我希望能够将f / w日志loggingstream量推送到远程站点的服务器。 此服务器正在接受端口514上的系统日志通信。在ASA中,我已将其configuration为使用此服务器作为系统日志服务器。 Cisco f / w的内部接口地址是10.0.0.1,我想通过链接路由到192.168.1.1的地址。 vpn在网站之间正常运行,每个站点的本地客户端可以访问资源等。 我将如何去设置从f / w到这个远程服务器的路线?
简短版本是我们不能在我们的子网之间进行通信。 我们有一个Cisco ASA 5505,用于我们的networking路由器。 我们有一个有10个vlan的Netgear L2交换机。 每个VLAN都在自己的子网上。 (10.0.10.x / 24,10.0.11.x / 24等) 所以ASA >>>开关>>>主机 我们有PAT的每个子网到我们的外部接口。 每个子网都正确地NAT。 我有2个子网的NAT豁免启用(最终我将需要所有,但只是在此刻testing)。 configuration在这里: http : //pastebin.com/pDsG7hsh 我已经尝试了多种NAT免除方式,以允许来自我们内部VLANS的所有stream量。 在这个时候,我试图让“工程”与“AuthUser”上的所有主机进行通信。 我可以ping一些主机,但不像直接在界面上那么多。 我可以达到端口80服务,但不是443.我不能通过主机名或NetBIOS访问任何东西。 我错过了什么让更高的安全级别的接口与低安全级别的接口完全通信? 谢谢!
什么是最简单的方法来删除Site2Site IPSec隧道? ASDM看起来不提供这种function。 我必须去各种选项卡删除由vpn向导创build的不同元素。 “IPSec / IPSec规则”选项卡甚至不接受更改(应用button不会在更改后激活,只是保存也不会执行任何操作) ASDM Version 5.2(4) ASA Version 7.2(4) Java Version 1.7.0_17 OS Linux 3.2.0-4-amd64 有没有办法,也许在cli,删除一个IPSec隧道及其相关的configuration部分?
我有以下情况: Client subnet(192.168.0.0 /24) —-> Router —-> Internet —-> ASA(172.17.0.2 /24) —-> (172.17.0.1 /24)Gateway —-> (10.0.0.0 /8)Many subnets 我需要在逻辑上将客户端子网连接到“多个子网”。 在左侧,我有一个Cisco 2901,另一个是ASA。 我在路由器和ASA之间build立了一个IPsec连接。 IPsec连接本身有效,但无法访问网关后面的任何地址。 IPsec连接的本地networking是10.0.0.0/8networking。 ASA不知道它必须通过网关路由stream量(172.17.0.1) 。 我已经在内部接口上设置了一个默认路由到10.0.0.0 255.0.0.0.0 172.17.0.1但是这不起作用… 我如何告诉ASA它必须通过网关路由所有stream量?
我昨天问了这个问题,当我(看起来)无法通过我的路由器的stream量。 从那以后,我花了很多时间用数据包捕获,ASA 5505 cli / ASDM和wireshark。 我终于意识到,我的问题是有两个条目局域网。 局域网为10.10.5.0/24,PDC(DHCP / DNS / etc)为10.10.5.5,Watchguard Firewall为10.10.5.1 一个入口点设置了Watchguard防火墙,目的是pipe理组织中几乎所有的stream量。 事实上,它除了一个特定的集合之外,还会执行所有的stream量。 对于单个客户来说,哪个是另一个入口点。 该客户端的服务器为10.10.5.30,ASA 5505路由器为10.10.5.2(通过调制解调器桥接)。 我们在一些服务器上运行UDP 3000上的服务。对于所有其他服务器,所有的Internet,ftp等stream量,我们都希望它们走出主要的WatchGuard网关。 它确实如此。 但是对于那台服务器,我只需要端口3000-3002 UDP通过ASA 5505出去。其他服务器(包括端口3000-3002)的所有UDP数据都要通过工作组。 我发现当stream量通过10.10.5.2(ASA5505)进入时,正确的服务器10.10.5.30正在接收数据,但是10.10.5.30试图通过10.10发回ACK请求。 5.1防火墙。 症状是,它看起来像ASA没有stream量穿过它,我们没有得到任何stream量。 如何通过ASA而不是工作组强制某些协议和端口用于此服务器? ASA 5505有NAT规则将所有的UDP直接转发到.30,并丢弃所有其他的东西。 重要提示: 其他服务器通过10.10.5.1版的WatchGuard使用相同的协议和端口,所以我不能将所有局域网的UDP端口3000数据从一个连接中拔出 – 我需要将其拆分。 更新基本上,我需要在服务器10.10.5.30明确地为UDP端口3000-3002创build一个路由。 我认为。 这是一个Windows 2003 Server SP2
我有两个networking:本地192.168.1.0/24和远程10.8.8.8/24。 在本地networking上,我已经安装了pFsense作为网关。 在远程networking上有一个我无法控制的思科ASA。 (这是一个托pipe公司的。) 他们说我必须在我的公共IP地址下伪装我所有的本地stream量,以便进行适当的隧道工作。 我不知道该怎么做。 我试图使用虚拟IP,但pFsense不允许我使用我的公共IP地址作为虚拟。 据我了解,IPSEC打在NAT之前,所以stream量到达的托pipe公司没有被掩盖,所以它没有路线回来。
我遇到了通过Cisco ASA5505 VPN将文件从一台Windows 2012服务器复制到另一台的问题。 我有一个与Win2008服务器类似的设置,从来没有看到这个问题(相同的ASA5505这一端) 每20个文件(每天一次或两次)中,大约有一个大约20MB或更多,我倾向于获取数据损坏。 腐败倾向于大约5个腐败区域(有时全部位于文件的1MB区域内),每个区域大约12个字节长,在整个文件中大约有60个损坏的字节。 文件大小不会改变。 我已经看到这与本机SQLServer日志复制和robocopy。 与此相关的是,当我使用Windows拖/拖复制一个40GB的文件,复制通常在15-30GB(或有一些损坏的副本)后失败。 当我复制Win2012 – > VPN – > SBS2011,然后复制SBS2011 – > Win2012时,似乎不会发生这种情况。 在ASA5505上似乎没有启用压缩。 在标准的NetMonitor SMBErrors跟踪上没有发现错误。
我刚刚安装了一个NEC PBX,它允许我使用SIP中继来提供VoIP服务。我的网关是运行8.4的Cisco ASA 5505,我只有一个公共/静态IP地址。 到目前为止,我的中继线正在注册,我可以打出电话,一切正常,但来电是沉默(两种方式)。 我假设它是因为UDP端口1024-1215不转发,也不是SIP(5060)。 我需要做的是转发1024-1215的UDP端口范围,但似乎我无法为UDP创build端口映射,或者在静态路由中为UDP定义一个范围的端口。 任何帮助正确的方向将不胜感激! (我被告知ASA 8.4将允许转发一系列的端口,所以我升级了,现在我有点失落了新的命令) 使用ASDM我给了它几次尝试,但这里是我的结果: [OK] object network NEC_DSX object network NEC_DSX [ERROR] nat (inside,outside) static interface service udp 1024-1215 1024-1215 nat (inside,outside) static interface service udp 1024-1215 1024-1215 ^ ERROR: % Invalid input detected at '^' marker. I also tried: [OK] object network NEC_DSX object network NEC_DSX [ERROR] […]
我们有一个为远程用户进行IPSec VPN的ASA 5505。 客户端访问正如预期的那样工作:即使使用DNS,客户端也可以访问内部LAN上的主机,而且我们通过ASA隧道传输所有客户端stream量,因此用户似乎是从办公室到外部世界。 什么是不工作是发现内部局域网服务,如共享文件夹和OS X屏幕共享(我们假设,通过Bonjour /组播DNS)。 当用户在办公室时这些服务正在工作,但看起来广告/发现不会穿越VPN。 具体来说,这个问题是解决OS X用户的需求,尽pipe我们注意到Windows客户端的相同的东西 – 例如工作组成员发现似乎没有工作。 我们在ASA中启用了组播路由,但似乎没有效果。 为了使服务发现工作,VPN用户直接插入LAN需要什么? 在IPSec模式下,这甚至可以使用ASA 5505吗?
我目前有一个思科ASA的发夹VPN设置,但我不是很高兴,因为它弄乱了服务访问是在ASA外部IP地址,并NAT'ed内:(如何重新devise使用额外的networking如果需要避免发夹VPN?我可以完全控制IP的stream量/路由。