Problem z FirePower
Problem z FirePower
Cześć wam wszystkim.
Potrzebuję pomocy w konfiguracji ASA z fire power services. Sama ASA działa ok, ale nie mogę przesłać do ASA odpowiednich reguł, topologia jak poniżej:
Udało mi się zainstalować odpowiedni moduł na ASA i go skonfigurować:
W management center urządzenie jest widziane i ma status zielony:
ktoś ma jakiś pomysł dlaczego tak ?
Ale nie może już przesłać odpowiedniej Access Control Policy:
Potrzebuję pomocy w konfiguracji ASA z fire power services. Sama ASA działa ok, ale nie mogę przesłać do ASA odpowiednich reguł, topologia jak poniżej:
Udało mi się zainstalować odpowiedni moduł na ASA i go skonfigurować:
W management center urządzenie jest widziane i ma status zielony:
ktoś ma jakiś pomysł dlaczego tak ?
Ale nie może już przesłać odpowiedniej Access Control Policy:
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Policy musisz zainstalować na sfr. Jeżeli próbujesz instalować wywala błąd? Jeżeli tak to jaki?
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Nie do końca cię rozumiem, co masz na myśli mówiąc czy policy zainstalowałem na sfr.
Chodzi Ci o to, czy stworzyłem na ASA to:
?
Chodzi Ci o to, czy stworzyłem na ASA to:
Kod: Zaznacz cały
ASA(config)# access-list SFR extended permit ip any any
ASA(config)# class-map SFR
ASA(config-cmap)# match access-list SFR
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy
ASA(config-pmap)# class SFR
ASA(config-pmap-c)# sfr fail-open
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
Ostatnio zmieniony 02 mar 2016, 14:23 przez frytek, łącznie zmieniany 2 razy.
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Nie. W Management Center jak wyklikasz politykę to musisz ją potem zaaplikować do IPS-a
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
A w między czasie znalazłem chyba o co pytałeś:
w module sfr wpisuje:
?
To polecenie przechodzi i kiedy zrobie sobie:
widze mniej wiecej cos takiego
A wlasnie, przy tych moich super testach usunalem sobie z Management Center defaultowa polityke... czy jestem w stanie jakos ja przywrócić ? Jest jakaś opcja resetowanie Management Center do defaultowych ustawień ? Debil ze mnie i nie zrobiłem sobie snapshota... A boję się, że po reinstalce zmieni się adres MAC....
w module sfr wpisuje:
Kod: Zaznacz cały
system access-control archive
To polecenie przechodzi i kiedy zrobie sobie:
Kod: Zaznacz cały
show access-control-config
Kod: Zaznacz cały
ASA_TEST2
Desription ASA TEST_2
Default Action Bloack
Już chyba wszystkie configuration guide z Internetu poprzeglądałem. I te Ciscowe wypadają najsłabiej wszyscy mają na obrazkach więcej Polices, takie defaultowe, ja ich nie mam i tak się zastanawiam czy to nie jest problemem. Najchętniej to bym przeinstalował to całe Management Center tylko te problemy z licencjami :-/
Ponawiam pytanie: da się zresetować całą VM'kę do ustawień początkowych z zachowaniem tego MAC'a co mi wygenerowało ?
Ponawiam pytanie: da się zresetować całą VM'kę do ustawień początkowych z zachowaniem tego MAC'a co mi wygenerowało ?
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
TO chyba powinno Ci przywrócić polityki i początkową konfigurację bez tworzenia VMki od podstaw
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Mówisz o tym configuration guide co ma prawie 2tyś stron? Mało dokładny?:) Jeżeli masz wersję <6.0, polityki wysyłasz do modułu zielonym ptaszkiem po prawej stronie od nazwy polityki - każdej oddzielnie ( apply policy ). Jeżeli >6.0 wszystkie polityki wysyłasz z jednego miejsca - przycisk deploy w prawym górnym rogu
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Podejście na lenia. Zamiast samemu pokombinować, a dostałeś sporo przydatnych rad i linki to uderzasz do TAC-a, który za Ciebie tego przecież i tak nie postawi.frytek pisze:Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią
Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Przeczytaj jeszcze raz co napisaliśmy wcześniej oraz co jest w configuration guide - Musisz mieć polityki zdefiniowane w Management Center i dopiero instalujesz je na sensorach. Reinstalacja softu na sensorze nic ci nie da.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"