Cisco ASA 55xx: Forskjell mellom sideversjoner

Fra Oyatel Support
Hopp til navigering Hopp til søk
 
(8 mellomliggende versjoner av 2 brukere er ikke vist)
Linje 1: Linje 1:
== SIP ALG ==
{{TOC_right|limit=3}}
 
[[Fil:cisco_asa5505.jpeg|400px]]
 
== ASDM ==
 
Noen av ASDM versjonene støtter ikke nyeste Java Runtime.
 
Du kan f.eks få feilmeldingen:
ASDM is unable to continue loading.
Click OK to exit from ASDM.
Unconnected sockets not implemented.
 
 
Løsningen er da å avinstallere, og installere en eldre versjon, f.eks denne:
[http://java.sun.com/products/archive/j2se/6u7/index.html Sun.com]
 
== Konfigurering ==
 
{{Finne IP-adresse på router}}
 
=== Oppgradere ===
 
Last opp filene vha ASDM GUI
 
Så må du legge inn i config, hvor den skal hente de nye filene fra.
 
Veldig viktig at du gjør '''begge deler''' med en gang, eller så kommer du ikke inn i boksen etterpå:
 
Kjør disse commandoene i CLI:
*asdm image disk0:/asdm-615.bin
*boot system disk0:/asa-815-k8.bin
 
Reboot og du er good to go.
 
=== SSH ===
 
For å slå på SHH:
 
*conf t
*crypto key generate rsa
*username <brukernavn> password <passord> privilege 15
*aaa authentication ssh console LOCAL
*aaa authentication telnet console LOCAL
*ssh 0.0.0.0 0.0.0.0 outside
*ssh 0.0.0.0 0.0.0.0 inside
 
=== SIP ALG ===


Cisco ASA 55xx firewallene har en SIP inspect som kan forårsake problemer.
Cisco ASA 55xx firewallene har en SIP inspect som kan forårsake problemer.
Linje 6: Linje 53:
For å løse dette må man skru av "SIP inspect maps". Det holder IKKE å gjøre dette i det grafiske grensesnittet, man må inn i kommandolinje for å virkelig skru den av.
For å løse dette må man skru av "SIP inspect maps". Det holder IKKE å gjøre dette i det grafiske grensesnittet, man må inn i kommandolinje for å virkelig skru den av.


'''For å skru av "SIP inspect maps":'''<br />
'''Skru av "SIP inspect maps" via GUI:'''
#Logg inn i GUI
#Gå på Configuration > Security Policy > Service Policy Rules
#Dobbeltklikk på regelen og gå til "Rule Actions"
#Fjern "SIP Inspection" fra den markerte listen
 
'''Skru av "SIP inspect maps" via terminal:'''<br />
Logg inn på boksen med f.eks 192.168.1.1<br />
Logg inn på boksen med f.eks 192.168.1.1<br />
Passord: (default er "cisco")<br />
Passord: (default er "cisco")<br />
Linje 41: Linje 94:


Her får du listet opp den konfigen som kjører.
Her får du listet opp den konfigen som kjører.
== Linker ==
*Cisco ASA 5505 brukermanual: Se [[Brukermanualer]]
*DHCP problemer: http://ogenstad.net/2007/11/14/cisco-asa-5500-and-the-hunt-for-the-lost-gateway/

Siste sideversjon per 19. aug. 2010 kl. 08:17

Cisco asa5505.jpeg

ASDM

Noen av ASDM versjonene støtter ikke nyeste Java Runtime.

Du kan f.eks få feilmeldingen:

ASDM is unable to continue loading.
Click OK to exit from ASDM.
Unconnected sockets not implemented.


Løsningen er da å avinstallere, og installere en eldre versjon, f.eks denne: Sun.com

Konfigurering

Finne IP-adresse på router

Dersom du skal f.eks. konfigurere din router er det nødvendig å vite hvilken IP-adresse routeren har, dette kan gjøres på følgende måte:

Windows

Før du starter er det viktig at du er innlogget som administrator på maskinen.

  • Trykk "Start"
  • Trykk "Kjør"
  • Skriv inn "cmd" og deretter trykk "Enter"
  • Skriv inn "ipconfig"

Windows cmd ip config.jpg

Du vil nå få en oversikt over alle nettverkskort du har. Finn det nettverkskortet som routeren er koblet til, og finn "Default gateway". Denne IP-adressen er adressen til din router.

Mac

Før du starter er det viktig at du er innlogget som administrator på maskinen.

  • Trykk på "Eple"-symbolet øverst til venstre på din skjerm
  • Trykk på "Systemvalg..."
  • Trykk på "Nettverk" under kategorien "Internett og trådløst"
  • Trykk på det nettverkskortet routeren er tilkoblet

Mac cmd ip config.jpg

Under "Ruter:" finner du IP-adressen til din router.

Oppgradere

Last opp filene vha ASDM GUI

Så må du legge inn i config, hvor den skal hente de nye filene fra.

Veldig viktig at du gjør begge deler med en gang, eller så kommer du ikke inn i boksen etterpå:

Kjør disse commandoene i CLI:

  • asdm image disk0:/asdm-615.bin
  • boot system disk0:/asa-815-k8.bin

Reboot og du er good to go.

SSH

For å slå på SHH:

  • conf t
  • crypto key generate rsa
  • username <brukernavn> password <passord> privilege 15
  • aaa authentication ssh console LOCAL
  • aaa authentication telnet console LOCAL
  • ssh 0.0.0.0 0.0.0.0 outside
  • ssh 0.0.0.0 0.0.0.0 inside

SIP ALG

Cisco ASA 55xx firewallene har en SIP inspect som kan forårsake problemer. På Oyatel Softphone merkes dette ved at man kan få problemer ved innkommende samtale. Man får 180 ringing, men det blir ikke sendt ut noe "200 OK" melding når man forsøker å ta telefone. Dette stoppes i firewall, men det vises ikke i firewall loggen.

For å løse dette må man skru av "SIP inspect maps". Det holder IKKE å gjøre dette i det grafiske grensesnittet, man må inn i kommandolinje for å virkelig skru den av.

Skru av "SIP inspect maps" via GUI:

  1. Logg inn i GUI
  2. Gå på Configuration > Security Policy > Service Policy Rules
  3. Dobbeltklikk på regelen og gå til "Rule Actions"
  4. Fjern "SIP Inspection" fra den markerte listen

Skru av "SIP inspect maps" via terminal:
Logg inn på boksen med f.eks 192.168.1.1
Passord: (default er "cisco")

Du er nå inne i boksen, og hvis du ikke har gjort om på standardnavnet, ser det nå slik ut:
ciscoasa>

Gå til "privelege mode" ved å skrive:
enable
Standard passord er "cisco")

Du får da et # etter, som viser at du er i privelege mode.
ciscoasa#

Du skal nå konfigurere terminalen. Skriv:
config terminal

Gå videre til policy maps. Skriv:
policy maps

Den policy mapen du skal konfigurere er "default map". Skriv:
class default (kan også være class inspection_default)

Du står nå i:
ciscoasa(config-pmap-c)#

For å skru av sip inspect, skriv:
no inspect sip

Sip inspect maps er nå skrudd av.

For å dobbelsjekke kan du skrive:
show running

Her får du listet opp den konfigen som kjører.

Linker