我有一个IPsec站点站点VPN设置和工作,但是,一旦连接build立了一个多小时,我遇到了问题。 一个小时后,ASDM仍然认为VPN已连接,连接持续时间继续增加,但是一旦UI尝试向下发送数据,隧道就会被拆除,并随着从防火墙发送到客户机的第一个数据包一起重新创build我们的networking。 我已经开启了日志logging,接下来的两行看起来是最有趣的: Session Disconnected. … Reason: crypto map policy not found … Connection terminated for peer 213.123.59.222. Reason: Peer Terminate Remote Proxy 78.129.136.64, Local Proxy 171.28.18.50 213.123.59.222是他们的外部IP为检查点框,78.129.136.64是我们的本地networking上发送数据的机器,171.28.18.50是他们的networking上的机器,我试图发送数据。 我的超时configuration如下: timeout conn 0:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 group-policy DfltGrpPolicy attributes vpn-idle-timeout 180 vpn-tunnel-protocol IPSec svc 我想了解问题是在我们的(ASA5505)还是客户防火墙(Checkpoint)上configuration的。 在我与他们联系之前,还有什么事情可以检查我的身边吗? 更新:当我show configuration我的访问列表和encryption映射如下(对不起,如果有缺less的线条和有趣的名字,像'鲍勃',我有点不在我的深度,发现它有点试用和错误的设置VPN向上!): access-list basic extended permit tcp […]
我有两台服务器: 检查点安全@ Office 500与ip xxxx和本地networkingaaaa / 24 思科ASA5505与ip yyyy和本地networkingbbbb / 28 在设置vpn之前,我可以从aaaa / 24上的任何一台机器ping yyyy。 我的问题是,在两台服务器之间build立一个VPN之后,我不能再从aaaa / 24 ping YYYY。 有谁知道这可能是为什么? 我的猜测是,ping yyyy是不必要的路由通过VPN隧道,但我不知道如何防止发生。 另外,如果它正在通过vpn那么为什么不vpn允许它..一个线索可能是在asa5505日志哪些状态: Group = xxxx, IP = xxxx, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy aaaa/255.255.255.0/0/0 local proxy yyyy/255.255.255.255/0/0 on interface Outside 我的问题再次是我无法解释这个错误。
我们有一个有四个networking的ASA 5510:内部,外部,dmz,WLAN。 里面的所有地址都有nat,dmz和WLAN。 我们的imap-server存在一个从内部到外部的静态策略。 这台服务器可以从外面访问。 好。 从WLAN我们无法访问此服务器。 从dmz也没有。 这是我们的问题。 我试图通过build立从内部到WLAN的第二个静态策略来解决这个问题,但这是一个DNS问题。 这必须有另一个名字,因为IP是与全球外部的IP不同的。 而且我不想使用水平分割或其他技术。 为什么这不可能? 我想我错过了一个指令或误解这里的东西。 你能点亮我吗? 我感谢每一个答案。
我们有一个ASA5505,它是我们的networking的骨干,控制DHCP / NAT规则/防火墙等。 我们遇到了VPN用户能够访问本地系统的问题。 我们可以ping通IP地址和FQDN(server.domain.local),但是无法通过服务器名称ping或访问系统。 (\服务器为例) 我已经完成了所有可以通过服务器想到的configuration,但无法解决DNSparsing问题。 我认为ASA 5505可能会根据政策规定(asdm)阻止它。 有没有人有任何想法? 提前致谢!
在p2p连接断开的情况下,我在两个ASA之间build立了VPN的故障。 我试图find一种方法来testing这个出去掉p2p。 任何想法呢? 我不能生成任何有趣的stream量,因为它只是路由出了p2p链路而不是vpn隧道。
我正在尝试将networkingconfiguration为通过DMZ进行分隔。 基本上允许从每个networking到服务器的完全访问,但是阻止来自这些相互通信的networking的访问。 我有它的方式设置: 服务器 – 192.168.10.x / 24数据 – 192.168.30.x / 24 Dev – 192.168.40.x / 24 所以数据在开发/数据之间被阻塞,但是服务器被完全访问。 DHCP是我遇到问题的地方。 我希望服务器的networking能够分配数据/ dev的IP地址。 你能想到这种可能吗? 我可以在asa5505上启用DHCP,但是它的凌乱并不容易看到谁在使用什么。 我们即将在所有无线设备上将所有内容都更改为mac身份validation,因此使用asa5505作为DHCP服务器将无法长期运行。 任何帮助将不胜感激! 谢谢你的时间。
在站点到站点的VPN设置中,我们在8.4(4)和8.2(5)中有两个ASA 5510。 所有内部stream量正在顺畅运行。 站点/子网A:192.100.0.0 – 本地(8.4(4))站点/子网B:192.200.0.0 – 远程(8.2(5))VPN用户:192.100.40.0 – 由ASA 当你进入networking的VPN,所有的stream量都击中站点A,子网A上的所有内容都可以访问。 但是,站点B对于VPN用户是完全无法访问的。 子网B上的所有计算机,防火墙本身等等不能通过ping或其他方式访问。 我降级到8.2,然后在A站点上回到8.4。 站点B现在运行8.2(5)。 提前多谢,希望我已经够透彻了。
我想要使用ASDM 6.4在思科ASA 5520(8.2)上阻止一系列IP地址。 在帮助文件/思科文档,它说,只需创build一个“范围”types的networking对象,并在阻止访问规则中使用… … 当我使用ASDM 6.4访问ASA(8.2)时,我进入config> firewall> object>networking对象和组,然后点击“add”将IP范围添加为“networking对象”,我得到以下4个字段填写: 名称:IP地址:子网掩码:说明: 这就是所有…在上下文相关的帮助文件中,它表示应该有一个types下拉列表来select,其中“范围”是其中一个选项,但没有“types”下拉列表。 。 如果我尝试创build一个“networking对象组”而不是“networking对象”,那么我会得到一个“types”下拉列表,但它只包含两个选项:networking和主机(这里没有“范围”选项) 有人可以帮助我弄清楚如何使用ASA上的当前8.2版本来阻止一系列IP? 感谢任何指针或提示!
我想知道有人可以解释思科ASA防火墙如何实现VPN的主要概念吗? 具体来说,连接configuration文件和组策略用于什么? 即他们做什么,他们是如何工作的。 我对VPN有很强的理论认识,但没有实践经验。 目前我只是使用思科ASA模拟器学习基础知识。 谢谢你的帮助。
我们有一个configuration为访问互联网的ASA,对于有DHCP分配的IP地址的客户,但对于手动分配的IP的客户不适用。 例如,DHCP服务器configuration为172.16.101.1和172.16.101.10之间的IP地址,设备可能会得到IP地址172.16.101.1。 这台机器将连接到互联网。 如果我们将DHCPD服务器范围configuration为172.16.101.2至172.16.101.10,并将172.16.101.1 IP静态分配给客户端,则它将不能访问互联网。 它将会有内部访问和VPN访问。 如果我尝试ping 8.8.8.8,则会logging以下内容: ASA 3 Feb 08 2013 15:51:01 8.8.8.8 xxx.xxx.xxx.100 Deny inbound icmp src outside:8.8.8.8 dst servers:xxx.xxx.xxx.100(type 0,code 0) “服务器”是内部接口的名称,“xxx.xxx.xxx.100”是外部IP。 当客户端IP被静态分配时,DNAT似乎不起作用。 有没有人见过这种行为? 它让我难住! 运行configuration: ASA Version 8.2(5) ! hostname hayes-fw enable password XXXXXXXXX encrypted passwd XXXXXXXXX encrypted names name 212.xxx.xxx.2 DUNSTABLE ! interface Ethernet0/0 description Internet switchport access vlan […]