Коллега, если Вы пингуете внешний интерфейс ASA из внутренней сети, то да, пинг не должен идти. Это нормальное поведение ASA. Тут не как на маршрутизаторе. Но если пинг не проходит до внутреннего интерфейса, то надо смотреть коммутатор, vlan-ы. Возможно ASA и PC попали в разные vlan-ы.

Привет! Телеграмм канал @LearnCisco.Ru

Спасибо! Стараюсь ценить Ваше время.

Привет! Конечно, можете даже не сомневаться. Немного терпения.

@@MrLearnCisco Круто, жду с нетерпением и удачи вам у вас отличный проект.

Привет! Обычно большинство ошибок связано с Java. Если укажете, что именно за ошибка, ее текст, то есть вероятность подсказать что-нибудь конкретное :)

Ну почему же? Будут. Какие темы наиболее интересны?

@@MrLearnCisco интересует EVPN, DMVPN, OTV, VXLAN, работа в среде EVE NG с устройствами Nexus, ASR, ISR.

Видимо, потому что в этом видео речь идет о настройке именно маршрутизаторов, не коммутаторов, файерволов, беспроводного и прочено оборудования. Фокус на маршрутизаторе, как и обозначено в заголовке к видео. А тут достаточно и диаграммы.

Тамирлан, добрый день. Сохранить конфигурацию можно либо старой командой write mem, либо новым синтаксисом copy run start

@@MrLearnCisco да, в видео увидел, получилось, благодарю

Коллега, здравствуйте! Общее правило - трафик из зоны с более высоким уровнем (например, 100) в зону с меньшим уровнем (например, 0) по умолчанию разрешен и ASA следит за состоянием таких сессий. Никакие ACL не нужны для этого. Исключение - протокол ICMP, по умолчанию его инспекция выключена (это может зависеть от версии кода ASA). Следовательно, ping из внутренней сети во внешние ходить не будет. Решается это 2-мя способами. Можно либо включить инспекцию ICMP, либо открыть ICMP echo-reply в ACL на внешнем интерфейсе. Примеры: policy-map global_policy class inspection_default inspect icmp inspect icmp error или access-list OUTSIDE-IN extended permit icmp any4 any4 access-group OUTSIDE-IN in interface Outside

Спасибо! Обязательно будут дальнейшие выпуски, причем в самое ближайшее время!

Евгений, здравствуйте! Если имеется ввиду балансировка нагрузки load balancing, то нет, не поддерживается. Если же речь идет о высокой доступности IPsec Stateful Failover (HA), то это возможно, начиная с версии IOS 12.3.T. Вот тут есть еще много интересных вопросов-ответов: www.cisco.com/c/en/us/products/collateral/security/ios-easy-vpn/eprod_qas0900aecd805358e0.html

Совсем запамятовал еще один вариант. Можно терминировать сессии удаленных клиентов на разных маршрутизаторах с помощью DNS. Например, на DNS сервере для EasyVPN сервера сделать несколько «A» записей с разным IP адресами, указывающими на то же самое имя (vpn.mycompany.ru). В этом случае, при обращении по имени к EasyVPN серверу, каждый раз будет выдаваться следующий в списке «A» записей IP адрес. К нему то и будет выполняться подключение. Но для этого на каждом маршрутизаторе должен быть свой белый IP.

Привет NICK! Надо настроить взаимодействие между TACACS сервером и маршрутизатором. Т.е. прописать IP сервера и ключ шифрования. Например: tacacs server TACACS_SRV address ipv4 10.1.1.5 key cisco123 Затем указать его как метод аутентификации пользователей: aaa new-model ! aaa group server tacacs+ TACACS_GROUP server name TACACS_SRV ! aaa authentication login default group TACACS_GROUP local-case ! На самом сервере TACACS (CentOs) надо будет прописать маршрутизатор как аутентификатор (указать его IP и ключ шифрования).

@@MrLearnCisco Спасибо, очень конструктивно.

@@MrLearnCisco А как вы считаете, для организации удаленных подключений сотрудников 10-20 чел, что лучше использовать EzVPN или FlexVPN?Маршрутизатор ISR 4331

@@nickmargeyt1819 Лучше использовать более современную технологию FlexVPN/IKEv2 с поддержкой более сильной криптографии следующего поколения (например, Suite-B). FlexVPN также работает и с AnyConnect клиентом (IKEv2). Платформа 43XX имеет аппаратный ускоритель криптографии, так что проблем с производительностью быть не должно.

@@MrLearnCisco Приветствую Алексей.Увидел что когда то уже писал вам пару лет назад.Мы с Вами закончили один вуз в Киеве на Печерске))) У меня к Вам вопрос, у меня след топология есть ISR4331 с 2 интерфейсами.1WAN а второй смотрит в LANи на нем поднято несколько сабинтерфейсов с vlan .Intervlan r работает.При настройке EzVPN удаленный ПК, получает сеть из заданного пула и в статусе ISR сессия активна, но ПК не получает адрес шлюза автоматом ,и после внесения его статикой начинает пинговать адреса сабинтерфейсов LAN и частично некоторые узлы из LAN что есть хорошо, но тут опять дилема нет пинга из LAN к этому ПК , не смотря что статический маршрут добавился в таблицу.Куда копать??

Alexey, очень рад, что смог чем то помочь! Спасибо за отзыв!

Андрей, по признакам очень похоже на неправильную настройку NAT Exemption. Исключать из трансляции надо трафик, который должен пойти в шифрованные туннели. В частности, адреса IP пула, из которого выдаются IP-шники AnyConnect клиентам. Иначе обратный трафик просто улетит в публичный Интернет, а не к удаленным компьютерам и никакие пинги ходить не будут.

Александр, конкретно это видео, если мне не изменяет память, записано на базе аппаратного маршрутизатора серии 2600. Но в наши дни такой необходимости уже нет. Большинство последующих видео уже было записано на платформах эмуляции GNS3 и EVE-NG. learncisco.ru/video/home-lab-gns3.html learncisco.ru/labs/gns3_labs.html

Коллега, опишите проблему тут: learncisco.ru/support/

Это лаборатория на базе EVE-NG (eve-ng.org)

Разобрался: "The ASA 5505 does not support configuration of IP's on the physical interfaces. You need to create SVI's and them configure your interfaces as switchports with the correct access vlan."

Коллега, это архитектурная особенность именно этой младшей модели, ASA 5505. На других такого нет и nameif настраивается на физических интерфейсах. Особенности ASA 5505 разбираются в моем видео курсе learncisco.ru/video/asa-vol-1.html

Дмитрий, здравствуйте! Я бы начал с таблицы маршрутов на ASA. Убедился, что после подключения там появляется IP адрес удаленного клиента и присутствуют маршруты ко всем подсетям предприятия. Еще было бы полезно убедиться что устройства локальной сети предприятия могут пинговать AnyConnect клиента (при выключенном firewall на нем, или с исключениями для ICMP). Если я правильно понял, то на AnyConnect Вы заворачиваете абсолютно весь трафик в Интернет, не только к подсетям предприятия (без split-tunnel)?

@@MrLearnCisco клиент аниконекта на асе отображается что подключен... маршруты стоят вообще без ограничений source any - destination any... пробовал завроачивать весь, ставил как у вас split, фаерволы отключил... вобщем бяда =(

Очень рад, что смог помочь. В ближайших планах по Anyconnect c ASA будут еще видео по использованию сертификатов, 2-х факторной аутентификации и динамических политик доступа DAP. С лабораторными работами в EVE-NG.

Михаил, конечно можно. И делается это достаточно просто. На самой асе даже есть подсказка и все необходимые шаги.

Михаил, конечно можно. И делается это достаточно просто. На самой асе даже есть подсказка и все необходимые шаги.

Привет! Самое простое, это удалить нужного пользователя (например, no username rvpn), либо сменить ему пароль. Конечно же имеет смысл сохранить имеющуюся запись username в конфиге, чтобы потом ее быстро восстановить.

@@Alexei_Nikolaev Спасибо за ответ. Не ожидал что вы так быстро ответите). Но такой вариант не подходит. Мы предоставляем доступ к клиенту по необходимости и закрываем. Не оперативно этот метод

@@yelnar.mamyrayev Это самое простое, но если нужна большая гибкость, оперативно открывать/закрывать достут, делать это автоматически и/или по кледнарю, тогда нужна авторизация через внешний RADIUS/TACACS+/AD/LDAP сервер, где и будут храниться аккаунты пользователей и условия доступа.

Обычно DNS сервера доступны по дефолтовому маршруту (через указанный шлюз) и нет необходимости прописывать для них отдельный маршрут.

@@MrLearnCisco настроил по вашему описанию, при тестировании внешнего интерфейса сообщает об ошибке Checking exit interface... Failed To test connectivity, Cisco CP tries to ping the configured DNS servers. However, there is no configured route to any of the DNS servers through the selected interface. Пока не знаю куда копать Cisco 1841

Дв, можно и постоянный IP и индивидуальные ACL и многое другое через внешний RADIUS сервер (Cisco ACS, ISE).

А без поднятия внешнего RADIUS сервера ?

В принципе, тоже можно, через атрибуты пользовалеля, например ASA(config)# username test attributes ASA(config-username)# vpn-framed-ip-address 10.1.1.1 255.255.255.0

пробовал, не прокатывает (

Если авторизация идет по локальной базе пользователей, то должно работать. Но все надо тестировать и отлаживать, например с помощью debug. Возможны нюансы.

Насколько я помню, там только web-интерфейс. Для Ваших задач более подходят модели из профессиональных линеек, не домашних с ограниченными возможностями.

Александр, здравствуйте! Это часть пакета AnyConnect, все доступно для скачивания с software.cisco.com при наличии аккаунта и оплаченного сервисного пакета.

Спасибо!

Коллега, добрый день! Не вижу проблем, вот пример настройки: www.cisco.com/c/en/us/support/docs/ip/point-to-point-tunneling-protocol-pptp/29781-pptp-ios.html Удачи!

NICK, Здравствуйте! Отличия от маршрутизаторов тут небольшие. Если используется статика, то для каждого VLAN-а на клиентах указыватся в качестве шлюза IP интерфейса/саб интерфейса ASA для этого VLAN-а. Единственная тонкоть - если интерфейсы / саб интерфейсы ASA имеют одинакковый security-level, то для хождения трафика между ними надо добавить команду same-security-traffic permit inter-interface. Если нужны динамические протоколы маршрутизации, то тут также все стандартно, включам нужныей протокол и указываем участвующие сети / подсети. Вот пример настройки с саб интерфейсами на ASA и транком до коммутатора и статической маршрутизацией. interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/1.10 vlan 10 nameif vlan_10 security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1.20 vlan 20 nameif vlan_20 security-level 100 ip address 192.168.2.1 255.255.255.0 same-security-traffic permit inter-interface Этого достаточно чтобы пакеты начали ходить между VLAN-ами 10 и 20

ОГРОМНЕЙШЕЕ ВАМ СПАСИБО!!!!!

NICK, Спаибо! Классно! Я заканчивал 1-й факультет, АСУ в 1986-м. Практически все, что изучал в КВИРТУ ПВО пригодилось в жизни. Будь то 5-километровые марш-броски в Бабьем Яру с полной выкладкой, шинелью и калашом за плечами, парой рожкок и саперной лопаткой на поясе. И сейчас еще в сосотянити таскать 20кг. рюкзак, путешествую по той же Индии. И все остальное, начиная от азов радио-электроники и способности свободно мыслить в двоичнои и 16-ричном исчислении :) Особенно когда на боевом дежурстве надо было срочно "протолкнуть" зависшую подпрограмму обсчитывающую воздушную обствновку или найти с осцилографом и схемами вышедший из строя блок. В противном случае, будут подняты истебители и одному Богу известно, чем это может закончиться. Рад встретиться с коллегой на просторах сети! Даже не знаю, остались ли еще в наши дни ВУЗы такого уровня и класса.....

Попробовал подключить динамическую крипто карту к существующей статической. Не получается авторизировать пользователя при подключении cisco vpn client. Авторизация группы проходит, а на клиенте спотыкается.

Денис, здравтствуйте! Да, конечно можно. Только убедитесь, что динамическая crypto-map для remote-access VPN стоит самой последней, это важно! Лучше дать ей номер побольше, например 64000. Пример: crypto dynamic-map DYNMAP 10 set transform-set 3DES-MD5 set isakmp-profile VPN-CLIENT reverse-route crypto map CRYPTO 10 ipsec-isakmp set peer x.x.x.x set transform-set 3DES-MD5 set pfs group2 match address SITE2 crypto map CRYPTO 64000 ipsec-isakmp dynamic DYNMAP interface gi 0/0 crypto map CRYPTO

Большое спасибо. Попробую.

Извините. Еще вопрос. Сделал, как написали для примера. Сеичас проходит авторизации группы, далее сразу после авторизации пользователя, в нижней строке VPN Client появляется сообщение: Negotiation secure policy и сразу Not connected. Не подскажете в какую сторону смотреть?

Когда что то не работает, полезно воспользоваться отладчиком и локализовать проблему. Например debug crypto isakmp | ipsec

Сергей, добрый день! Консольный порт ASA, в общем то, ничем не отличается от аналогичных на маршрутизаторах и коммутаторах Cisco. Разве что на ASA нельзя менять его параметры. Они фиксированы: скорость 9600, 8 бит, один стоповый, без паритета. Отличаться может только Flow Control, на ASA он аппаратный (hardware). Вот детальный пример настройки Cisco 2509, 2511 как Access Server: www.cisco.com/c/en/us/support/docs/dial-access/asynchronous-connections/5466-comm-server.html

Родион, здравствуйте. Не очень хорошая идея использовать эти команды авторизации: aaa authorization console aaa authorization exec default local Вообще говоря, аворизация это отдельная большая тема и без полного помания как это работает, лучше в боевой конфигурации не применять.

Родион, не видя конфигов, сложно что то сказать. Хочу лишь обратить внимание, что ra-user это обычный пользователь, для входа в сеть но не для доступа к самой асе. У пользователя же админ, другой уровень доступа (priv 15). Вы всегда можете поэксперементировать с различными опциями в виртуальной лаборатории learncisco.ru/eve/online-lab.html

Родион, простого способа нет. Но, в зависимости от задач, можно использовать инспекцию соответствующих протоколов и автоматическое разрешение таких диапазонов. Например, это может быть VoIP и RTP порты.

Да, спасибо. Наткнулся на подобное решение в интернете для ip-телефонии. Попробовал, но что-то не отработало как нужно(

Курс еще в разработке, будет готов в начале 2018 года.

Спасибо за ответ! Буду ждать курс и приобрету с большим удовольствием)

kzbin.info/www/bejne/n5WvaH99bZeAmbs по моему тут Вы найдете, то что Вам нужно P.S.раньше EVE-NG назывался UnetLab

спасибо

Увы, бОлбшая часть этой информации давно устарела, актуальность 15 -20%. Но для старта возможно и пойдет. EVE-NG - это не просто ребрендинг, а действительно совсем новый продукт, с новой архитектурой и возможностями, каких и в помине не было в UNetLab.

Родион, обычно это делается через внешний RADIUS сервер, например Cisco ACS, ISE. Там можно к пользователю привязать различные атрибуты, такие как IP адрес, ACL, уровень доступа и т.д.

Понял, спасибо. Т.е. средствами cisco IOS это сделать не получится? При подключении клиентов к VPN-серверу (IOS) по протоколу PPTP, вроде можено было адрес привезать через аттрибуты.

В принципе, тоже можно, поднять локальный IOS AAA сервер. Но не очень удобно булет администрить при большом количестве пользователе. Вот отличный пример: blog.internetworkexpert.com/2009/01/07/understanding-ios-local-aaa/ Можно попробовать и так: aaa new-model aaa attribute list RA_VPN_USER_IP attribute type addr 1.2.3.4 service ike protocol ip ! username RA_VPN_USER secret cisco username RA_VPN_USER aaa attribute list RA_VPN_USER_IP

Спасибо.

На Cisco ASA поддерживаются только такие медоты получения IP ареса на интерфейсах, как pppoe, dhcp с статически. PPTP клиента там нет.

жаль, значит придется брать статику у провайдера, спасибо)