ASA 5505 SSLVPN edition - wer hat sie schon?

[guybrush 19]

hi,

 

hat schon wer die asa 5505 sslvpn edition im einsatz und kann mir konkret sagen, was die alles kann/wo die vorteile und nachteile liegen?

ich überlege gerade, unsere pptp-vpn clients auf sslvpn umzustellen. prinzipiell warte ich noch auf das 10er release der watchguard firmware, die soll das schon recht gut umsetzen, jedoch soll die asa auch recht gut arbeiten (rdp, citrix u.dgl.).

ich hab mir die flash-demo angeschaut, aber so wirklich informiert bin ich noch nicht

 

 

mfg

hannes

[blackbox 10]

Hallo,

 

ich habe die schon im Einsatz - im Prinzip läuft der SSL Client ohne Probleme. Es gibt nur Stress wenn er durch einen Proxy durch soll. Da ist er sehr Hersteller Abhängig.

 

Das ganze über das Portral läuft auch soweit gut - nur auch hier wieder das Problem, wenn der User hinter einem Proxy sitzt (citrix geht mit Proxy definitiv nicht) - und es muss das Java sauber drauf sein - (am besten aktuell)

 

Falls du gezielte fragen hast - sag Bescheid.

[guybrush 19]

sehr cool, dass du dich da so hilfsbereit zeigst...

 

was mich interessieren würde ist:

- wie citrix generell angebunden ist (server/farm angeben und gut is?)

- screenshots der interfaces (admin/client)

- wie läuft das mit dem zugriff auf shares?

- wie läuft das mit "portmapping" ins remotenetz? wenn ich z.b. eine lokale applikation hab, die über port xy auf server xxyy zugreifft?

 

das wäre mal das erste, was mir einfällt dazu...

aber da kommt sicher nochwas ;-)

 

vielen dank schonmal

 

mfg

hannes

[blackbox 10]

Citrix : Du verwendest ja Teile des Citrix Clients und kannst so den Server o. Farm und die veröffentliche APP angeben sowie alle die Parameter die auch der normale WebClient versteht.

 

Config wird alles über den ASDM der ASA - (kannst auch mit CLI machen - aber der ASDM geht da ganz gut) - das Portal kann ich dir mal zeigen, schick mal deine E-Mail Addy über die Forum E-Mail Funktion - oder hast du evtl. ICQ / MSN oder so ?

 

Du gibst die Shares auch nur für die WebOberfläche frei - sprich kannst nicht direkt mappen.

 

Per Java wird der Port von deinem lokalen PC auf den Server umgebogen - z.B. Port 25 auf mailserver.123.de wird für die Zeit der Verbindung auf Port 25 IP 127.0.0.1 umgebogen.

[guybrush 19]

@citrix:

d.h. ich bekomme dynamisch, je nachdem, mit welchem user ich mich anmelde, meine in der farm veröffentlichten apps angezeigt? der javaclient ist schon integriert oder muss der am lokalen system (bzw. der webclient) installiert sein?

 

@shares:

also browse ich einfach per webinterface/java durch die shares? ein simples net use ..... ist demzufolge also nicht möglich?

 

ich hab dir eine pn geschickt, e-mail hast du lt. forum deaktiviert...

 

 

vielen dank schonmal

 

mfg

hannes

[chris_davidi 10]

Meint Ihr mit ASA die Astaro???

[guybrush 19]

nein, mit asa ist der nachfolger der cisco pix gemeint:

Cisco packt Firewall, VPN und Anwendungs-Sicherheit in ein Gerät - Presse & Öffentlichkeit - Cisco Systems

 

obwohl die astaro auch sehr gut is...

[Wordo 11]

Du kannst auch den AnyConnect Client verwenden, der tunnelt sich auch ueber HTTPS und funzt aehnlich wie PPTP, nur halt ordentlich verschluesselt. Ich find die Konfiguation ueber ASDM (insbesondere WebVPN) etwas unstrukturiert. Wenn man die Sprachdateien selbst editiert weiss man auch nie wo und was .. oder am besten noch selbst anlegen, noch schlimmer.

 

Zur Zeit hab ich paar Probleme dass das System nach 3-4 Wochen Betrieb sich bei der DH Key Generation aufhaengt und ich weder SSH, ASDM oder WebVPN machen kann (halt alles was SSL benoetigt). Vll. wirds ja mit 8.1 besser :)

[blackbox 10]

@Wordo

 

das Problem mit dem DH Key kann ich nicht bestätigen - läuft hier soweit super - ich finde es nur Schade das sie das ganze mit den Verbindungen durch die Proxy´s nicht auf die Reihe bekommen.

[guybrush 19]

@Wordo

 

das Problem mit dem DH Key kann ich nicht bestätigen - läuft hier soweit super - ich finde es nur Schade das sie das ganze mit den Verbindungen durch die Proxy´s nicht auf die Reihe bekommen.

 

 

ist das ein bestätigtes problem oder ein ab und an mal aufkommender "einzelfall"?

falls bestätigt - gibt die roadmap schon was her?

[Wordo 11]

@Wordo

 

das Problem mit dem DH Key kann ich nicht bestätigen - läuft hier soweit super - ich finde es nur Schade das sie das ganze mit den Verbindungen durch die Proxy´s nicht auf die Reihe bekommen.

 

Hast du 8.0.2 oder 8.0.3 im Einsatz?

[blackbox 10]

Hi,

 

sowohl 8.02 als auch 8.03 - wenn man einen Squid hat - hat man kein Prob (ausser bei den ICA Sessions - da gibt es von mir auch ein BugID bei Cisco mit No Workaround) - aber zum Beispiel Astaro oder MS-ISA will als Proxy - keine Chance.

[Wordo 11]

Ich wart mal bis es wieder auftritt und poste den genauen debug. Hab den dummerweise nicht gespeichert nachdem ich auf cisco.com nix gefunden hab :rolleyes:

[Wordo 11]

Hm ... also grad eben ruft einer an er kann ueber die ASA kein OWA mehr machen. Logg ich mich ein, kein Problem. Klick auf OWA, dann kommt "Server steht nicht zu Verfuegung". Test ich OWA ohne ASA .. kein Problem. Logg mich noch mal ein, unendlich langsam. Log mich ueber SSH ein, mach debug auf webvpn komplett (255) sowie crypto engine und http auf 255.

Nix zu sehen. Will ich ASDM oeffnen, bekomm sofort n Reset. Steuere ich WebVPN direkt ueber 443 an, Reset, mach ichs ueber die Umleitung mit Port 80 gehts. Versuch ich nochmal ASDM, er loggt sich halb ein, mittendrin Abbruch. Alles was geht war ne SSH Session. Ping perfekt. CPU 1%

 

Hab die Kiste wieder durchgebootet. Jemand ne Idee? Speicher?