форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"Не могу открыть доступ по SSH для ASA"	+/–
Сообщение от apex2009 (ok) on 07-Апр-11, 07:40
Здравствуйте! Не могу открыть доступ по SSH для ASA. Имеется VPN между двумя офисами. Есть необходимость управлять ASA2 из центрального офиса. В удаленном офисе (192.168.1.0) управляется по SSH без проблем. Все команды которые знаю прописал. Подскажите, что еще нужно сделать для управления ASA2 по SSH сквозь VPN канал из сети 172.16.0.0. Конфиг ASA2: hostname asa2 enable password **** encrypted passwd **** encrypted names ! interface Vlan10 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan20 nameif outside security-level 0 ip address 10.0.1.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 10 ! interface Ethernet0/1 switchport access vlan 20 ! interface Ethernet0/2 ! no ftp mode passive same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0 pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 route inside 0.0.0.0 0.0.0.0 192.168.1.254 1 route outside 172.16.0.0 255.255.0.0 10.0.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL http server enable no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set 2tr esp-aes esp-sha1-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map fw 10 match address 101 crypto map fw 10 set peer 10.0.1.1 crypto map fw 10 set transform-set 2tr crypto map fw interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption aes hash sha1 group 5 lifetime 86400 telnet timeout 5 ssh 192.168.1.0 255.255.255.0 inside ssh 172.16.0.0 255.255.0.0 outside ssh 0.0.0.0 0.0.0.0 outside ssh timeout 60 ssh version 2 console timeout 0 dhcpd auto_config outside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp authentication-key 1 md5 * ntp authenticate ntp trusted-key 1 ntp server 172.16.0.5 key 1 source inside prefer username *** password **** encrypted privilege 15 tunnel-group 10.0.1.1 type ipsec-l2l tunnel-group 10.0.1.1 ipsec-attributes pre-shared-key * ! policy-map global_policy ! prompt hostname context Cryptochecksum:**** : end
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Не могу открыть доступ по SSH для ASA"	+/–
Сообщение от BJ (ok) on 07-Апр-11, 08:59
management-access inside
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Не могу открыть доступ по SSH для ASA"	+/–
	Сообщение от apex2009 (ok) on 07-Апр-11, 11:50
	> management-access inside попробовал комманду, применилась только доступа по прежнему нет и пинга тоже
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Не могу открыть доступ по SSH для ASA"	+1 +/–
	Сообщение от BJ (ok) on 07-Апр-11, 12:35
	>> management-access inside > попробовал комманду, применилась только доступа по прежнему нет и пинга тоже Добавьте еще ssh 172.16.0.0 255.255.0.0 inside icmp permit any inside
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "Не могу открыть доступ по SSH для ASA"	+/–
Сообщение от Golub Mikhail (ok) on 07-Апр-11, 10:07
>[оверквотинг удален] > username *** password **** encrypted privilege 15 > tunnel-group 10.0.1.1 type ipsec-l2l > tunnel-group 10.0.1.1 ipsec-attributes >  pre-shared-key * > ! > policy-map global_policy > ! > prompt hostname context > Cryptochecksum:**** > : end Не получится. Заходи на машинку в той сети, и уже с машинки по ssh на ASA.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Не могу открыть доступ по SSH для ASA"	+/–
	Сообщение от root0 (ok) on 07-Апр-11, 10:32
	Сначала нужно сделать следующие conf t crypto key generate rsa modulus 1024 ( к примеру ) ssh ( сеть с которой хочешь попасть )( маска подсети )outside write при этом нужно чтобы были пароли на passwd и enable в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске ssh
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Не могу открыть доступ по SSH для ASA"	+/–
	Сообщение от apex2009 (ok) on 07-Апр-11, 11:56
	> Сначала нужно сделать следующие > conf t > crypto key generate rsa modulus 1024 ( к примеру ) > ssh ( сеть с которой хочешь попасть )( маска подсети )outside > write > при этом нужно чтобы были пароли на passwd и enable > в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd > P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске > ssh Все это уже давно сделано: ssh 172.16.0.0 255.255.0.0 outside ssh 0.0.0.0 0.0.0.0 outside crypto key generate rsa modulus 1024 ( к примеру ) - это тоже сделано, из ее внутренней сети есть доступ по SSH
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Не могу открыть доступ по SSH для ASA"	+1 +/–
	Сообщение от iRoot on 07-Апр-11, 11:58
	>[оверквотинг удален] >> write >> при этом нужно чтобы были пароли на passwd и enable >> в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd >> P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске >> ssh > Все это уже давно сделано: > ssh 172.16.0.0 255.255.0.0 outside > ssh 0.0.0.0 0.0.0.0 outside > crypto key generate rsa modulus 1024 ( к примеру ) - это > тоже сделано, из ее внутренней сети есть доступ по SSH мне очень помогает инструмент в ASA который называется packet-tracer укажите кто куда зачем, и вы увидите где именно у вас происходит "отлуп"
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Не могу открыть доступ по SSH для ASA"	+/–
	Сообщение от Golub Mikhail (ok) on 07-Апр-11, 20:39
	>[оверквотинг удален] >>  pre-shared-key * >> ! >> policy-map global_policy >> ! >> prompt hostname context >> Cryptochecksum:**** >> : end > Не получится. > Заходи на машинку в той сети, и уже с машинки по ssh > на ASA. ASA не сможет сроутить пакеты на одном и том же интерфейсе.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Не могу открыть доступ по SSH для ASA"	+/–
Сообщение от crash (ok) on 08-Апр-11, 06:43
не заметил или нет access-list'a на outside интерфейсе для разрешения ssh?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема