Intereting Posts
NTFS共享上的一些子文件夹随机消失,然后重新出现
包含不同的多个SQL Server唯一索引
我无法自动安装cifs文件系统
Mac OS X多用户瘦客户机服务器(terminal服务器)?
尝试启动MySQL守护程序时发生超时错误
将Linux备份到Windows远程站点
在CentOS上有没有其他的升级PHP 5.1.6到5.2.x的方法?
如何将ADMX导入GPO
知道物理打印机何时更换
Apache 2.4:与.htaccess的公共子目录
IIS的SMTP Pickup时间
有没有办法自由交换?
将公有IP地址分配给新的Amazon Instance
如果硬页面故障的数量超过每秒给定的数量,则暂停处理
将桌面软件作为“服务”
思科VPN客户端在ASA 5505的背后
我试图通过思科VPN客户端连接到另一个ASA。 我自己背后是一个ASA 5505,我尝试VPN到5510。
我收到消息:
安全VPN连接由客户端在本地终止。 原因412:远程对端不再响应。
如果我使用普通便宜的Linksys,我可以连接到其他ASA。
- PIX防火墙导致数据包丢失
- 如果networking连接丢失,ESX会重新启动所有虚拟机
- 思科ASA 5505configuration
- Cisco 4900M中继到HP ProCurve交换机。 这个设置是否工作?
- Cisco ASA5505将不会与NTP同步
这是我的ASA的版本:
命令的结果:“sh ver”
思科自适应安全设备软件版本8.4(1)
任何帮助将是伟大的。
谢谢
运行configuration
:保存
:2011年7月1日星期五23:12:32.378,由enable_15书写
!
ASA版本8.4(1)
!
主机名称aaaasa
域名aaa.local
启用密码xxxxxxxxxxxxxxxencryption
passwd xxxxxxxxxxxxxxxxxxxxencryption
名
!
接口Vlan1
名称里面
安全级别100
IP地址192.168.1.254 255.255.255.0
!
接口Vlan2
外面的名字
安全级别0
IP地址xxx.xxx.xxx.xxx 255.255.254.0
!
接口Vlan5
没有名字
安全级别50
IP地址172.16.0.254 255.255.255.0
!
接口Vlan500
没有名字
安全级别100
IP地址10.10.10.1 255.255.255.0
!
接口Ethernet0 / 0
交换机端口访问VLAN 2
!
接口Ethernet0 / 1
!
接口Ethernet0 / 2
!
接口Ethernet0 / 3
!
接口Ethernet0 / 4
!
接口Ethernet0 / 5
!
接口Ethernet0 / 6
!
接口Ethernet0 / 7
!
引导系统disk0:/asa841-k8.bin
FTP模式被动
dns域查找里面
dns域名查询以外
dns服务器组DefaultDNS
名称服务器4.2.2.2
域名aaa.local
同一安全通信许可证接口
同一安全通信许可证内部接口
对象networkingobj_any
子网0.0.0.0 0.0.0.0
对象networkingA_93.97.168.1
主机93.97.168.1
对象networkingrdp
主机192.168.1.2
对象networkingNETWORK_OBJ_192.168.1.0_24
子网192.168.1.0 255.255.255.0
访问列表101扩展许可证tcp任何主机192.168.1.2等式3389
访问列表101扩展许可icmp任何回声答复
访问列表101扩展许可icmp的任何来源猝灭
访问列表101扩展许可icmp任何时间超过
访问列表101扩展许可icmp任何无法访问
访问列表102扩展许可证ip任何任何任何
传呼机线路24
logging启用
loggingasdm信息
mtu 1500以内
外面1492年
ip本地池VPNPool 192.168.2.200-192.168.2.210掩码255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm映像disk0:/asdm-641.bin
没有asdm历史启用
ARP超时14400
!
对象networkingrdp
NAT(内部,外部)静态接口服务tcp 3389 3389
!
NAT(内部,外部)后自动源dynamic任何接口
访问组101在接口外部
访问组102出接口外
!
路由器ospf 1
networking192.168.1.0 255.255.255.0区域0
login形容词,变化
!
外线路由0.0.0.0 0.0.0.0 93.97.168.1 1
超时xlate 3:00:00
超时连接1:00:00半封闭0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时sip-provisional-media 0:02:00 uauth 0:05:00绝对
超时tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http服务器启用
http 192.168.1.0 255.255.255.0里面
没有snmp服务器的位置
没有snmp-server联系
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec ikev2 ipsec-proposal DES
协议espencryptiondes
协议esp完整性sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
协议espencryption3des
协议esp完整性sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
协议espencryptionaes
协议esp完整性sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
协议espencryptionaes-192
协议esp完整性sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
协议espencryptionaes-256
协议esp完整性sha-1 md5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmpdynamicSYSTEM_DEFAULT_CRYPTO_MAP
encryption映射outside_map接口外
encryptionCA信任点ASDM_TrustPoint0
招生自我
主题名称CN = ciscoasa
代理LDC-发行
crlconfiguration
encryptionCA证书链ASDM_TrustPoint0
证书8877d64d
30820248 308201b1 a0030201 02020488 77d64d30 0d06092a 864886f7 0d010105
05003036 3111300f 06035504 03130863 6973636f 61736131 21301f06 092a8648
86f70d01 09021612 63697363 6f617361 2e6e6a64 2e6c6f63 616c301e 170d3131
30353231 30383533 34325a17 0d323130 35313830 38353334 325a3036 3111300f
06035504 03130863 6973636f 61736131 21301f06 092a8648 86f70d01 09021612
63697363 6f617361 2e6e6a64 2e6c6f63 616c3081 9f300d06 092a8648 86f70d01
01010500 03818d00 30818902 818100ea 1aa95141 480e616c efee6816 a96d6511
313b6776 cd3dd57b cd84b4d2 5e108aee 7c980086 4d92e2eb b6c7bf66 4585af0a
ccbf153a db9270be c6f5c67b db9dd8d1 2f78d033 3348b056 df4be0da 70e08953
53adf294 9db6c020 597d250f bf448b43 b90179c8 ff0b15d8 744632d9 31c1945f
0b11e258 b4c1d224 692efff4 7b2f5102 03010001 a3633061 300f0603 551d1301
01ff0405 30030101 ff300e06 03551d0f 0101ff04 04030201 86301f06 03551d23
04183016 8014493c 19db183a ab1af9e9 b1e44ad4 2a408b3c 89d1301d 0603551d
0e041604 14493c19 db183aab 1af9e9b1 e44ad42a 408b3c89 d1300d06 092a8648
86f70d01 01050500 03818100 1dd1760a fdd15941 4803fb9a cd6f44a7 2e275854
a1c0fbe1 d19f2cc9 182d43ef a547f854 8df96d15 3ea79c62 cf3fcb1c 5820360b
c607dbfc 4de8bb16 19f727e9 b928a085 665816d8 138e4a35 ed610950 7910dd4a
0b1a9dd9 0e26f1c8 b78bc0cc cbf19eb2 4c4c3931 45199ea5 249e3266 661e44fd
7a00d376 dcfc6e4e d43f10b8
放弃
crypto isakmp nat-traversal 30
encryptionikev2政策1
encryptionaes-256
诚信sha
第5组
prf沙
终身秒数86400
encryptionikev2政策10
encryptionaes-192
诚信sha
第5组
prf沙
终身秒数86400
encryptionikev2政策20
encryptionaes
诚信sha
第5组
prf沙
终身秒数86400
encryptionikev2政策30
encryption3des
诚信sha
第5组
prf沙
终身秒数86400
encryptionikev2政策40
encryptiondes
诚信sha
第5组
prf沙
终身秒数86400
encryptionikev2启用外部客户端服务端口443
encryptionikev2远程访问信任点ASDM_TrustPoint0
远程login超时5
ssh 192.168.1.0 255.255.255.0里面
SSH超时5
控制台超时0
dhcpd auto_config外
!
dhcpd地址192.168.1.5-192.168.1.36里面
dhcpd dns 4.2.2.2界面里面
dhcpd启用里面
!
威胁检测基本威胁
威胁检测统计主机号码3
威胁检测统计端口
威胁检测统计协议
威胁检测统计访问列表
威胁检测统计信息tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ntp服务器82.219.4.31源外的偏好
ssl信任点ASDM_TrustPoint0外部
WEBVPN
在外面启用
anyconnect image disk0:/anyconnect-win-2.4.1012-k9.pkg 1
anyconnectconfiguration文件AnyConnectVPN_client_profile disk0:/AnyConnectVPN_client_profile.xml
anyconnectconfiguration文件SSLAnyConnectVPN_client_profile disk0:/ SSLAnyConnectVPN_client_profile.xml
anyconnect启用
隧道组列表使能
组策略GroupPolicy_AnyConnectVPN内部
组策略GroupPolicy_AnyConnectVPN属性
wins-server没有
dns-server的值4.2.2.2
vpn-tunnel-protocol ikev2 ssl-client ssl-clientless
默认域值aaa.local
WEBVPN
url-list无
anyconnectconfiguration文件值为AnyConnectVPN_client_profiletypes的用户
组策略GroupPolicy_SSLAnyConnectVPN内部
组策略GroupPolicy_SSLAnyConnectVPN属性
wins-server没有
dns-server的值4.2.2.2
vpn-tunnel-protocol ikev2 ssl-client
默认域值aaa.local
WEBVPN
anyconnectconfiguration文件值SSLAnyConnectVPN_client_profiletypes的用户
用户名testuser密码xxxxxxxxxxxxxxxxxencryption权限0
用户名testuser属性
vpn-group-policy GroupPolicy_AnyConnectVPN
隧道组SSLPOLtypes远程访问
隧道组SSLPOL通用属性
默认组策略GroupPolicy_AnyConnectVPN
隧道组SSLAnyConnectVPNtypes远程访问
隧道组SSLAnyConnectVPN通用属性
地址池VPNPool
默认组策略GroupPolicy_SSLAnyConnectVPN
隧道组SSLAnyConnectVPN webvpn属性
启用组别别SSLAnyConnectVPN
!
class-map inspection_default
匹配默认检查stream量
!
!
策略映射types检查dns preset_dns_map
参数
消息长度最大512
policy-map global_policy
class inspection_default
检查dns preset_dns_map
检查esmtp
检查ftp
检查h323 h225
检查h323 ras
检查ip-options
检查netbios
检查rsh
检查rtsp
检查一下
检查瘦
检查sqlnet
检查sunrpc
检查tftp
检查xdmcp
!
服务策略global_policy全局
提示主机名上下文
呼叫总部
configuration文件CiscoTAC-1
没有活跃
目标地址http https://tools.cisco.com/its/service/oddce/services/DDCEService
目的地地址电子邮件[email protected]
目标传输方法http
订阅警报组诊断
订阅警报组环境
每月定期订阅警报组清单
每月定期订阅警报组configuration
订阅警报组遥测每日定期
Cryptochecksum:94a65341aa27d3929d5e92a32ba22120
: 结束
这很可能是NAT问题。 你需要在5510上configurationNAT穿越。这样做是这样的:
crypto isakmp nat-traversal 30
如果这样做不起作用,您能否在我们的两台设备上提供show run?
我假设您的工作站位于192.168.1.0/24networking的ASA5505内部接口之后。 您的工作站(IKE / IPSec发起方)正在连接ASA5505的外部接口(Internet)上的远程ASA5510(IKE / IPSec响应程序)。 当你的工作站在内部 – >外部交叉时,它是dynamicPAT'd。
没有看到远程ASA5510configuration和额外的debugging输出,很难确定问题。 相反,我将描述三种可能的方式来使IKE / IPSec跨NAT / PAT边界工作。 下面的每一个都是一个完整的解决scheme。
以下ASAconfiguration条目适用于ASA 8.4。
1.在响应方(ASA5510)上启用IKE NAT穿越(IKE NAT-T),并将Cisco VPN客户端configuration为使用基于UDP / NAT-T的IPSec。 IKE NAT-T不会与STUN等一般的NAT穿越混淆.IKE NAT-T在RFC3947中定义,并且在许多发起者和响应者中都被支持 – 软件和硬件。 IKE NAT-T也被称为IPSec over UDP,并且在响应者上使用UDP / 500和UDP / 4500(通常)。 确保发起者可以连接到UDP / 500和UDP / 4500上的响应者。
crypto isakmp nat-traversal 30 2.在响应程序(ASA5510)上启用TCP上的IPSec并将Cisco VPN客户端configuration为使用TCP上的IPSec。 通过TCP上的IPSec,IKE和IPSec连接和会话仅使用指定的TCP端口。 TCP / 10000是默认值。 确保启动器可以连接到所选TCP端口上的响应者。
crypto ikev1 ipsec-over-tcp 10000
3.为工作站/启动器configuration静态NAT – 不是dynamicPAT或静态PAT – 在启动器端(您的)ASA上启用检查ipsec-pass-through ALG /检查。 根据ASA 8.4(及以下)的文档,ASA的ipsec-pass-through ALG只支持静态NAT(传统NAT)和非NATstream量,而不支持PAT的stream量。
object network hst-192.168.1.100 description WS01 host 192.168.1.100 nat (inside,outside) static 1.2.3.4 class-map default_inspection_class match default-inspection-traffic policy-map example_policy class default_inspection_class inspect ipsec-pass-thru
据我所知,这些是通过NAT获取IPSec的唯一已知方法 – 无论是PAT还是NAT。 看看你的情况与你的ASA,远程ASA,并采取select。
-Weaver
也许你需要允许通过IPSECstream量。
这里是一个configuration示例:
PIX 7.X and up Configuration: interface Ethernet0 nameif outside security-level 0 ip address 10.99.99.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! global (outside) 1 interface nat (inside) 0 0.0.0.0 0.0.0.0 static (inside,outside) 10.99.99.12 10.1.1.2 netmask 255.255.255.255 0 0 access-list acl-out permit esp host 10.99.99.2 host 10.99.99.12 access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq isakmp access-list acl-out permit udp host 10.99.99.2 host 10.99.99.12 eq 4500 access-group acl-out in interface outside