問題タブ [asa]

私はいくつかの行を持っていますが、これが原因でいくつかの行が影になっているのだろうか?

サーバー上のさまざまなものをcsvに解析するプロジェクトに取り組んでいます。標準の PIX/ASA ログを CSV に解析できる優れた perl スクリプトまたは gawk ステートメントを持っている人はいますか...

ありがとう。

ciscoasa の不良 xlate をクリアするスクリプトを作成しようとしています。

悪い xlate をチェックするには、sh xlate | を実行します。500 で応答を受信した場合は、クリア コマンドを送信する必要があります。そうしないと、ciscoasa は新しい VPN トンネルを許可しません。

if else ステートメントについて助けが必要です。それ以外の場合、スクリプトは正常に機能しています。これが私のコードです：

Cisco ASA5520ファイアウォールがあり、アクセスルールはインターフェイスごとに定義されています。

明示的なdenyallコマンドがインターフェイスで指定されていません。

ファイアウォールでロギングが有効になっています。

私の質問は、

許可されたIPアドレス以外のIPアドレスがアクセスしようとすると、それはログに記録されますか？

例えば：

AからBへの許可log=no

しかし

any to any deny log=yesは言及されていません

したがって、IP AがCにアクセスしようとすると、ログに記録されますか？

はいの場合、有効になっているファイアウォールログとアクセス制御エントリのログ機能の違いは何ですか？

CiscoASA5505ファイアウォールを介してNFSサービスのテストを行いました。

通常のインターフェイスのデフォルトACLでは、内部インターフェイス（レベル100）では「permitip any any」、外部インターフェイス（レベル0）では「denyipanyany」です。NFSサーバーは外部インターフェイスに接続されています。すべてがうまく機能します。パケットが通過するのを見ると、PCがNFSサーバーの111ポートを呼び出し、ポートマップを使用してポートをネゴシエートしていることがわかります。このTCP接続を終了しました。次に、NFSサーバー（PCの外部）はネゴシエートされたポートを使用してPCの内部に接続し、データを転送します。Cisco ASAファイアウォールはTCP状態を非常に良好に保ち、ネゴシエートされたポートを「記憶」します。したがって、外部ACLが「denyip any any」であっても、このポートを使用して外部PCが内部PCと通信できるようにします。ファイアウォールは完全にステートフルであり、これまでのところすべてが素晴らしいです。

ただし、VPNを使用してNFSサーバ（PCの外部）をCiscoASAファイアウォールに接続している限り。すべてが変わった。パケットを見ると、NFSはファイアウォールを通過し、ポートマップによってポートをネゴシエートできます。このTCPセッションが終了した後。ファイアウォールはネゴシエートされたポートを忘れ、ネゴシエートされたポートを使用して外部PCをブロックし、内部PCと通信します。

VPNの有無にかかわらず、唯一の変更点です。インターフェイス内にACLが1つだけあり、ipanyanyを許可します。NFSサーバーは、任意のサブネットからアクセスできるように設定されています。このファイアウォールにはNATやサービスポリシーの設定はありません。

CiscoファイアウォールルールがVPN上で「ステートフル」ではなくなった理由を誰かが説明できますか？設計されていますか？外部インターフェイスで一連の動的ポートを開かずに、NFSをVPN上で機能させるための最良の方法は何ですか？

私は解決策を求めて Web をサーフィンするのに多くの時間を費やしましたが、残念なことに、これは発見すべき興味深いトピックである可能性があると最終的に結論付けました。

タスクは次のとおりです。

1. MAC OS X (できれば組み込みの IPSec クライアント) からリモートの Cisco ASA 5500 への VPN 接続を確立する必要があります。

2. 私が持っているもの: 2 つの証明書、1 つは VPN 接続暗号化用、もう 1 つはリモート デスクトップ ログイン用です。どちらも eToken に保存されます。

問題は接続の設定にあります。cisco の公式 Web サイトには、サポートされている vpn クライアントに関する記述があり、IPSec クライアントに組み込まれた mac os x が適しているようです。さらに、ASA 5500 の場合、「l2tp over ipsec」モードと「Cisco IPSec」モードの両方に適しています。それでは、「Cisco IPSec」を確立してみましょう (設定 > ネットワーク > 接続の追加)。ホストアドレス、アカウント名、パスワードがあり、Win7 で確認したので間違いありません。

最も興味深いのは「認証設定」にあります。ここでは、証明書を選択することになっていますが、キーチェーンに適切な証明書がないと報告されます。

その理由は、証明書の「タイプ」にある可能性があります。私が持っているすべての証明書は、OS X によってユーザー証明書として識別されるため、マシンの認証には使用できません (ちなみに、そうですか? )。

さて、IPSec で l2tp を試すと、同じ問題が発生します。eTokenからユーザー証明書を選択することもできますが、まだmachine certがありません。

Windows では通常、次のように表示されます。

1. Cisco VPN クライアントを実行する

2. 証明書を選択するだけでなく、ホストアドレスを設定します（これは何らかの方法で選択できます:)）

3. 接続をタップし、eToken の PIN を入力すると、接続されます

したがって、次の場合に接続を設定する方法：

1. eToken は、ネイティブの IPsec クライアントであっても、その証明書で非常によく見えます。

2. もう一方の端には cisco asa 5500 があります。

または、cisco vpn 機能に関する説明を見つけることができるヒントまたはリンクを提供していただければ幸いです...

システム: OS X Lion 10.7.4、eToken SafeNet 認証クライアント 8.0。

誰かが別のクライアントの決定を知っている場合は、ここでそれを確認してください.

よろしくお願いします！

Paramiko を使用して Cisco ASA に接続しようとする人はいますか?

次のスクリプトを使用します。

Cisco IOS (ルーター) では問題なく動作しますが、ASA デバイスに接続しようとすると、「コマンドが送信された」後にハングします。

Paramiko ログには次のメッセージが含まれます。

デバイスでアクティブな SSH セッションが表示されますが、「コマンドが送信されました」という出力の後にスクリプトがハングします。