問題タブ [asa]

Cisco ASA 8.4 VPN コンセントレータを使用しています。Lua を使用して、入ってくる証明書文字列から数字を抽出し、認証のために AD を使用した LDAP ルックアップでそれらを使用しようとしています。機能する文字列を見つけました...時々。

文字列の形式は次のとおりです。

私の LDAP は、数字と @domainname だけを見たいと思っています。私が現在使用しているスクリプトは次のとおりです。return string.gsub(cert.subject.cn, "^(%w+)%.(%w+)%.(%w+)%.(%w+)$", "%4@domain")

このスクリプトは、ほとんどの場合 (80 ～ 90% の確率で) 正常に機能します。それがうまくいかないのは、人々にミドルネームがない、3つではなく4つの名前がある、などです。

私の質問は、その前に何があるかに関係なく、どうすれば 10 桁だけを出力できるかということです。return string.match では簡単すぎるように思えますが、これまでのところ、動作させることはできません。何か案は？

Cisco ASA 5505 ファイアウォール デバイスがあり、リモートで構成を試みる必要がありますが、https://192.168.1.1/adminの推奨 URL に移動しても何も表示されません。ネットワーク上のマシン内から構成できるように、デバイスのIPを見つける方法のアイデア

Cisco ASA を VPN として使用し、トラフィックを 2 つのサーバーに転送しようとしています。

私たちの ISP は、一連の連続した IP アドレスの範囲を提供してくれました。154.223.252.146-149 デフォルト GW は 154.223.252.145、ネットマスクは 255.255.255.240 を使用しています

最初の 154.223.252.146 が ASA の外部インターフェイスに割り当てられており、VPN サービスを正常にホストしています。それはうまくいきます。

次の最終目標は、154.223.252.147 が https トラフィックを 10.1.90.40 に転送し、154.223.252.148 が https トラフィックを 10.1.94.40 に転送するようにすることです。

現在の障害は、これらの IP アドレスに応答するための ASA の外部インターフェイスを取得できないことです。

154.223.252.146 を使用して、https トラフィックを正しく転送することができました。だから私たちはそれがうまくいくことを知っています。

ラップトップを ISP からのスイッチに接続し、154.223.252.147 と 154.223.252.148 を手動で割り当て、デフォルトの gw は 154.223.252.145 で、問題なく接続されました。したがって、IP がそこにあり、利用可能であることがわかっているので、ASA がそれらに応答し、それらを使用して https を転送するように説得する必要があります。

スイッチからのケーブルをファイアウォールの他のインターフェースに接続しようとしました。ネットマスクが最初の外部インターフェイス 154.223.252.146 255.255.255.240 と重複しているため、これは失敗しました。シスコはこれを嫌い、許可しません。

ドキュメントを読んだところ、VLAN を定義することで外部インターフェースに一定範囲の IP を割り当てることができると聞きました。これを正常に機能させる方法がわかりません。試行は失敗しました。

Cisco ASA でこの構成を実現する最善の方法は何ですか?

Cisco ASA デバイスにログインし、いくつかの ACL を構成に入力するスクリプトを作成しています。

Korn シェル スクリプトを作成し、Ubuntu ボックスから .sh ファイルを実行しました。Cisco ASA ボックスに正常にログインできます。問題は、ログインすると、デバイスが Privileged Exec モードになることです。これは、シスコのキーワード「enable」を送信することで実現できます。これは私が首尾よく行うことができます。この後、スクリプトからパスワードを入力できるように改行文字を渡したいと思います。

ここで直面する問題は、一度有効にすると、制御が Cisco ASA 端末に送られ、スクリプトに含まれていないことです。提案してください

EC2 インスタンスから VPC 内の Cisco ASAv へのトラフィックを強制しようとしていますが、どの方法を試してもうまくいきません。私のセットアップは次のとおりです。

プライベート サブネット > ASAv > パブリック サブネット > AWS IGW

2 つのカスタム ルート テーブル。igw を使用するパブリック用に 1 つ、デフォルトの NAT インスタンスを使用するプライベート用に 1 つ。

EIP を使用して、プライベート IP (パブリック サブネット) の外側の ASAv にマッピングし、ASAv 内で、プライベート サブネットにある EC2 インスタンスへの NAT 転送ルールを設定しました。ただし、EC2 プライベート サブネットでパケット キャプチャを実行すると (セカンダリ NIC を使用して別のパブリック EIP RDP 経由で到達します)、プライベート NIC から (BC 以外の) トラフィックが発生しません。EC2 内にスタティック ルートを配置して、ASA 内部インターフェイス経由でデフォルト ルートを送信しましたが、満足できませんでした。パブリック NIC を削除しても、プライベート サブネットにある EC2 からの応答はありません。

すべてのルーティング テーブル (メインまたはカスタム) 内に自動的に設定されたローカル CIDR ルートがあることがわかります。

このルートは削除できないと考えてよろしいですか? どうすれば目標を達成できますか?

アクティブ/スタンバイ ASA のペアを 9.1.5 から 9.1.7 にアップグレードする必要があります。
最初にスタンバイ ユニットをアップグレードしてから、強制的にアクティブにします。
バージョン 9.1.7 で予期しない問題が発生した場合。
別の ASA にアップグレードする前に 1 週​​間待ちたいと思います。
私の懸念は、バージョンの違いにより、この ASA のペアがホット スタンバイを実行できないことです。