果我有一个主机下来的作品。
我目前有两台Cisco ASA 5100路由器。 他们在不同的物理站点,并configuration了一个活动和工作的站点到站点的VPN。 我可以与其他网站上的子网进行通信,并且都连接到互联网,但是我需要确保在远程站点的所有通信都通过这个VPN到达我的站点。 我知道networkingstream量是这样做的,因为“tracert”证实了这一点,但我需要确保所有其他networkingstream量正在通过此VPN到我的networking。 这里是我的远程站点的ASA路由器的configuration: hostname ciscoasa domain-name xxxxx enable password ######## encrypted names ! interface Ethernet0/0 nameif NIACEDC security-level 100 ip address xxxx 255.255.255.0 ! interface Ethernet0/1 description External Janet Connection nameif JANET security-level 0 ip address xxxx 255.255.255.248 ! interface Ethernet0/2 shutdown no nameif security-level 100 no ip address ! interface […]
我有一台Cisco ASA 5505,现在可以为10.10.0.X上的30台左右机器提供服务。 我想将这些机器中的一部分分离到一个VLAN中,以便它们不能将stream量发送到不属于受限VLAN的所有其他计算机。 不属于隔离组的计算机仍应能够启动与隔离计算机的连接。 所以这就像一个非军事区,除非我希望我不必把隔离的机器放在不同的子网上。 这是可能的还是我需要让每个VLAN在不同的子网? 请原谅我的新手身份这个东西。 我正在尝试学习。
我试图find一种方法来设置一个双向的L2L IPSec隧道,但对于双方都有不同的组策略filterACL。 我有以下过滤ACL设置,应用,并在我的隧道组: access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22 access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 根据文档,VPNfilter是双向的,您总是首先指定远程主机(10.0.0.254),然后根据文档指定本地主机和(可选)端口号。 但是,我不希望远程主机能够访问我的本地主机的TCP端口22(SSH),因为不需要这样做 – 只有主机访问远程主机的SFTP服务器的要求,反之亦然。 但是由于这些filterACL是双向的,因此第1行也允许远程主机访问我的主机的 SSH服务器。 我正在阅读的文件似乎并不清楚,如果这是可能的; 帮助/澄清非常赞赏。
我会使它简单, 我有不同城市的地点,使用2个Cisco ASA设备连接。 我的主要位置,企业,使用IP 192.168.1.x第二个位置,远程存储,使用IP 192.168.3.x 我在我的公司位置有一个DHCP服务器(192.168.1.254)。 我为192.168.1.x创build了一个适用于公司位置的范围。 我在我的DHCP服务器上为远程位置(192.168.3.x)创build了一个范围,并尝试configuration远程ASA DCHP中继, 在远程ASA上:我禁用了里面的DHCP服务器。 我在里面启用了DHCP Relay,设置路由设置为yes。 我设置了全局DHCP中继服务器,最多指定四台要将DHCP请求中继的服务器。 我添加了我的DHCP,192.168.1.254 我把这些设置闪过来给ASA试了一下,什么都没做。 我错过了什么 – 忘记了什么。 不知道我做错了什么。 远程ASA上的DHCP设置: dhcp-client更新dns服务器 dhcpd dns 192.168.1.254 dhcpd ping_timeout 750 dhcpd域名JEWELS.LOCAL dhcpd auto_config外 dhcpd更新DNS的两个 ! dhcpd地址192.168.3.2-192.168.3.33里面 ! dhcprelay服务器192.168.1.254外面 dhcprelay启用里面 dhcprelay setroute里面 dccprelay超时120 在主要的ASA上: 我有两个ACL允许来自远程位置静态IPstream入站UDP端口67和68连接
任何想法如何可以在ASA上完成? 有一个sonicwall的地方,但它只是死了,除了这个ASA,我们没有替代。 24.172.x.132是垃圾邮件filter,我无法更改IP地址。 它需要能够访问局域网中的一台服务器。