hegl

Bei Lokalen Usern kannst du es auf dem User selbst machen (das zuordnen von Bookmarks) - bei ACS über die Dynamic Access Policies

Jepp, danke. Mit den lokalen Usern funktioniert´s.

Für den ACS baue ich mir erst einmal ein Lab auf - muss ohnehin noch einiges testen.

nach langem hi und her habe ich mir nun einen HP procurve 2524 zugelegt...

..Da mich die config des Ciscos ein "bisschen" abgeschrekt hat.

 

Hat jemand deutche Anleitungen für den HP zur hand oder ein

Tutorial wo man die wichtigsten Einstellungen vornimmt.

Sry, aber was ist das für eine Logik? CISCO schreckt dich ab, aber ein HP ist auch schon ne Nummer zu hoch zum konfigurieren? Mit dem CNA von CISCO wärste in 2 min durch...und wieso eine "halben CISCO --> HP" holen, wenn Du wirklich, wie du sagst für € 120,-, einen CISCO bekommst?

Aber die Anforderung war ja eine LAN-Party mit 40 Usern und da ist es m.E. mehr als egal, ob CISCO, HP, Linksys oder auch Netgear/3Com/ATI aus dem Low-Cost-Bereich

ASDM: Configuration -> RA VPN -> Clientless SSL -> Dynamic Access Policies

 

Da kannste anhand von (User-)Attributen diverse Bookmarks oder FW Regeln etc zuteilen.

ok, schau ich mir mal an - danke.

Ich beschäftige mich gerade mit SSL-VPN auf ´ner ASA5520.

Mein Bestreben ist es, Supportmitarbeitern von externen Firmen, einen RDP-Zugriff auf die Server mit deren Software zu ermöglichen. Grundsätzlich habe ich dies auch lauffähig. Nun hänge ich aber an dem Punkt, dass User1 nicht die gleichen Bookmarks bekommt, wie User2, User3, etc.

Irgendwie sehe ich nicht, wie/wo ich das konfiguriere, ohne für jeden User eine eigene group-policy anzulegen und dort das entsprechende bookmark zu verknüpfen. Geht das nicht irgendwie über den User?

P.S. Zur Zeit arbeite ich (noch) mit einem lokalen User, habe aber auch den ACS zur Verfügung. Der ist aber teilweise ein Buch mit 7 Siegeln :mad:

Hallo,

 

aber trotzdem - solltest du den passenden ASDM zum IOS nehmen - sonst kann es gehen - aber es passieren dann teilweise "sehr" interessante Dinge.

Jo, kann ich vollends bestätigen!

Laut RN gilt für die ASA 7-er Version der ASDM 5.0(x)

Alles andere ist auf "eigene Gefahr"...

Hast du etwas mehr von deiner Config - ist so nicht zu erklären.

Habs zwar hinbekommen, aber warum und weshalb weiß ich immer noch nicht :-(

Was ich getan habe, ist die NAT-Befehle zu löschen und wieder neu einzubinden. Habe mich dazu an einen vorherigen Fehler erinnert http://www.mcseboard.de/cisco-forum-allgemein-38/asa-nat-probleme-138793.html und habe ganz einfach das NAT "reinitialisiert" und schon läufts wieder - sehr merkwürdig :confused::confused::confused:

Da war jemand schneller....

Die ASA bringt mich mal wieder zum Verzweifeln; eine bisher einwandfrei funktionierende Regel macht plötzlich bei einem Rechner Probleme.

Folgende Situation: ich habe vom internen Netz in eine DMZ

access-list outbound permit ip object-group LAN object-group DMZ
access-list 100 permit tcp host ABC host XYZ eq 22
...
global (dmz) 10 a.b.c.d
nat (inside) 10 access-list outbound

konfiguriert.

Nun erhalte ich bei einem host aus dem LAN einen portmap translation error (siehe og. Syslog ID). Alle anderen host aus dem LAN erhalten diesen Fehler nicht; die in der entsprechenden ACL gelisteten host greifen auch auf die destination zu - nur eben einer nicht, da er bereits beim NAT bzw. hier PAT hängen bleibt. Selbst PC´s, die keine Berechtigung in die DMZ haben, aber durch die ACL outbound PAT machen, haben diesen Fehler nicht. Wo setze ich nun an?

Merkwürdigerweise funktioniert der Zugriff für den einen PC dann, wenn ich explizit ein static für den internen host konfiguriere - aber das kanns ja nicht sein.

Mittlerweile bin ich fündig geworden:

Unable to download NAT policy for ACE

static (inside,outside) interface 192.168.1.1 netmask 255.255.255.255

 

somit wird alles was an die outside interface der ASA ankommt, auf die 192.168.1.1 weitergereicht! ich glaube nicht dass es gewünscht ist oder?

 

Ich schlage folgendes vor:

 

static (inside,outside) interface 551 192.168.1.1 551 netmask 255.255.255.255

 

und somit wird nur den gewünschten traffic an den Druckserver weitergeleitet

Da hast Du natürlich vollkommen recht!

access-list 100 permit tcp host 98.70.180.1 interface eq 551
access-group 100 in interface outside
static (inside,outside) interface 192.168.1.1 netmask 255.255.255.255

wobei interface die outside-ip der asa ist. hast du einen pool, kannst du natürlich auch aus diesem eine adresse nehmen.

ups, meine mich erinnern zu können, dass ich gelesen habe, die flash-card würde disk0 erweitern, deshalb ist auch flash aliases to disk0.

auf die einfachste idee, dass die flash card disk1 ist, bin ich dadurch nicht gekommen.

DANKEEEE.

hm, maybe formatieren, müsste von der ASA aus eigentlich klappen

Da wird mir Angst und Bange; bei sh flash bekomme ich ja auch den Inhalt der disk0 angezeigt. Wenn ich jetzt format flash mache....wer weiß was passiert.

Moin, moin,

ich habe meinen ASA´s (5520-er) je eine originale CISCO CompactFlash Card 512 MB spendiert. Leider steht der Speicher aber nicht zur Verfügung. Beim Einstecken geht die LED kurz an und erlischt aber auch kurz danach wieder. Muss ich da noch irgendwas konfigurieren?

seit einigen tagen habe ich eine 5505 aber bekomme das vpn nicht hin.

 

ich bekomme immer die folgende fehlermeldung:

3 Aug 28 2008 14:31:23 713902 Group = information, IP = 81.6.x.x, Removing peer from peer table failed, no match!

 

4 Aug 28 2008 14:31:23 713903 Group = information, IP = 81.6.x.x, Error: Unable to remove PeerTblEntry

 

hier meine config:

Sieht so aus, als wenn der groupname bzw. das pw nicht übereinstimmen.

Hi.

 

Ok, so gehts auch. ;) Wäre aber schon interessant gewesen, die Ursache zu kennen. Vor allem, wenn es eine Windows-Einstellung war.

 

Danke für die Rückmeldung. :cool:

 

Damian

Ich hatte diese Probleme auch.

Da ich aber auch blue screens hatte, habe ich am 18.08. einen Wiederherstellungspunkt gewählt (25.07.) und damit waren beide Probleme weg! (Verantwortlich für die bluesccreens war angeblich der Realtec-Treiber für die Gigabit-Karte).Zusätzlich ist aber auch der Firefox 3.0 wech und nicht wieder installiert worden. Seit dieser Zeit ist Ruhe, obwohl ich die MS-Updates wieder drauf habe.

Ich weiß, klingt nicht logisch, aber ist fakt.

Zur Zeit haben die VPN-Clients uneingeschränkten Internet-Zugriff via split-tunneling. Da mir das aber ein Dorn im Auge ist, würde ich das gerne einschränken und den Internettraffic über unseren Proxy laufen lassen, der in einer DMZ steht.

Nun zu meinem Verständnisproblem: kann/muss ich den Tunnelendpunkt wie bisher auf dem outside-interface (offizielle ip vom isp) lassen oder kann/sollte man den Tunnelendpunkt an der "Proxy-DMZ" (auch offiziele IP´s) enden lassen? Geht das überhaupt?

Wenn ich den Endpunkt am outside-interface beibehalte ist mir schon klar, dass ich die Proxy-IP mit in die VPN-ACL´s aufnehmen muss. Ist dann zusätzlich das command

[b][i]same-security-traffic permit intra-interface[/i][/b]

zu konfigurieren? Der Proxy macht masquerading und somit würde ja eine andere IP am interface rausgehen, als die, die reingekommen ist. Muss dann in der group-policy überhaupt das feature IE BrowserProxy konfiguriert werden?

Hat das so schon jemand gelöst oder hat ein sample?

...Aber auf der Pix - solltest du wenn du davon keinen sitzen hast - auf jedenfall die Grafische Oberfläsche verwenden - den ohne Ahnung scheiter man am CLI sofort.

Ist Geschmackssache; für mich ist der PDM katastrophal. Bei einfachen Regeln wie hier und ein Blick in die samples bei CISCO ist man bei der CLI auf der sicheren Seite, weil man dann weiß und sieht was man macht.

Irgendwie stehe ich gerade total auf dem Schlauch :mad:

Ich habe vom internen Netz eine Regel und NAT zu einem device in einer DMZ, was prächtig funktioniert. Nun möchte ich ein weiteres internes Subnetz für den Zugriff in die DMZ zulassen. Dazu habe ich fürs NAT in die object-group des bereits funktionierenden Netztes das neue Subnetz mit aufgenommen. Dabei erhalte ich jedoch folgenden Fehler:

Unable to download NAT policy for ACE

Eigentlich habe ich gedacht, dass durch Hinzufügen des Subnetzes in die bestehende object-group das NAT dafür mit übernommen wird, aber Pustekuchen, es geht nicht. Wo ist mein Denkfehler?

Und was ist ACE?

Zum besseren Verständnis gerade ein Beispiel dazu:

object-group network XYZ
network-object bestehendes Netz
network-object neues Netz

access-list intern-nat-out extended permit ip object-group XYZ any

Habe es gerade mit einer frischen XP-Installation und Java 1.5.0_16 getestet --> gleiches Problem. Ein Bug?

NEIN! Kein Bug!

Habe gerade in den Release Notes zu 8.0(3) gelesen:

This version supports the following products:

•Cisco ASA 5500 series adaptive security appliance, Version 8.0(3)

•ASDM, Version 6.0(3)

Auf ASDM Version 6.0(3) umgestellt und es funktioniert wieder alles so, wie es sein sollte!!!

Nur, warum CISCO bei dem SW-Download des asdm-611.bin angibt, dass es für ASA 8.0 und 8.1 ist, wissen wohl nur die selbst....

Ich habe seit kurzem folgendes Problem beim ASDM 6.1(1) mit Java Version 1.5.0_13: Suche ich über die Filterfunktion eine object-group, oder filtere ich die ACL´s über z.B. intreface, kann ich nichts hinzufügen; ein ändern oder löschen funktioniert. Wenn ich also die Filterfunktion verwende und möchte etwas hinzufügen, klicke ich z.B. und Add Access Rule auf OK passiert gar nichts, klicke ich nochmals auf den Button geht das Fenster zwar zu, aber die Regel taucht nicht auf. Lösche ich den Filter und schaue dann in den ACL´s nach, steht die Regel an entsprechender Position, habe aber weder die Möglichkeit "apply" zu wählen, noch ist diese wirklich aktiv. Dies bestätigt mir auch das CLI.

Kennt einer das Phänomen?

Meine letzten Änderungen waren die Installation vom IE 7 und Java 1.5.0_13. IE 7 kann ich aufgrund der Firmenvorgabe nicht löschen und die Java-version benötige ich wegen LMS 3.0 (CISCO Works).

Nun habe ich noch folgendes festgestellt: Nach einiger Zeit merkt der ASDM, dass es ein Unterschied zwischen der config auf der ASA und dem ASDM gibt. Sage ich hier "refresh", ist die zuletzt im ASDM eingebene ACL nun auch wieder im ASDM verschwunden. Warte ich aber nicht solange und füge eine weitere ACL über den ASDM ohne Filterfunktion ein, schiebt er beide ACL in die ASA.

Vorab: es funktioniert bei mir *freu* Aber ich hätte noch ein paar Verständnisfragen:

 

crypto dynamic-map dynmap 65535 set pfs 

Was macht diese Zeile?

http://netzikon.net/lexikon/p/pfs-vpn.html

In meinen PIX 501 Konfigs steht für die VPN-Clients immer auch:

 

isakmp identity address
isakmp nat-traversal 30

 

Kann ich die einfach so weglassen?

 

Das habe ich Dir ja gerade in Deinem anderen thread beantwortet ;)

Na toll. Jetzt bin ich an so einer ****** Zeile gescheitert. Vorab: es läuft. Zumindest macht es im Moment den Eindruck. Mal sehen, ob es nach dem nächsten Reload auch noch das tut was ich will.

Kontrolliere dabei auch das nat-traversal. In der 8.0.2 wars noch ein Bug, dass dieses nach einem relaod verloren ging....

Und ich habe auch noch im vorherigen Thread gefragt, warum ich bei meinen Configs in der PIX isakmp identity address und isakmp nat-traversal 30 stehen habe.

Sry, habe ich übersehen...

Jetzt weiß ich zumindest, dass das zweite wichtig ist :-) Macht das erste auch Sinn?

Standardmäßig verwendet der Tunnel FQDN als identy. Also macht es auf jeden Fall Sinn. Bin damit mal bei einer site-to-site auf die Nase gefallen....

Wenn ich es richtig verstehe ist nat-traversal dafür da, dass ich mit IPSec über das NAT hinweg komme.

So genau kann ich Dir das auch nicht erklären, aber bei NAT und VPN gibts Probleme. Also immer schön das nat-traversal konfigurieren...

Zur Info: http://onair.funkwerk-ec.com/brueckenschlag_zwischen_nat_und_ipsec.html

Die Version ist jetzt die richtige.

 

Den Ping sehe ich nur auf der ASA im Debug. Er kommt scheinbar nicht am VPN-Client an, denn dieser empfängt überhaupt keine Pakete. Als es eben einmal kurzzeitig ging, stand im Client Transparent Tunneling: Active on UDP Port anstelle von inactive. Vielleicht bringt uns das ja einen Schritt weiter.

siehe meinen Nachtrag oben zu nat-traversal!

Sorry das ich erst jetzt antworte. Eben ging es für einen Moment. Dann habe ich nach wr mem einen reload gemacht und das Problem ging von vorne los. Ich muss dazu sagen, dass die ASA eine höhere IOS Version eingespielt bekommen hat. Die scheint sie bei dem Reload "verloren" zu haben. Zumindest zeigte mir die ASA wieder 7.x an statt 8.0(3).

Kontrolliere mit

sh run | i boot 

das boot image und korrigiere es gegebenenfalls so

boot system disk0:/asa803-k8.bin

@ Wordo

 

Ja das Gateway ist drin. Ich hab auf der ASA den eingehenden und den ausgehenden Ping gesehen. Ohne Translating oder ähnliches. Daher hatte ich schon das split-tunneling im Visier.

Wenn Du den ein-und ausgehenden Verkehr siehst, sollte doch mit split-tunneling allles ok sein...

Merkwürdig ist, dass mein VPN-Client beim Transparent Tunneling: inactive anzeigt.

Dann hast Du nat-traversal deaktiviert; zum aktivieren:

isakmp nat-traversal 10

@ hegl

Ich meine ich hab gestern die Access-List mehrfach in verschiedensten Richtungen getestet. Es kann doch nur an dem Split liegen, oder nicht?

siehe oben