我是一个VPN新手,所以请容易对我… 我正在尝试使用DrayTek Vigor 2930防火墙的VPN中继function将两个IPSec VPN连接绑定到Cisco ASA 5520设备上,并且将自己绑在一起,希望有更多的知识/经验的人能够帮到您。 我有一个远程站点与两个ADSL连接和DrayTek框。 主要办公地点有Cisco ASA设备。 我可以在两个ADSL连接的公共IP地址上的两个站点之间build立一个IPSec连接,但是一旦我尝试使用VPN绑定,就没有任何效果。 VPN隧道都还在,但是stream量在某处丢失了。 我怀疑这是由于ASA不知道如何通过VPN路由stream量 – 一分钟,来自远程办公室networking的stream量来自公共IP地址#1,下一个来自公共地址#2,并且它不是“不知道该怎么办。 那么,这是我错误的新手印象,但我不知道: 如果这真的发生了什么事情 如果我正在尝试做的(从一个远程networking绑定两个VPN连接以提高带宽/弹性)可以使用我已经得到的套件 谁能帮忙?
我使用cacti监视思科ASA 5505上的许多事情,但没有任何信息表明通过它们上的VPN隧道的stream量级别。 这个数据是否可以通过ASA上的SNMP获得,并且有人在这里设法在Cacti或其他系统中绘制这个数据? 注意 – 我最感兴趣的是监视来自远程站点的stream量,而不是总部进入HQ ASA 5510的IPSECstream量。
目前我们正在尝试在Cisco ASA V8.0(4)和CentOS Linux服务器之间build立一个IPsec VPN。 隧道成功,但由于某种原因,我们无法弄清楚,防火墙正在丢弃来自VPN的数据包。 ASA中的IPsec设置如下: crypto ipsec transform-set up-transform-set esp-3des esp-md5-hmac crypto ipsec transform-set up-transform-set2 esp-3des esp-sha-hmac crypto ipsec transform-set up-transform-set3 esp-aes esp-md5-hmac crypto ipsec transform-set up-transform-set4 esp-aes esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map linuxserver 10 match address filtro-encrypt-linuxserver crypto map linuxserver 10 set […]
我在两台Cisco ASA 5510之间build立了一个站点到站点的VPN连接。一个站点(我们称之为A)可以看到另一个站点(站点B)的专用networking,但是站点B不能看到站点A的专用networking。 两个ASA的访问列表和路由是相同的。 在ASA A上,通过发出以下命令: show run crypto map ,得到以下结果: crypto map outside_map 1 match address outside_cryptomap crypto map outside_map 1 set peer IP_of_Outside_Interface_of_B crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map outside_map 1 set ikev2 pre-shared-key ******** crypto map outside_map 1 set reverse-route crypto map outside_map 65535 […]
我目前在Cisco ASA 5550和Cisco ASA5506-X之间build立了站点到站点VPN隧道。 我可以看到vpn隧道在两端都通了,但是没有stream量通过。 Cisco ASA 5550正在接收数据包,但不发送任何数据包。 我试图检查所有设置,但无法find任何解决scheme。 我已经重置了Crypto ikev1&ikev2&ipsec sa思科ASA5506-X还设置了三个到思科ASA 5505的VPN通道,它们都按照应有的方式工作。 我们以前有Cisco PIX防火墙与vpn隧道到思科ASA 5550,最近由思科ASA 5506-X取代它应该为它的工作3天。 在Core防火墙中发布L2L vpn会话的结果: Core-ASA5550(config)#show vpn-sessiondb l2l filter ipaddress 151.XXX 会话types:LAN到LAN IKEv2:(1)AES256 IPsec:(1)3DES哈希值:IKEv2:(1)SHA1 IPsec:(1)SHA1字节数Tx:0 Bytes Rx:9124login时间:11:40:05 GMT / BDT星期一2015年6月22日Duration:0h:05m:10s 目前,我无法从任何一方ping通防火墙后面的任何服务器/ PC。
我试图在思科ASA 5515上安装证书。它具有我本地的Windows 2012 CA作为可信的CA. 该域也将此CA应用于其受信任的根。 每当我尝试通过AnyConnect VPN从外部进行连接时,我都会收到不可信的证书错误,具体为“证书与服务器名称不匹配”。 设备主机名是vpn ,域名是example.com 。 证书颁发给由cn=corp-dc1-CA,dc=corp,dc=example,dc=com发布的cn=vpn.example.com 。 我有2个自治域configuration: corp.example.com是一个内部域,它没有注册GoDaddy; example.com在GoDaddy注册。 我使用ASA的CSR在我的CA上生成一个证书,并在我的ASA上安装了新的证书,但仍然没有运气。
我们正在从ASA5505升级到ASA5510。 我在两个不同的子网上为3个公用IP地址范围configuration了一个共址。 5505正在按预期工作。 示例(修改的IP):174.136.1.1,72.249.1.1,72.249.2.1 防火墙分配给了174.136.1.2。 使5510联机时,在为此范围内的任何IP地址创buildNAT规则时,stream量无法正确路由:72.249.1.1,72.249.2.1 将服务器分配到与防火墙位于同一子网的IP时,我确认数据包路由正确。 当为IP范围72.249.1.1和72.249.2.1configuration额外的VLAN时,所有的分组都正确地路由。 我在防火墙和数据中心路由器之间切换。 但是,我们没有足够的IP分配给其他VLAN。 我试图创build一个静态路由到72.249.1.1,72.249.2.1,这是行不通的。 数据包跟踪结果是积极的,但我不知道如果我正确地做。 5505上的dynamicNAT规则和5510上的dynamicPAT规则我都看到了。我不清楚它们有什么区别。 我想我已经试图在5510上切换,没有运气。 我正在研究5510的子接口,但我不确定这是否是解决scheme。 我们有一个小窗口来做防火墙升级,通常是深夜。 我已经尝试了多次,没有运气。 我不能在办公室创buildtesting环境。 为了testing目的,我可能会要求从数据中心再次下载。 任何帮助,将不胜感激。 我可以发布完整的configuration。
我有一个现有的设置与5515-X作为我的防火墙和VPN,工作正常。 由于移动到一个新的位置,从而一个新的外部接口IP,我可以成功地连接到VPN,但VPN客户端(即无法到达networking内部)没有任何东西可见。 我怀疑UDP 500可能被阻塞,但ISP坚持认为它不是。 (ISP正在pipe理一台Cisco 3900以连接互联网。)3900和ASA之间没有设备。 我应该能够改变外部接口的地址,它应该是即插即用的。 任何想法为什么设置不起作用? 编辑:我现在可以通过Telnet到达ASA的内部接口,我可以连接到它,但我不能看到networking上的其他任何东西。 VPN分配一个IP地址,我保持连接。 即使VPNconfiguration没有任何改变(除了外部IP地址),VPNconfiguration也是有问题的。
我们有一个小型办公室,我们75%的基础设施都是基于云计算的,包括我们用于远程访问的pfSense部署以及目前面向公众的站点到站点连接。 我们决定部署一个支持Firepower的思科ASA作为我们的内部部署的外围防火墙。 有没有人有使用安装了Suricata软件包的Firepower许可和/或pfSense附带的IPSfunction的经验,以及如何处理VPNstream量? 由于我们正在连接到由pfSensepipe理的VPN服务器,为了满足合规性需求,我们需要确定发生数据包检查的确切位置。 使用从本地ASA连接到pfSense的IPsec VPN客户端,ASA是否可以解密数据包,并在路由之前将其转发给Firepower模块进行检查,或者在数据包发送之前或之后在pfSense / Suricata端处理从VPN服务器到ASA?
我们有2个站点将通过2个Cisco ASA之间的IPSEC VPN进行链接: 站点1 8Mb ADSL连接Cisco ASA 505 站点2 2Mb SDSL连接Cisco ASA 505 基本上,这两个站点都需要在另一个IPSEC VPN站点3(我打算在站点2终止)的末端访问服务。这是由于服务销售的方式 – 它是按照网关计费的。 所以如果站点1和站点2都有自己的到站点3的VPN连接,它将花费我们两倍的费用……无论如何,我的想法是从站点1到站点3的所有stream量都通过站点之间的VPN 1和站点2.最终结果是所有点击站点3的stream量都来自站点2。 我知道这被称为发夹,但我正在努力寻找关于如何设置的大量信息。 所以,首先,任何人都可以证实我想要达到的目标是什么,其次,有谁能指出我这样一个configuration的例子吗? 非常感谢。