пропозиції роботи
Wypowiedzi
-
Administrowanie siecią firmową opartą o sprzęt Cisco, serwery Win2000, Win2003, Win2008, Win2012 oraz Linux.
Bezpieczenstwo sieci - procedury backupu, Disaster-Recovery, monitoring.
Zarządzanie usługami sieciowymi z zapewniając wysokie SLA - poczta, Active Directory, bazy danych.
Tworzenie dokumentacji technicznej oraz po wdrożeniowej. Opracowywanie procedur oraz instrukcji dla pracowników.
Zakupy sprzętu / oprogramowania oraz wsparcie, badz realizacja projektów w Polsce oraz za granicą.- 17.12.2012, 00:21
-
Witam,
Mam zainstalowany MS Project Server 2010. Czy mógłby ktoś zasugierować jak najlepiej ustawić uprawnienia do projektów.
Potrzebuję ustawić aby kierownicy projektów mogli edytować i widzieć tylko wszystko w swoich projektach, a w projektach innych widzieli jedynie ich zawartość bez dostępu do widoków z kosztami.
Kierownik działu powinien widzieć pełną zawartość i edytowac wszystkie projekty.
za wszelkie wskazówki będę wdzięczny.
Robert Chmieliński
rchmielinski@o2.pl -
Chcemy wdrożyć pewne rozwiązanie wykorzystujące MS Project.
Kierownik nadzorujący grupę montażystów na budowie ma za zadanie zdefiniować w MS Project zadania z określonym czasem ich realizacji.
Jego podwladni (wielokrotnie nieznane osoby z firm podwykonawczych) codziennie po przybyciu do pracy mają obowiązek rejestracji swojej obecności w jakiś prosty sposób (np.jest pomysł kart zbliżeniowych), natomiast kierownik powinien mieć wówczas mozliwość prostego przypisania tych osób do realizacji konkretnych zadań.
Podobnie w ciągu dnia delegowanie pracownika do innego zadania powinno być prosto realizowane.
Na koniec okresu rozliczeniowego/projektu kierownik powinien w latwy sposób wygenerować raport zawierający planowane i przepracowane godziny przez pracowników w realizowanych/zrealizowanych projektach/zadaniach oraz wskazywać informację o stopniu zaawansowania zadania.
W jaki sposób najlepiej to zrealizować? Czy macie jakieś pomysły? -
Wyczyściłem ASP i próbowałem pobrac plik ze strony, po około minuciewpisałem polecenie
ASA# sh asp drop
Frame drop:
Flow is denied by configured rule (acl-drop) 373
NAT-T keepalive message (natt-keepalive) 8
First TCP packet not SYN (tcp-not-syn) 25
TCP failed 3 way handshake (tcp-3whs-failed) 11
TCP Out-of-Order packet buffer full (tcp-buffer-full) 30
TCP Out-of-Order packet buffer timeout (tcp-buffer-timeout) 211
ICMP Inspect seq num not matched (inspect-icmp-seq-num-not-matched) 41
Last clearing: 15:01:49 CEST Feb 24 2011 by enable_15
Flow drop:
NAT failed (nat-ailed) 2
Need to start IKE negotiation (need-ike) 14
Inspection failure (inspect-fail) 12
Last clearing: 15:01:49 CEST Feb 24 2011 by enable_15
============================================================
Proszę o informację co mam dokładnie i jak debugować?
Inspekcje http mam wyłaczoną:
policy-map global_policy
class inspection_default
inspect ftp
inspect icmp
inspect pptp
inspect ipsec-pass-thru
class global-class
ips inline fail-open sensor vs0
policy-map global-policy
class inspection_default
!
service-policy global_policy global
============================================================
Wyłączałem IPS i też nie potrafiłem pobrać pliku z tej witryny.Robert Chmieliński edytował(a) ten post dnia 24.02.11 o godzinie 16:30 -
Spróbowałem z wirtualnej maszyny działajacej na Fedorze za ASĄ - działa bez zarzutu pod Fedorą.
Wygląda na to, że za ASĄ:
spod Windows-a nie działa. spod Linuxa (Fedory) działa.
natomiast przed ASĄ
dziala zarówno spod Windowsa jak i Linuxa. -
Próbowalem z kilku różnych komputerów za ASĄ i występuje ten sam problem
(błyskawicznie - 1s - pobiera się około 150-200kB z około 350kB, a potem już żadne dane nie napływaja przez długi czas (czekałem 10 min)
natomiast jak podepnę się tym samym notebookiem przed ASĘ z adresem IP zewnętrznym to działa bez zarzutu (plik 350kB pobiera się max 2-3 sek).
Nie mam żadnego proxy, na ASA jest moduł IPS-ale w powyższych i poniższych logach ASY nie mam żadnej informacji aby blokował/ zrywał połaczenie
Znalazłem w necie jeszcze sugestie aby wykorzystać capture, ale nie widzę niczego podejrzanego.
<b>ASA(config)# access-list slasklista permit ip host 91.207.49.193 host 192.168.10.10
ASA(config)# access-list slasklista permit ip host 192.168.10.10 host 91.207.49.193
ASA(config)# capture slask access-list slasklista interface inside buffer 8000
ASA(config)# sh capture slask</b>
14 packets captured
1: 16:10:35.654568 192.168.10.10.53818 > 91.207.49.193.443: S 2439206918:2439206918(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 16:10:35.676875 91.207.49.193.443 > 192.168.10.10.53818: S 1579827721:1579827721(0) ack 2439206919 win 5840 <mss 1380,nop,wscale 7>
3: 16:10:35.677180 192.168.10.10.53818 > 91.207.49.193.443: . ack 1579827722 win 16695
4: 16:10:35.677714 192.168.10.10.53818 > 91.207.49.193.443: P 2439206919:2439207076(157) ack 1579827722 win 16695
5: 16:10:35.683726 91.207.49.193.443 > 192.168.10.10.53818: . ack 2439207076 win 54
6: 16:10:35.685206 91.207.49.193.443 > 192.168.10.10.53818: P 1579827722:1579827867(145) ack 2439207076 win 54
7: 16:10:35.686411 192.168.10.10.53818 > 91.207.49.193.443: P 2439207076:2439207135(59) ack 1579827867 win 16658
8: 16:10:35.689432 192.168.10.10.53818 > 91.207.49.193.443: P 2439207135:2439207988(853) ack 1579827867 win 16658
9: 16:10:35.697305 91.207.49.193.443 > 192.168.10.10.53818: . ack 2439207988 win 68
10: 16:10:35.706765 91.207.49.193.443 > 192.168.10.10.53818: . 1579827867:1579829127(1260) ack 2439207988 win 68
11: 16:10:35.706918 91.207.49.193.443 > 192.168.10.10.53818: . 1579829127:1579830387(1260) ack 2439207988 win 68
12: 16:10:35.707452 192.168.10.10.53818 > 91.207.49.193.443: . ack 1579830387 win 16695
13: 16:10:35.713937 91.207.49.193.443 > 192.168.10.10.53818: . 1579830387:1579831647(1260) ack 2439207988 win 68
14: 16:10:35.714104 91.207.49.193.443 > 192.168.10.10.53818: . 1579831647:1579832907(1260) ack 2439207988 win 68
14 packets shown
<b>ASA(config)# clear capture slask
ASA(config)# capture slask access-list slasklista interface outside buffer 8000
ASA(config)# sh capture slask</b>
14 packets captured
1: 16:10:35.654568 192.168.10.10.53818 > 91.207.49.193.443: S 2439206918:2439206918(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 16:10:35.676875 91.207.49.193.443 > 192.168.10.10.53818: S 1579827721:1579827721(0) ack 2439206919 win 5840 <mss 1380,nop,wscale 7>
3: 16:10:35.677180 192.168.10.10.53818 > 91.207.49.193.443: . ack 1579827722 win 16695
4: 16:10:35.677714 192.168.10.10.53818 > 91.207.49.193.443: P 2439206919:2439207076(157) ack 1579827722 win 16695
5: 16:10:35.683726 91.207.49.193.443 > 192.168.10.10.53818: . ack 2439207076 win 54
6: 16:10:35.685206 91.207.49.193.443 > 192.168.10.10.53818: P 1579827722:1579827867(145) ack 2439207076 win 54
7: 16:10:35.686411 192.168.10.10.53818 > 91.207.49.193.443: P 2439207076:2439207135(59) ack 1579827867 win 16658
8: 16:10:35.689432 192.168.10.10.53818 > 91.207.49.193.443: P 2439207135:2439207988(853) ack 1579827867 win 16658
9: 16:10:35.697305 91.207.49.193.443 > 192.168.10.10.53818: . ack 2439207988 win 68
10: 16:10:35.706765 91.207.49.193.443 > 192.168.10.10.53818: . 1579827867:1579829127(1260) ack 2439207988 win 68
11: 16:10:35.706918 91.207.49.193.443 > 192.168.10.10.53818: . 1579829127:1579830387(1260) ack 2439207988 win 68
12: 16:10:35.707452 192.168.10.10.53818 > 91.207.49.193.443: . ack 1579830387 win 16695
13: 16:10:35.713937 91.207.49.193.443 > 192.168.10.10.53818: . 1579830387:1579831647(1260) ack 2439207988 win 68
14: 16:10:35.714104 91.207.49.193.443 > 192.168.10.10.53818: . 1579831647:1579832907(1260) ack 2439207988 win 68
14 packets shown -
Próbowałem ze stacji roboczej 192.168.10.10 przenatowanej na zewnętrzny adres 212.106.155.120 pobrać wniosek(PDF). Żeby było dzwniej to raz na 10-20 przeładowań strony udaje się pobrać.
poniżej logi:
6|Feb 10 2011|15:27:06|106015|91.207.49.193|443|212.106.155.120|53363|Deny TCP (no connection) from 91.207.49.193/443 to 212.106.155.120/53363 flags SYN ACK on interface outside
6|Feb 10 2011|15:27:06|106015|91.207.49.193|443|212.106.155.120|53360|Deny TCP (no connection) from 91.207.49.193/443 to 212.106.155.120/53360 flags SYN ACK on interface outside
6|Feb 10 2011|15:27:06|106015|91.207.49.193|443|212.106.155.120|53365|Deny TCP (no connection) from 91.207.49.193/443 to 212.106.155.120/53365 flags SYN ACK on interface outside
6|Feb 10 2011|15:27:06|106015|91.207.49.193|443|212.106.155.120|53361|Deny TCP (no connection) from 91.207.49.193/443 to 212.106.155.120/53361 flags SYN ACK on interface outside
6|Feb 10 2011|15:26:23|302013|91.207.49.193|443|192.168.10.10|53395|Built outbound TCP connection 305174772 for outside:91.207.49.193/443 (91.207.49.193/443) to inside:192.168.10.10/53395 (212.106.155.120/53395)
6|Feb 10 2011|15:26:23|106100|212.106.155.120|53395|91.207.49.193|443|access-list outside_access_out permitted tcp inside/212.106.155.120(53395) -> outside/91.207.49.193(443) hit-cnt 1 first hit [0x3bdfb084, 0x0]
6|Feb 10 2011|15:26:23|106100|192.168.10.10|53395|91.207.49.193|443|access-list inside_access_in permitted tcp inside/192.168.10.10(53395) -> outside/91.207.49.193(443) hit-cnt 1 first hit [0xa925365e, 0x0]
6|Feb 10 2011|15:26:08|302013|91.207.49.193|443|192.168.10.10|53393|Built outbound TCP connection 305174176 for outside:91.207.49.193/443 (91.207.49.193/443) to inside:192.168.10.10/53393 (212.106.155.120/53393)
6|Feb 10 2011|15:26:08|106100|212.106.155.120|53393|91.207.49.193|443|access-list outside_access_out permitted tcp inside/212.106.155.120(53393) -> outside/91.207.49.193(443) hit-cnt 1 first hit [0x3bdfb084, 0x0]
6|Feb 10 2011|15:26:08|106100|192.168.10.10|53393|91.207.49.193|443|access-list inside_access_in permitted tcp inside/192.168.10.10(53393) -> outside/91.207.49.193(443) hit-cnt 1 first hit [0xa925365e, 0x0]
6|Feb 10 2011|15:26:01|302014|91.207.49.193|443|192.168.10.10|53365|Teardown TCP connection 305172014 for outside:91.207.49.193/443 to inside:192.168.10.10/53365 duration 0:00:30 bytes 0 SYN Timeout
6|Feb 10 2011|15:26:01|302014|91.207.49.193|443|192.168.10.10|53364|Teardown TCP connection 305172012 for outside:91.207.49.193/443 to inside:192.168.10.10/53364 duration 0:00:30 bytes 0 SYN Timeout
6|Feb 10 2011|15:26:01|302014|91.207.49.193|443|192.168.10.10|53363|Teardown TCP connection 305172011 for outside:91.207.49.193/443 to inside:192.168.10.10/53363 duration 0:00:30 bytes 0 SYN Timeout
6|Feb 10 2011|15:26:01|302014|91.207.49.193|443|192.168.10.10|53362|Teardown TCP connection 305172010 for outside:91.207.49.193/443 to inside:192.168.10.10/53362 duration 0:00:30 bytes 0 SYN Timeout
6|Feb 10 2011|15:26:01|302014|91.207.49.193|443|192.168.10.10|53361|Teardown TCP connection 305172009 for outside:91.207.49.193/443 to inside:192.168.10.10/53361 duration 0:00:30 bytes 0 SYN Timeout
6|Feb 10 2011|15:26:01|302014|91.207.49.193|443|192.168.10.10|53360|Teardown TCP connection 305172008 for outside:91.207.49.193/443 to inside:192.168.10.10/53360 duration 0:00:30 bytes 0 SYN Timeout
6|Feb 10 2011|15:25:57|302014|91.207.49.193|443|192.168.10.10|53391|Teardown TCP connection 305172991 for outside:91.207.49.193/443 to inside:192.168.10.10/53391 duration 0:00:10 bytes 431205 TCP FINs -
Niestety w dalszym ciągu mam problem,
Czy ktoś ma jakiś pomysł jak można rozwiązać ten problem? -
Niestety w dalszym ciągu mam problem,
próbowałem dodać i usunąć inspekcję http jednak nic nie pomaga
Oto konfiguracja asy:
ASA Version 8.2(1)
!
hostname xxxxxASA
(...)
interface Ethernet0/0
nameif outside
security-level 0
ip address XXX.XXX.XXX.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address TTT.TTT.TTT.1 255.255.255.248
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address YYY.YYY.YYY.1 255.255.255.0
!
interface Ethernet0/3
shutdown
nameif inside3
security-level 100
ip address 10.10.2.1 255.255.255.248
!
interface Management0/0
description Interfejs zarzadzajacy
nameif management
security-level 100
ip address 192.168.2.253 255.255.255.0
management-only
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit intra-interface
(...)
pager lines 24
logging enable
logging buffer-size 1048576
logging buffered debugging
logging asdm informational
logging host inside 192.168.100.143 0
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
mtu inside3 1500
mtu management 1500
(...)
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit any inside
asdm image disk0:/asdm-621.bin
(...)
no asdm history enable
arp timeout 14400
global (outside) 6 XXX.XXX.XXX.214 netmask 255.255.255.0
global (outside) 13 XXX.XXX.XXX.251 netmask 255.255.255.0
global (outside) 3 XXX.XXX.XXX.211 netmask 255.255.255.0
global (outside) 4 XXX.XXX.XXX.212 netmask 255.255.255.0
global (outside) 8 XXX.XXX.XXX.240 netmask 255.255.255.0
global (outside) 11 XXX.XXX.XXX.243 netmask 255.255.255.0
global (outside) 12 XXX.XXX.XXX.250 netmask 255.255.255.0
global (outside) 10 XXX.XXX.XXX.242 netmask 255.255.255.0
global (outside) 9 XXX.XXX.XXX.241 netmask 255.255.255.0
global (outside) 2 XXX.XXX.XXX.210 netmask 255.255.255.255
global (outside) 1 XXX.XXX.XXX.209 netmask 255.255.255.0
global (outside) 7 XXX.XXX.XXX.220 netmask 255.255.255.0
global (outside) 5 XXX.XXX.XXX.213 netmask 255.255.255.0
global (outside) 14 XXX.XXX.XXX.252 netmask 255.0.0.0
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 access-list inside_nat_outbound
nat (inside) 2 access-list inside_nat_outbound_1
nat (inside) 3 access-list inside_nat_outbound_2
nat (inside) 4 access-list inside_nat_outbound_3
static (inside,outside) tcp XXX.XXX.XXX.2 xxx 192.168.100.2 xxx netmask 255.255.255.255
static (inside,outside) tcp XXX.XXX.XXX.3 xxx 192.168.100.3 xxx
netmask 255.255.255.255
static (inside,outside) tcp XXX.XXX.XXX.4 xxx 192.168.100.4 xxx netmask 255.255.255.255
(...)
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group DMZ_access_in in interface DMZ
route outside 0.0.0.0 0.0.0.0 XXX.XXX.XXX.2 1
route inside LAN-Network 255.255.0.0 10.100.1.2 10
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server ACS-THETA protocol radius
aaa-server ACS-THETA (inside) host 192.168.100.143
timeout 5
key xxxxxxxx
http server enable
(...)
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
(...)
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto ipsec security-association replay window-size 128
crypto ipsec df-bit clear-df outside
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set peer 92.62.200.214
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set transform-set TRANS_ESP_3DES_MD5 TRANS_ESP_3DES_SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000
(...)
telnet timeout 5
ssh timeout 5
console timeout 0
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tftp-server inside 192.168.100.143 /asa-configuration
webvpn
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
wins-server value 192.168.100.2
dns-server value 192.168.100.2
vpn-tunnel-protocol IPSec l2tp-ipsec
default-domain value FIRMA.com.pl
(...)
username xxxx password xxxxxxxxx encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool clientVPNpool
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key zzzzzzzzzzzzzzz
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
no authentication ms-chap-v1
authentication ms-chap-v2
(...)
!
class-map global-class
match access-list global_mpc_1
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect ftp
inspect icmp
inspect pptp
inspect ipsec-pass-thru
class global-class
ips inline fail-open sensor vs0
!
service-policy global_policy global
prompt hostname contextRobert Chmieliński edytował(a) ten post dnia 04.01.11 o godzinie 16:00 -
Na stacji roboczej w Internet Expolerze próbuję pobrać wniosek (PDF) ze strony scp-slask.pl
Stacja robocza znajduje się za ASA 5510.
Pojawia się okienko pobierania ale plik okolo 350kb nie chce się pobrać.
Przegladanie stron i wypełnianie formularzy działą bez zarzutu.
za pomocą: netstat -an widze nawiązane połaczenie:
TCP 192.168.10.10:2718 91.207.49.193:443 USTANOWIONO
Na firewallu tymczasowo odblokowałem pełen dostęp z 91.207.49.193 do przenatowanego adresu stacji roboczej. Jednak w dalszym ciągu jest problem.
Co może być przyczyną w konfiguracji ASA 5510? Jak to rozwiązać?
jak stację roboczą podłacze przed ASA na adresie publicznym to działa bez zarzutu. -
Aby mieć możliwość przeczytania tego posta musisz być członkiem grupy Sieci Komputerowe
-
struktura połaczenia
Internet - routerBGP - ASA - switch CORE z vlanami (np.192.168.73.0/24)
ASA5510# sh run | include nat
access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.0.0 10.10.10.0 255.255.255.192
(...)
access-list inside_nat0_outbound extended permit ip 192.168.73.0 255.255.255.0 192.168.101.0 255.255.255.0
access-list inside_nat_outbound extended permit ip 192.168.9.0 255.255.255.0 any
(...)
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 access-list inside_nat_outbound
(...)
pozostałe wpisy z konfiguracji z ASA
ASA5510# sh run
(..)
access-list inside_nat0_outbound extended permit ip 192.168.73.0 255.255.255.0 192.168.101.0 255.255.255.0
access-list outside_access_in extended permit ip 192.168.101.0 255.255.255.0 192.168.73.0 255.255.255.0
access-list outside_access_in extended permit ip 192.168.73.0 255.255.255.0 192.168.101.0 255.255.255.0
access-list outside_5_cryptomap extended permit ip 192.168.73.0 255.255.255.0 192.168.101.0 255.255.255.0
(...)
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
(..)
route outside 0.0.0.0 0.0.0.0 ip_routera_bgp 1
route inside 192.168.0.0 255.255.0.0 ip_switcha _core 10
route outside 192.168.101.0 255.255.255.0 ip_zewnetrzne_asa 1
(...)
crypto map outside_map 5 match address outside_5_cryptomap
crypto map outside_map 5 set peer 213.xxx.xxx.xxx
crypto map outside_map 5 set transform-set ESP-AES-192-SHA
crypto map outside_map 5 set security-association lifetime seconds 86400
(...)
crypto isakmp policy 60
authentication pre-share
encryption aes-192
hash sha
group 5
lifetime 86400
(...)
tunnel-group 213.xxx.xxx.xxx type ipsec-l2l
tunnel-group 213.xxx.xxx.xxx ipsec-attributes
pre-shared-key *
(...)
Tunel konfigurowałem poprzez ASDM-a za pomocą wizardaRobert Chmieliński edytował(a) ten post dnia 10.09.10 o godzinie 14:27 -
Mam zestawiony tunel IPSec Lan-2-lan na Cisco ASA 5510
Obie fazy zakończyły się poprawnie
jednak mam problem z jakąkolwiek komunikacją przez ten tunel.
nie potrafię spingować ani połączyć się na zdalny pulpit hosta 192.168.101.5
z adresu 192.168.73.5
nie pojawiaja się żadne logi na konsoli po wpisaniu polecenia:
debug crypto ipsec 255
W jaki sposób mogę znaleźć przyczynę problemów.
Proszę o pomoc ewentualnie jakieś namiary na strony
---------------------------------------------
sh crypto ipsec sa peer 213.xxx.xxx.xxx
zwraca mi następujące dane:
peer address: 213.xxx.xxx.xxx
Crypto map tag: outside_map, seq num: 5, local addr: 195.xxx.xxx.xxx
access-list outside_5_cryptomap permit ip 192.168.73.0 255.255.255.0 192.168.101.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.73.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
current_peer: 213.xxx.xxx.xxx
#pkts encaps: 1430, #pkts encrypt: 1430, #pkts digest: 1430
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 1430, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 195.xxx.xxx.xxx, remote crypto endpt.: 213.xxx.xxx.xxx
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: AC6D42A3
inbound esp sas:
spi: 0x6C23FE69 (1814298217)
transform: esp-aes-192 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 11124736, crypto-map: outside_map
sa timing: remaining key lifetime (sec): 78531
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000000 0x00000000 0x00000001
outbound esp sas:
spi: 0xAC6D42A3 (2892841635)
transform: esp-aes-192 esp-sha-hmac no compression
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 11124736, crypto-map: outside_map
sa timing: remaining key lifetime (sec): 78531
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000000 0x00000000 0x00000001
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
