Error ssh version 2 requires a encryption 3des aes activation key - Исправление ошибок и поиск оптимальных решений проблем

На днях удалось посмотреть на межсетевой экран (МЭ) от Cisco — ASA 5525-X. С подробными характеристиками данного устройства можно ознакомиться на сайте производителя.

Модель, которая была у меня в руках: ASA5525-K8. В связи с особенностями российского законодательства без проблем и дополнительных разрешений мы можем ввозить только K8 версии железок, что означает отсутствие возможности шифровать трафик стойкими криптографическими алгоритмами (AES/3DES). Поэтому наша ASA может работать только с DES (из описания модели):

Cisco ASA 5525-X Firewall Edition; includes firewall services, 750 IPsec VPN peers, 2 SSL VPN peers, 8 copper Gigabit Ethernet data ports, 1 copper Gigabit Ethernet management port, 1 AC power supply, Active/Active High Availability, 2 security contexts, DES license

Перед началом полноценной эксплуатации решили сделать базовую настройку МЭ, которая включала в себя в том числе и настройку удаленного доступа. Посмотрим, как отсутствие стойкого шифрования может повлиять на настройку удаленного доступа.

Для начала подробнее о версии ПО:
ciscoasa# sh ver

Cisco Adaptive Security Appliance Software Version 8.6(1)2
Device Manager Version 6.6(1)

Compiled on Fri 01-Jun-12 02:16 by builders
System image file is «disk0:/asa861-2-smp-k8.bin»
Config file at boot was «startup-config»

Licensed features for this platform:
————-
VPN-3DES-AES : Disabled perpetual
————-
Лицензия на стойкое шифрование отсутствует.

Настройка удаленного доступа к устройству

Управлять устройством можно с помощью известных способов: Telnet, SSH, ASDM (web и standalone). Рассмотрим настройку каждого из них по порядку.

Telnet

Перед включением telnet-доступа выполним настройку интерфейса управления (management interface):

ciscoasa(config)# int management 0/0
ciscoasa(config-if)# nameif Mgmt
INFO: Security level for «Mgmt» set to 0 by default.
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.0.0.2 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
ciscoasa(config)# exit
ciscoasa# write memory

Создадим пароль на вход в EXEC-режим:

ciscoasa(config)# enable password cisco

Теперь приступаем непосредственно к настройке telnet’a. Для этого будем следовать официальному руководству от Cisco (manual). Во всех настройках ниже будем предполагать, что доступ к устройству будет возможен только с одного IP — машина администратора (в нашем примере это 10.0.0.1).

ciscoasa(config)# telnet ?

configure mode commands/options:
Hostname or A.B.C.D The IP address of the host and/or network authorized to
                       login to the system
X:X:X:X::X/<0-128>   IPv6 address/prefix authorized to login to the system
timeout              Configure telnet idle timeout

Видно, что можно настроить доступ с определенного IP или имени хоста.

ciscoasa(config)# telnet 10.0.0.1 ?

configure mode commands/options:
A.B.C.D The IP netmask to apply to the IP address

ciscoasa(config)# telnet 10.0.0.1 255.255.255.255 ?

configure mode commands/options:
Current available interface(s):
Mgmt Name of interface Management0/0

ciscoasa(config)# telnet 10.0.0.1 255.255.255.255 Mgmt
ciscoasa(config)# exit

В качестве дополнительной опции можно настроить timeout — максимальное время простоя сессии без разрыва. Значение колеблется от 1 до 1440 минут. Значение по умолчанию — 5 минут.

ciscoasa(config)# telnet timeout 10

После этого мы можем работать с telnet, используя для подключения putty или иной софт. Стоит отметить, что паролем для telnet-сессии будет пароль от EXEC-режима:

enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted

Для смены пароля telnet можно воспользоваться командой:

ciscoasa(config)# passwd 1234567890

Правильнее будет создать пользователя с определенными привилегиями, и проводить авторизацию на устройстве с использованием логина и пароля (для telnet в том числе):

ciscoasa(config)# username mangmt password cisco privilege 15
ciscoasa(config)#aaa authentication telnet consol LOCAL

SSH

Настройка SSH доступа осуществляется достаточно просто и практически аналогична настройке SSH на любом другом устройстве Cisco.

ciscoasa(config)# crypto key generate rsa ?

configure mode commands/options:
  general-keys  Generate a general purpose RSA key pair for signing and
                encryption
  label         Provide a label
  modulus       Provide number of modulus bits on the command line
  noconfirm     Specify this keyword to suppress all interactive prompting.
  usage-keys    Generate seperate RSA key pairs for signing and encryption
  <cr>
ciscoasa(config)# crypto key generate rsa modulus ?

configure mode commands/options:
  1024  1024 bits
  2048  2048 bits
  512   512 bits
  768   768 bits
ciscoasa(config)# crypto key generate rsa modulus 1024
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

Do you really want to replace them? [yes/no]: y
Keypair generation process begin. Please wait...
ciscoasa(config)# exit
ciscoasa# write memory
Building configuration...
Cryptochecksum: 871a1681 0c4a151f 99078492 5b651c58

2583 bytes copied in 0.630 secs
[OK]
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# username mangmt password cisco privilege 15

Разрешаем доступ по SSH с определенного IP-адреса:

ciscoasa(config)# ssh ?

configure mode commands/options:
  Hostname or A.B.C.D  The IP address of the host and/or network authorized to
                       login to the system
  X:X:X:X::X/<0-128>   IPv6 address/prefix authorized to login to the system
  scopy                Secure Copy mode
  timeout              Configure ssh idle timeout
  version              Specify protocol version to be supported

exec mode commands/options:
  disconnect  Specify SSH session id to be disconnected after this keyword

ciscoasa(config)# ssh 10.0.0.1 255.255.255.255 Mgmt

Первые ограничения из-за K8 - невозможно разрешить подключение только по SSH версии 2


ciscoasa(config)# ssh version ?

configure mode commands/options:
  <1-2>  Protocol version
ciscoasa(config)# ssh version 2
ERROR: SSH version 2 requires a VPN-3DES-AES activation key.

Проверяем настройки SSH:

ciscoasa# show ssh

Timeout: 5 minutes

Version allowed: 1 and 2

10.0.0.1 255.255.255.255 Mgmt

Настройка HTTPS доступа для ASDM

Переходим к самому интересному. Для управления ASA5525X мы можем воспользоваться графической оболочкой — ASDM. Подключаемся по Web (https) к интерфейсу, запускаем ASDM, и работаем. Все достаточно просто.

Для начала разрешим доступ по https к нашей ASA:

ciscoasa(config)#http server enable

ciscoasa(config)#http 10.0.0.1 255.255.255.0 Mgmt

ciscoasa# sh run http
http server enable

http 10.0.0.0 255.255.255.0 Mgmt

Для работы HTTPS настроим SSL. Посмотрим, какие опции доступны:

ciscoasa(config)# ssl ?

configure mode commands/options:
certificate-authentication Enable client certificate authentication
client-version              The SSL/TLS protocol version to use when acting
                              as a client
encryption                  This is the encryption method(s) used with ssl.
                              The ordering of the algorithms specifies the
                              preference.
server-version              The SSL/TLS protocol version to use when acting
                              as a server
trust-point                 Configure the ssl certificate trustpoint
ciscoasa(config)# ssl server-version ?

configure mode commands/options:
any         Enter this keyword to accept SSLv2 ClientHellos and either SSLv3
              or TLSv1 will be negotiated
sslv3       Enter this keyword to accept SSLv2 ClientHellos and negotiate
              SSLv3
sslv3-only Enter this keyword to accept ClientHellos only from a client
              using SSLV3
tlsv1       Enter this keyword to accept SSLv2 ClientHellos and negotiate
              TLSv1
tlsv1-only Enter this keyword to accept ClientHellos only from a client
              using TLSV1
ciscoasa(config)# ssl encryption ?

configure mode commands/options:
3des-sha1    Indicate use of 3des-sha1 for ssl encryption
aes128-sha1 Indicate use of aes128-sha1 for ssl encryption
aes256-sha1 Indicate use of aes256-sha1 for ssl encryption
des-sha1     Indicate use of des-sha1 for ssl encryption
null-sha1    Indicate use of null-sha1 for ssl encryption (NOTE: Data is NOT
               encrypted if this cipher is chosen)
rc4-md5      Indicate use of rc4-md5 for ssl encryption
rc4-sha1     Indicate use of rc4-sha1 for ssl encryption

Итак, доступны различные версии SSL/TLS, а так же различные версии шифрования, которые мы можем использовать при подключении к нашему устройству. Попробуем настроить шифрование:

ciscoasa(config)# ssl encryption null-sha1 des-sha1 aes128-sha1
The 3DES/AES algorithms require a VPN-3DES-AES activation key.

Как видно, отсутствие лицензий не дает нам включить стойкое шифрование. Поэтому можем пользоваться только DES.

ciscoasa(config)# ssl encryption des-sha1 null-sha1
ciscoasa(config)# exit
ciscoasa# sh ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: des-sha1 null-sha1
Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1
No SSL trust-points configured
Certificate authentication is not enabled

После этого мы можем вводить в строке браузера (Internet Explorer) https://10.0.0.2 и видеть…. что ничего не работает. Не работает оно по следующим причинам: если у нас WinXP, то скорее всего в браузере просто отключена возможность использования SSLv2 и TLSv1. Достаточно зайти в «Свойства обозревателя», и во вкладке «Дополнительно» указать нужные галочки:

Ситуация с Windows Vista и Windows 7 немного сложнее. Дело в том, что производитель отказался от использования нестойких алгоритмов шифрования в новой системе. Поэтому DES не поддерживается по умолчанию. Тем не менее заставить работать ASDM можно.

Для начала включаем в Windows поддержку DES:

1. Пуск-в строке поиска набираем gpedit.msc

2. В открывшемся окне заходим в меню Конфигурация компьютера — Административные шаблоны — Сеть — Параметры настройки SSL.

3. Заходим в «Порядок комплектов шифров SSL», в открывшемся окне нажимаем «Включить», и в поле «Параметры:» вставляем следующую строку:

TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA

4. После этого нажимаем «Применить» и «ОК» и перезагружаем компьютер (последнее действие выполнять не обязательно, но у меня без перезагрузки не работало).

Не пользуясь оснасткой gpedit аналогичное действие можно сделать путем добавления в реест следующего строкового параметра:
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftCryptographyConfigurationSSL0010002]
«Functions»=»TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,SSL_CK_RC4_128_WITH_MD5,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_MD5,TLS_RSA_WITH_NULL_SHA»

После необходимо настроить Java. Во-первых, если на машине установлено несколько версий, то необходимо включить работу только с одной — 6й. Во-вторых, в Java необходимо разрешить работу с SSLv2.
1. Пуск-Панель управления- Программы-Java. Открываем панель упраления Java, во вкладке Java нажимаем на кнопку View, и выбираем установкой галочек нужную нам версию Java.

2. Во вкладке Advanced выбираем поддержку SSLv2.

3. Не забываем в браузере разрешить SSLv2 и TLSv1!

Теперь попытаемся запустить ASDM через Web. Заходим в браузер и в строке адреса вбиваем https://10.0.0.2

Если мы получаем такую же страницу, как на рисунке, значит все в порядке. Нажимаем «Продолжить открытие…» и получаем стартовую страницу ASA:

Можем загрузить клиента ASDM и установить на локальной машине, а можно нажать Run ASDM и запустить его без установки какого-либо софта. В случае, если мы сделаем так, то увидим окно-приглашение ко вводу логина и пароля.

Введя логин и пароль получаем то, ради чего вообще были все эти пляски с бубном:

Источник

Решил написать небольшую заметку о том, как активировать функцию 3DES-AES на Cisco ASA. У нас имеется межсетевой экран Cisco ASA 5512-X с прошивкой k8 и лицензией base. Отличие k8 и k9 я описывал ранее. По умолчанию функция 3DES-AES отключена. Активируем ее бесплатной лицензией, которую запросим на официальном сайте cisco (для этого надо быть зарегистрированным пользователем).

Выбираем Get New — > IPS, Crypto and Other Licenses

Затем Security Products -> Cisco ASA 3DES/AES License

Вводим серийный номер нашего устройства

Указываем почтовый адрес для получения лицензии, ставим галочку согласия

Получаем подтверждение что лицензию выслали и ожидаем письмо.

В письме приходит ключ активации и инструкция по активации.

«Step 1. From the command line interface (CLI), enter configuration mode using the «conf t» command.
Step 2. Type the «activation-key» command, and then, when prompted, enter the new activation key listed above.»

Т.е. заходим в режим глобальной конфигурации conf t
activation-key ключ_активации

Смотрим show ver:

Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 50 perpetual
Inside Hosts : Unlimited perpetual
Failover : Disabled perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 0 perpetual
GTP/GPRS : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions : 2 perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Disabled perpetual

Иногда возникает проблема с подключением по web интерфейсу. Ее решение описано здесь.

Источник

2 / 2 / 2

Регистрация: 03.08.2012

Сообщений: 83

07.06.2013, 11:44. Показов 15136. Ответов 10

Есть две CISCO ASA 5505, отличаются только версией ПО (ASA Version 7.2(4) и ASA Version 8.3(1)) ну и версией ASDM .
к ASA Version 7.2(4) подключаюсь по https://ip/ — всё замечательно! Как только ввожу ip другой циски (ASA Version 8.3(1)) ничего не выходит!!!! И конфигурации сравнивал и т.д., но всё безуспешно.
Есть у кого мыслишки, почему?
Подскажите кточемможет!
в спойлере результат команды SH RUN:

Кликните здесь для просмотра всего текста

asuTPlvs# sh run
: Saved
:
ASA Version 8.3(1)
!
hostname asuTPlvs
domain-name fk.ru
enable password *********** encrypted
passwd *********** encrypted
names
!
interface Vlan1
nameif OUTside
security-level 50
ip address 192.168.204.200 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif INside
security-level 100
ip address 192.168.245.100 255.255.255.0
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
ftp mode passive
clock timezone MAWT 6
dns domain-lookup OUTside
dns domain-lookup INside
dns server-group DNS1
name-server ***********
domain-name fk.ru
dns server-group DNS2
name-server ***********
domain-name fk.ru
dns server-group DefaultDNS
domain-name fk.ru
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object ip
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group icmp-type DM_INLINE_ICMP_2
icmp-object echo
icmp-object echo-reply
object-group network DM_INLINE_NETWORK_1

object-group network DM_INLINE_NETWORK_2

object-group service DM_INLINE_TCP_1 tcp
port-object eq 2404
port-object eq www
port-object eq ssh
object-group service DM_INLINE_TCP_2 tcp
port-object eq 8188
port-object eq ftp

object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo
icmp-object echo-reply
object-group network DM_INLINE_NETWORK_4

logging enable
logging asdm informational
mtu OUTside 1500
mtu INside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-631.bin
asdm history enable
arp timeout 14400
!
object network obj_any
nat (OUTside,INside) dynamic interface
access-group OUTside_access_in in interface OUTside
access-group INside_access_in in interface INside
route OUTside 0.0.0.0 0.0.0.0 tec3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa authentication secure-http-client
http server enable
http 192.168.204.0 255.255.255.0 OUTside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.204.0 255.255.255.0 OUTside
ssh 192.168.204.0 255.255.255.0 INside
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server TimeMachine1 source INside prefer
ntp server *********** source INside
webvpn
username admin password *********** encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:***********
: end

и ещё, вдруг это имеет значение:
при подключении через PUTTY появляется окно:

Миниатюры

__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь

5870 / 3333 / 1028

Регистрация: 03.11.2009

Сообщений: 9,957

07.06.2013, 12:37

Ну, судя по конфигу, кто-то да подключался к ней asdm-ом. Когда перестало работать, после чего?
Заходите из сети 192.168.204.0?

попробуйте выполнить:

Код

no ssl encryption des-sha1
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

2 / 2 / 2

Регистрация: 03.08.2012

Сообщений: 83

10.06.2013, 07:29

[ТС]

Ну, судя по конфигу, кто-то да подключался к ней asdm-ом

Да, когда то (с годик назад) я подключался к cisco asdm-ом, но с помощью программы Cisco ASDM Launcher (не через https).Стояла у меня тогда операционная система XP, а сейчас W7 (64). Все попытки подключится к обоим моим CISCO ASA 5505 с помощью программы Cisco ASDM Launcher (не через https) были безуспешными.

Когда перестало работать, после чего

Затрудняюсь ответить…
Много чего в конфиге поменял, чтобы зайти по https, после перехода на W7(64).

Заходите из сети 192.168.204.0?

Да, на обе cisco захожу из сети 192.168.204.0, вот тока на одну успешно, а на вторую нет!

Выполнил рекомендованный вами код, ничего не изменилось:
asdm-а по https нет,
при подключении через PUTTY окно с предупреждением не пропало.

С нетерпением жду дальнейших рекомендаций

Кстати, что сказало о том что «кто-то да подключался к ней asdm-ом»?

5870 / 3333 / 1028

Регистрация: 03.11.2009

Сообщений: 9,957

10.06.2013, 08:58

дайте вывод show run, пожалуйста, а также вывод show ssl
и попробуйте сделать в консоли ssh version 2 — исчезнет ли сообщение после этого?

PS:
конструкции типа «DM_INLINE_PROTOCOL_3» — стандартные.

2 / 2 / 2

Регистрация: 03.08.2012

Сообщений: 83

11.06.2013, 09:52

[ТС]

результат show run

Кликните здесь для просмотра всего текста

lvs# show run
: Saved
:
ASA Version 8.3(1)
!
hostname asuTPlvs
domain-name fk.ru
enable password ************ encrypted
passwd ************encrypted
names
name ************ sun description Domain FEC
!
interface Vlan1
nameif OUTside
security-level 50
ip address 192.168.204.200 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif INside
security-level 100
ip address 192.168.245.100 255.255.255.0
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
ftp mode passive
clock timezone MAWT 6
dns domain-lookup OUTside
dns domain-lookup INside
dns server-group DNS1
name-server 10.111.0.1
domain-name fk.ru
dns server-group DNS2
name-server 10.111.0.2
domain-name fk.ru
dns server-group DefaultDNS
domain-name gk.ru
same-security-traffic permit inter-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object ip
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group icmp-type DM_INLINE_ICMP_2
icmp-object echo
icmp-object echo-reply
object-group network fk_Dk
description for connect to Dk
network-object host ************
network-object host ************
object-group network DM_INLINE_NETWORK_1
group-object fk_Dk
network-object host as04
object-group network DM_INLINE_NETWORK_2
network-object host SD
network-object host Server
object-group service DM_INLINE_TCP_1 tcp
port-object eq 2404
port-object eq www
port-object eq ssh
object-group service DM_INLINE_TCP_2 tcp
port-object eq 8188
port-object eq ftp
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo
icmp-object echo-reply
object-group network DM_INLINE_NETWORK_4
network-object host web
network-object utp1
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object tcp
object-group network DM_INLINE_NETWORK_3
network-object host BD
network-object host SD
DM_INLINE_ICMP_1 log disable
access-list OUTside_access_in remark for man
access-list OUTside_access_in remark for WT
access-list OUTside_access_in remark client->manSD
access-list ADMIN extended permit ip 192.168.204.0 255.255.255.0 any
pager lines 24
logging enable
logging asdm informational
mtu OUTside 1500
mtu INside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-631.bin
asdm history enable
arp timeout 14400
!
object network obj_any
nat (OUTside,INside) dynamic interface
access-group OUTside_access_in in interface OUTside
access-group INside_access_in in interface INside
route OUTside 0.0.0.0 0.0.0.0 t 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa authentication secure-http-client
http server enable
http 192.168.204.0 255.255.255.0 OUTside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.204.0 255.255.255.0 OUTside
ssh 192.168.204.0 255.255.255.0 INside
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server TimeMachine1 source INside prefer
ntp server 10.111.0.111 source INside
webvpn
username admin password ************ encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum: ************
: end

результат show ssl

Кликните здесь для просмотра всего текста

asuTPlvs# show ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: des-sha1
Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1
No SSL trust-points configured
Certificate authentication is not enabled

результат ssh version 2

Кликните здесь для просмотра всего текста

asuTPlvs(config)# ssh version 2
ERROR: SSH version 2 requires a VPN-3DES-AES activation key.

в putty сообщение не исчезло

5870 / 3333 / 1028

Регистрация: 03.11.2009

Сообщений: 9,957

11.06.2013, 11:07

ой, прошу прощения — show version нужно еще — там мы и увидим проблему.
Если вкратце — проблема скорее всего в этом

2 / 2 / 2

Регистрация: 03.08.2012

Сообщений: 83

11.06.2013, 11:17

[ТС]

Выполнив инструкцию Важно: Лицензия для Cisco ASA: c K8 на K9 всё пошло!!!!
и Putyy замолчал!)
Теперь прокомментируйте пожалуйста, что я сделал выполнив эту инструкцию?
лицензировал? или обновил? почему не работало?

5870 / 3333 / 1028

Регистрация: 03.11.2009

Сообщений: 9,957

11.06.2013, 11:45

Вы обновили лизенизию k8 до k9, где разрешены протоколы шифрования выше des.

2 / 2 / 2

Регистрация: 03.08.2012

Сообщений: 83

13.06.2013, 08:34

[ТС]

Вы обновили лизенизию k8 до k9, где разрешены протоколы шифрования выше des.

А почему в show flash: пишет asa831-k8.bin?

Кликните здесь для просмотра всего текста

asuTPlvs(config)# show flash:
—#— —length— ——date/time—— path
117 15943680 Feb 05 2011 22:02:52 asa831-k8.bin
14 2048 Feb 05 2011 22:03:02 coredumpinfo
15 43 Feb 05 2011 22:03:02 coredumpinfo/coredump.cfg
118 14240396 Feb 05 2011 22:03:50 asdm-631.bin
3 2048 Feb 05 2011 22:04:58 log
6 2048 Feb 05 2011 22:05:12 crypto_archive
119 196 Feb 05 2011 22:05:14 upgrade_startup_errors_201102051605.log
121 2048 Jan 01 1980 06:00:00 FSCK0000.REC
122 4096 Jan 01 1980 06:00:00 FSCK0001.REC
123 4096 Jan 01 1980 06:00:00 FSCK0002.REC
124 4096 Jan 01 1980 06:00:00 FSCK0003.REC
125 4096 Jan 01 1980 06:00:00 FSCK0004.REC
126 6144 Jan 01 1980 06:00:00 FSCK0005.REC
127 6144 Jan 01 1980 06:00:00 FSCK0006.REC
128 6144 Jan 01 1980 06:00:00 FSCK0007.REC
129 22528 Jan 01 1980 06:00:00 FSCK0008.REC
130 38912 Jan 01 1980 06:00:00 FSCK0009.REC
131 34816 Jan 01 1980 06:00:00 FSCK0010.REC
132 43008 Jan 01 1980 06:00:00 FSCK0011.REC
133 2048 Jan 01 1980 06:00:00 FSCK0012.REC
134 26624 Jan 01 1980 06:00:00 FSCK0013.REC
135 2048 Jan 01 1980 06:00:00 FSCK0014.REC
136 26624 Jan 01 1980 06:00:00 FSCK0015.REC
137 2048 Jan 01 1980 06:00:00 FSCK0016.REC

127135744 bytes total (96438272 bytes free)

p.s. поскажите, где можно взять обновления для asdm?

5870 / 3333 / 1028

Регистрация: 03.11.2009

Сообщений: 9,957

13.06.2013, 09:10

Сообщение от nafisakoff

А почему в show flash: пишет asa831-k8.bin?

потому что это образ — k8 — именно поэтому и была изначально выключена лицензия, которую Вы потом включили.

Сообщение от nafisakoff

p.s. поскажите, где можно взять обновления для asdm?

на официальном сайте (нужна регистрация и, возможно, сервисный контракт) или на торрентах

239 / 234 / 8

Регистрация: 05.05.2011

Сообщений: 1,553

13.06.2013, 22:05

Еще можно в настройках Java разрешить использовать слабое шифрование и тогда подключится. Сделать такое можно только в Java версии 6 и ниже) В 7й версии не нашел)

Добавлено через 1 минуту
(Включить SSLv2 вроде.. не очень помню)

IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604	13.06.2013, 22:05
11

Источник

Автор Сообщение

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Начальная настройка Cisco ASA 5505 ASDM

На работе пришлось столкнуться с аппаратурой Cisco, но что-то пошло сразу не так. Сразу говорю, что до этого мне приходилось настраивать устройства только домашнего класса, ну или может, устройства для малого бизнеса. Или делал всё программно на Ubuntu Server. Cisco ASA 5505 — у меня впервые.
Задача — настроить прозрачный VPN между двумя офисами (у всех «белые» IP) и добавить возможность подключения пользователей к серверу из дома. Выбор руководства пал на Cisco ASA 5505 с соответствующими лицензиями. Мне же теперь нужно это всё настроить и подключить.
Открыл коробку, достал межсетевой экран, кабели, инструкцию. Подключил, как написано в инструкции — WAN провод в Eth0, LAN — в компьютер. Cisco выдала мне IP и, собственно, на этом дело и закончилось, ибо ни какой страницы https://192.168.1.1/admin я открыть не смог.
Полез читать статьи и форумы. Оказалось, что оф. инструкция — бред, а аппаратура так себя ведет не только у меня. Стало спокойнее. Копаю дальше.
Следующим шагом была покупка USB-COM переходника и подключение железяки через Console.
Попробую воспроизвести конфиг, что я делал (в итоге всё равно ничего не получилось):
Интерфейсы и IP-ы уже были настроены по умолчанию — меня это устроило.
Vlan1 — inside, 192.168.1.1/24
Vlan2 — outside, DHCP

Eth0 — Vlan2;
Eth1-7 — Vlan1;

Далее я попытался включить ASDM:
Делал я это так:
# http server enable
# http 192.168.1.0 255.255.255.0 inside

Подключил LAN кабель к компьютеру, но https://192.168.1.1/admin опять не доступен. Ладно, копаю дальше.
Указал образ ASDM:

# asdm image asdm-632.bin
Делаю # wr
….
Но админка по прежнему не работает. Короче, чего я с ней только не делал — не получилось. Стал думать уже, что она не работает, как должна. Взял вторую такую-же. Сделал подобное. Итог — нуль. Ну не могут же обе быть плохими?
В общем прошу помочь новичку. Для полноты картины публикую полный run. Спасибо.

Код:

: Saved
:
ASA Version 8.3(2)
!
hostname ciscoasa
enable password XXXXXX encrypted
passwd XXXXXXX encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-632.bin
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
!
prompt hostname context
Cryptochecksum:XXXXXXX
: end

25 дек 2014, 00:14

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

А какую ошибку вам браузер отдаёт?
Судя по конфигу, точно надо добавить команду

Код:

ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 dhe-aes128-sha1 dhe-aes256-sha1 null-sha1 rc4-md5 rc4-sha1

и посмотрите вывод команды

там должна быть строка

Код:

Encryption-3DES-AES : Enabled perpetual

25 дек 2014, 09:28

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

И добавьте пользователя, под которым будете логиниться.

25 дек 2014, 09:31

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

netten, спасибо за внимание к моему вопросу!
Итак, если выполнить код в таком виде (без «dhe-aes128-sha1 dhe-aes256-sha1» — она такого не знает):

Код:

ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1 null-sha1 rc4-md5 rc4-sha1

то циска напишет:

Код:

The 3DES/AES algorithms require a VPN-3DES-AES activation key.

Кстати, лицензия, как я понял активна, я её лично ставил (хотя, может тоже не правильно?):

Код:

# show version
…
…
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
…
…
This platform has an ASA 5505 Security Plus license.

Serial Number: XXXXXXX
Running Permanent Activation Key: XXXXX XXXX XXX XXXX XXXXX
…

Да, строки «Encryption-3DES-AES : Enabled perpetual» там нет.

25 дек 2014, 15:36

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке:

https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPage

там Get Other Licenses—>IPS, crypto,other—>security products—>Cisco ASA 3DES/AES license
и потом активировать её на ASA с помощью команды activation-key.
И затем ещё раз ввести вводите все возможные виды шифрования, доступные в вашем ПО:
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

25 дек 2014, 15:51

Nikolay_

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877

Re: Начальная настройка Cisco ASA 5505 ASDM

netten писал(а):

Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке:

https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPage

Да, только это не будет ASA 5505 Security Plus license, как сейчас.
Только Base license.

25 дек 2014, 15:54

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

Nikolay_ писал(а):

netten писал(а):

Если на ASA нет 3DES/AES лицензии, вы можете получить её бесплатно по ссылке:

https://tools.cisco.com/SWIFT/LicensingUI/ipsCryptoPage

Да, только это не будет ASA 5505 Security Plus license, как сейчас.
Только Base license.

Хм… Но это же не правильно. И, кстати, а легально ли это на территории России (стойкий 3des)? Неужели нельзя поднять WEB интерфейс без шифрования трафика?

25 дек 2014, 15:59

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

Браузер будет отдавать ошибку.

25 дек 2014, 16:03

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

netten писал(а):

Браузер будет отдавать ошибку.

Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты.

25 дек 2014, 16:13

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

Вы обращаетесь

https://192.168.1.1

В консоли команда sh logging asdm | inc 443 покажет, кто стучался на порт 443 и что после этого было.

25 дек 2014, 16:21

Nikolay_

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877

Re: Начальная настройка Cisco ASA 5505 ASDM

poshlipismo писал(а):

netten писал(а):

Браузер будет отдавать ошибку.

Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты.

Не верю.
Какая ОС на машине, с которой подключаетесь? Какой браузер?
На самой рабочей станции никаких файерволов, препятствующих этому трафику нет?

Дайте с рабочей станции telnet 192.168.1.1 443 — что покажет?

25 дек 2014, 16:28

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

Nikolay_ писал(а):

Да, только это не будет ASA 5505 Security Plus license, как сейчас.
Только Base license.

Не исключено. На 5515 всё прошло без проблем. Как была ASA 5515 Security Plus license, так и осталась.

25 дек 2014, 16:31

Nikolay_

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877

Re: Начальная настройка Cisco ASA 5505 ASDM

Не вводите в заблуждение.
На 5515-Х нет Security Plus вообще.
Разделение Base и Security Plus существует на 5505, 5510, 5512-Х.

http://www.cisco.com/c/en/us/td/docs/se … cense.html

25 дек 2014, 16:55

netten

Зарегистрирован: 31 мар 2014, 09:49
Сообщения: 265

Re: Начальная настройка Cisco ASA 5505 ASDM

Не собирался никого вводить в заблуждение, возможно неверно интерпретировал.

Код:

Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
IPS Module : Enabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Спасибо, что указали на документ.

25 дек 2014, 17:40

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

netten писал(а):

Вы обращаетесь

https://192.168.1.1

В консоли команда sh logging asdm | inc 443 покажет, кто стучался на порт 443 и что после этого было.

Пустоту команда выдаёт.

25 дек 2014, 23:33

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

Nikolay_ писал(а):

poshlipismo писал(а):

netten писал(а):

Браузер будет отдавать ошибку.

Да выдавал бы он хоть что нибудь! А то ничего же нет! Порты все глухо закрыты.

Дайте с рабочей станции telnet 192.168.1.1 443 — что покажет?

ОС — Windows 7, Ubuntu Linux. Браузеры — Firefox, IE, Yandex. Фаерволл остановлен, подключение прямое.

Telnet — «Подключение к 192.168.1.1……..» И тишина.

25 дек 2014, 23:40

Nikolay_

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877

Re: Начальная настройка Cisco ASA 5505 ASDM

Вы адрес 192.168.1.1 пинговать можете?

26 дек 2014, 10:33

real1st

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1316

Re: Начальная настройка Cisco ASA 5505 ASDM

Начните вот с чего:
— какой IP адрес у Вас на компьютере?
— есть ли пинг до 192.168.1.1?
— дайте с АСА-ки вывод show int ip brief, show nameif

26 дек 2014, 11:12

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

Nikolay_ писал(а):

Вы адрес 192.168.1.1 пинговать можете?

Да, могу. IP мне выдаёт, 192.168.1.3 — с этим проблем нет.

sh int ip br:

Код:

Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Virtual0 127.0.0.1 YES unset up up
Vlan1 192.168.1.1 YES CONFIG up up
Vlan2 unassigned YES DHCP down down
Ethernet0/0 unassigned YES unset down down
Ethernet0/1 unassigned YES unset up up
Ethernet0/2 unassigned YES unset down down
Ethernet0/3 unassigned YES unset down down
Ethernet0/4 unassigned YES unset down down
Ethernet0/5 unassigned YES unset down down
Ethernet0/6 unassigned YES unset down down
Ethernet0/7 unassigned YES unset down down

show nameif:

Код:

Interface Name Security
Vlan1 inside 100
Vlan2 outside 0

28 дек 2014, 01:09

GopherZ

Зарегистрирован: 28 мар 2014, 16:05
Сообщения: 90

Re: Начальная настройка Cisco ASA 5505 ASDM

Из коробки конфиг очень-очень странный.
Отсутствуют класс-мапы, полиси-мапы
Всегда сам начинаю с «write erase», чего и вам предлагаю.
А потом уже продолжать пытаться здесь совместно решать вашу проблему, если она останется.

28 дек 2014, 08:46

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

GopherZ писал(а):

Этот конфиг как раз после write erase. Специально её тер.

28 дек 2014, 11:25

Nikolay_

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877

Re: Начальная настройка Cisco ASA 5505 ASDM

Насчет write erase на asa не уверен, что сделает то, что нужно.

Тогда уж дайте в режиме config команду
configure factory-default
и дальше уже приблизительно по такому сценарию.

http://www.net-gyver.com/?p=1419

А файл asdm-632.bin вообще на flash: присутствует?

29 дек 2014, 10:10

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

Nikolay_ писал(а):

Насчет write erase на asa не уверен, что сделает то, что нужно.

Тогда уж дайте в режиме config команду
configure factory-default
и дальше уже приблизительно по такому сценарию.

http://www.net-gyver.com/?p=1419

А файл asdm-632.bin вообще на flash: присутствует?

factory-default уже делал. Файл asdm-632.bin на диске, успешно скормлен asdm image.
Попробовал сделать factory-default и по той инструкции — тишина, как и раньше.

29 дек 2014, 12:17

Nikolay_

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877

Re: Начальная настройка Cisco ASA 5505 ASDM

Ну, тогда дальше идем по списку:

Цитата:

— какой IP адрес у Вас на компьютере?
— есть ли пинг до 192.168.1.1?
— дайте с АСА-ки вывод show int ip brief, show nameif

Ввести команды:

username admin password … privilege 15
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL

ssh 192.168.1.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

Ну, и пробуйте по очереди подключаться телнетом, ssh, https.
Будет получаться? Ответы сюда пишите.

29 дек 2014, 14:14

poshlipismo

Зарегистрирован: 24 дек 2014, 23:48
Сообщения: 21

Re: Начальная настройка Cisco ASA 5505 ASDM

Nikolay_ писал(а):

Ну, тогда дальше идем по списку:

Цитата:

— какой IP адрес у Вас на компьютере?
— есть ли пинг до 192.168.1.1?
— дайте с АСА-ки вывод show int ip brief, show nameif

Ввести команды:

username admin password … privilege 15
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
aaa authentication http console LOCAL

ssh 192.168.1.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

Ну, и пробуйте по очереди подключаться телнетом, ssh, https.
Будет получаться? Ответы сюда пишите.

Хм. Уже лучше. Телнет подключается. SSH — тоже. Самое интересное — https.
Если набрать в браузере

https://192.168.1.1/

— то браузер напишет, что соединение сброшено, а если сделать telnet o 192.168.1.1 443 — то курсор попадает на верхнюю строку и telnet ждёт от меня ввода, а значит порт все таки что-то слушает!

Но в sh logging asdm | inc 443 решительно пусто.

29 дек 2014, 15:17

Источник

I was configuring a site-to-site IPSec VPN on a Cisco ASA firewall and received an error:

ciscoasa(config)# crypto ipsec transform-set TSET esp-aes esp-sha-hmac
The 3DES/AES algorithms require a Encryption-3DES-AES activation key.

I verified the ASA Encryption license using the show version command but found the Encryption-3DES-AES was Disabled and the activation key were all 0s (0x00000000 0x00000000…). I suspect the activation key got lost or was corrupted while doing the image upgrade path from factory default of 8.6 > 9.0 > 9.2.

ciscoasa(config)# show version

Cisco Adaptive Security Appliance Software Version 9.2(4)
Device Manager Version 6.6(1)

Compiled on Tue 14-Jul-15 23:02 PDT by builders
System image file is «disk0:/asa924-smp-k8.bin»
Config file at boot was «startup-config»

ciscoasa up 8 days 2 hours

Hardware: ASA5525, 8192 MB RAM, CPU Lynnfield 2394 MHz, 1 CPU (4 cores)
ASA: 4096 MB RAM, 1 CPU (1 core)
Internal ATA Compact Flash, 8192MB
BIOS Flash MX25L6445E @ 0xffbb0000, 8192KB

Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x1)
                             Boot microcode        : CNPx-MC-BOOT-2.00
                             SSL/IKE microcode     : CNPx-MC-SSL-PLUS-0020-B1
                             IPSec microcode       : CNPx-MC-IPSEC-MAIN-0026
                             Number of accelerators: 1
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

0: Int: Internal-Data0/0    : address is f44e.059f.8b7c, irq 11
1: Ext: GigabitEthernet0/0 : address is f44e.059f.8b81, irq 5
2: Ext: GigabitEthernet0/1 : address is f44e.059f.8b7d, irq 5
3: Ext: GigabitEthernet0/2 : address is f44e.059f.8b82, irq 10
4: Ext: GigabitEthernet0/3 : address is f44e.059f.8b7e, irq 10
5: Ext: GigabitEthernet0/4 : address is f44e.059f.8b83, irq 5
6: Ext: GigabitEthernet0/5 : address is f44e.059f.8b7f, irq 5
7: Ext: GigabitEthernet0/6 : address is f44e.059f.8b84, irq 10
8: Ext: GigabitEthernet0/7 : address is f44e.059f.8b80, irq 10
9: Int: Internal-Data0/1    : address is 0000.0001.0002, irq 0
10: Int: Internal-Control0/0 : address is 0000.0001.0001, irq 0
11: Int: Internal-Data0/2    : address is 0000.0001.0003, irq 0
12: Ext: Management0/0       : address is f44e.059f.8b7c, irq 0
The Running Activation Key is not valid, using default settings:

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 200            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Disabled       perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
IPS Module                        : Disabled       perpetual
Cluster                           : Disabled       perpetual

This platform has an ASA5525 VPN Premium license.

Serial Number: FCH1838ABCD
Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
Configuration register is 0x1
Configuration last modified by enable_15 at 23:09:02.104 UTC Mon Apr 16 2018

Since I got no backup of the activation keys, I went to Cisco’s licensing portal to retrieve a free 3DES/AES Encryption license and install it using the activation-key <KEY> command.

Go to Cisco’s licensing portal (CCO login required) > Licenses > Get Licenses > IPS, Crypt, other > Security Products.

Under Product choose Cisco ASA 3DES/AES License.

Type the Serial Number from show version output.

ciscoasa(config)# activation-key d51bcf71 7417f552 e8921abc 9004bdef 421b0123

ciscoasa(config)# show version

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 200            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 750            perpetual
Total VPN Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
IPS Module                        : Disabled       perpetual
Cluster                           : Enabled        perpetual
Cluster Members                   : 2              perpetual

This platform has an ASA5525 VPN Premium license.

Serial Number: FCH1838ABCD
Running Permanent Activation Key: 0xd51bcf71 0x7417f552 0xe8921abc 0x9004bdef 0x421b0123
Configuration register is 0x1
Configuration last modified by enable_15 at 23:09:02.104 UTC Mon Apr 16 2018

Источник