ASDM error

[hegl]

Bin gerade beim Einrichten einer ASA5505 per ASDM und soweit eigentlich auch fertig (gewesen). Dann habe ich noch SSH-Zugriffe für bestimmte Hosts erlaubt und erhalte plötzlich die Meldung:

ASDM did not get a response from the ASA in the last 60 seconds. Please check the configuration and your connection and then try again by clicking Refresh

Habe dann via CLI die letzten Befehle wieder rausgenommen - leider ohne Erfolg. Auch ein Reboot der ASA bringt mich nicht weiter.

Habe mal auf http den debugger laufen lassen; der letzte Eintrag ist "file not found: disk0/dap.xml"

Kennt jemand das Problem?

[Otaku19]

hm, in dem xml wird nur festgehalten was man in den dynamic access policies einträgt (daher ist man quasi gezwungen dafür den ASDM zu nutzen), das sollte auf den asdm Zugriff an sich keine Auswirkung haben.

FRagen:
SSH Zugriff funktioniert ?
ASDM Zugriff bringt immer obige Meldung ? Verwendest du den Launcher oder versuchst du es via Browser + JAVA Applet ?
OS/ASDM Version ?
Hast du evtl noch SSL VPN konfiguriert und den Port vom ASDM nicht verlegt ?
relvante Configteile ?

[hegl]

Oh man. Die Frage nach SSH war des Rätsels Lösung: aaa auth ssh fehlte.

Aber wieso läuft der ASDM genau bis zu dem Zeitpunkt, wo die erste ACL gesetzt wird? Denn ab hier fängt das Problem dann an; das kann ich so nachstellen. Und, war früher in den V8.2x nicht dieser Befehl schon standardmäßig konfiguriert? Ich weiß es nicht genau, da die letzte Grundkonfiguration schon was her ist und ich die Dinger dann erst immer von V8.x auf die neuste Version gebracht habe (bisher max. V8.2.3)

[hegl]

Das war leider nur ´ne kurze Freude: nachdem es endlich funktionierte habe ich noch ein paar lesende Zugriffe gestatte, wie privilege show level 5 mode exec command nat und plötzlich zickt der ASDM Version 6.4 wieder herum. Also ASA neu gebootet (funktionierende config war noch in startup-config) und...Pech gehabt, ASDM tut´s schon wieder nicht, SSH ja. Heisst also, dass ich den ASDM aufrufen kann und beim abrufen der config kommt o.g. Fehler.
Bis jetzt läuft die ASA ohne VPN-Konfiguration, d.h. nur mit ein paar ACL´s.

Jetzt habe ich auf disk0: noch gesehen, dass hier mehrere Datein FSCK00xx.REC vorhanden sind. Im CISCO-Forum spricht ein CISCO-Mensch von einem "defekten" Dateisystem. Komisch ist allerdings, dass beide neuen ASAs 5505, Version 8.2.5 diese Dateien haben und auch über Google sehe ich, dass ich nicht der Einzige bin.

What the hell is going on???

[blackbox]

Hi,

diese FSCK Dateien hatten die letzten 15 - 20 ASAs die ich in den Fingern hatte - habe ich gelöscht - danach war dann ruhe - keine Ahnung was die da tun.

Das Problem mit dem ASDM habe ich noch nicht gehabt. Kommt die ASDM Webseite ?

[hegl]

Zitat von blackbox Das Problem mit dem ASDM habe ich noch nicht gehabt. Kommt die ASDM Webseite ?

Jepp, ASDM Webseite kommt und der Aufruf scheint erstmal auch zu funktionieren - aber er lädt halt die config nicht.
Werde wahrscheinlich erst heute Nachmittag da weiter machen können...

[hegl]

So, konnte jetzt endlich mal weiter machen.

Nochmals zur momentanen Situation: Grundinstallation mit ein paar ACL´s, Zugriff über Console und ssh, sowie ASDM funktionieren auch. Hier die relevanten Befehle:

aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication enable console LOCAL username abc password abc

Laut ASDM hat dieser User den Level 2

Nun möchte ich für einen weiteren User nur bestimmte Befehle zulassen. Wenn ich nun dazu

aaa authorization command LOCAL

eingebe, läuft der ASDM nicht mehr. Wenn ich den Userlevel dann auf 15 setze, startet zwar der ASDM, aber er lädt die config nicht und ich bekomme die oben als erstes genannte Fehlermeldung (....60 sec....).

Mein Ziel ist also meinen User für ASDM und SSH zu konfigurieren und einen anderen nur für bestimmte Befehle, wie z.B.

privilege show level 5 mode exec command interface

Wer kann helfen bzw. hat eine Beispiel-Config?

[Otaku19]

hm, versuchs mal direkt im ASDM beim Device Maangement -AAA irgendwas, im Demo Mode scheint das nicht so recht zu funktioneiren, ich kann da zumidnest keine befehle einem privilege level zuordnen.

Das ganze solltest du halt bei euser machen der nicht gerade am ASDM angemeldet ist bzw den du gerade selber verwendest

[hegl]

Zitat von Otaku19 Das ganze solltest du halt bei euser machen der nicht gerade am ASDM angemeldet ist bzw den du gerade selber verwendest

Das mache ich natürlich auch aber es funktioniert nicht. Das merkwürdige ist, dass ich eine 5520 mit den gleichen SW-Versionen (ASA & ASDM) in Betrieb habe, bei der das einwandfrei funktioniert.

Selbst ein write erase und Neukonfiguration bringt keine Änderung und das bei drei verschiedenen ASA5505

[hegl]

Es wird immer mysteriöser, aber ich konnte das Problem jetzt auf die Kombination Notebook - neue ASA´s beschränken.

Wen´s interessiert:
- Notebook A mit den neuen ASA´s geht nicht. Notebook A mit produktiven ASA´s geht.
- Rechner B geht mit allen ASA´s,
- Notebook C geht mit allen ASA´s

Nun den ASDM auf Notebook A deinstalliert, NB neu gestartet, ASDM neu installiert und das gleiche in grün.

A ist Win7 32 Bit, B ist Win7 64 Bit und C ist WinXP 32 Bit.