ASA FirePOWER i User Agent

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
Awatar użytkownika
drake
CCIE
CCIE
Posty: 1410
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

ASA FirePOWER i User Agent

#1

#1 Post autor: drake » 11 lip 2018, 15:21

Hejka,

mam ASA 5506-X z Firepower (soft 6.2.3.2-42), skonfigurowalem jak nalezy realm z LDAP/AD, grupy sie sciagaja. Jako identity source chce uzyc User Agent, w wersji 2.3 build 10. Serwer LDAP zostaje na UA dodany poprawnie i widze jako available, ladnie na zielono, natomiast gdy chce dodac FMC (w tymn przypadku oczywiscie podaje adres IP sensora - modulu SFR), to UA mieli, mieli po czym podaje komunikat "Unable to connect to Firepower Management Center". Komp na ktorym smiga UA znajduje sie w tym samym LANie co ASA Inside oraz modul SFR, zadnych FW po drodze. Na hoscie z UA wylaczylem FW oraz Bitdefendera, nic nie powinno blokowac ruchu. Na SFR w trybie expert sprawdzilem ze nasluchuje poprawnie na porcie TCP 3306. Pomysly mi sie skonczyly, macie jakies sugestie, lub wdrazal ktos podobny setup, moze z ASA 5512/15/16 ??

Pozdruffka!
Never stop exploring :)

Gizmo
wannabe
wannabe
Posty: 175
Rejestracja: 28 sty 2008, 21:55

Re: ASA FirePOWER i User Agent

#2

#2 Post autor: Gizmo » 12 lip 2018, 17:23

A jak masz zarządzanie sensorem, przez ASDM czy FMC? Bo jeżeli FMC to powinieneś użyć jego adres a nie sensora. Jak działa to w wypadku braku stacji FMC ciężko mi powiedzieć, za pierwszym razem stwierdziłem że ASDM jest tu mocno kulawy i przestałem używać. Sieciowo nie ma większego znaczenia gdzie jest UA. Musi być dostep do FMC i tyle.
BTW. jako FMC rozumiem stację VM/appliance gdzie jest oprogramowanie Firepower Management Center. Działanie UA z FMC mam w kilku miejscach i bryka bez problemów.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1410
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: ASA FirePOWER i User Agent

#3

#3 Post autor: drake » 12 lip 2018, 19:30

Hej,
poki co lokalnie na ASDM, FMC jest planowany. Dziwna sprawa, mam UA w dwoch miejscach (PC admina i serwer AD), objaw ten sam. Musze oblookac logi z debuga dokladniej...

Pozdruffka!
Never stop exploring :)

mihu
wannabe
wannabe
Posty: 736
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA FirePOWER i User Agent

#4

#4 Post autor: mihu » 13 lip 2018, 00:31

hejka,

pewnie wiecie, ale dorzucę 2 grosze. zmiana zarządzania z ASDM na FMC (i odwrotnie) wymusi wyczyszczenie FP/FTD i ponowną konfigurację, więc warto planować wcześniej jak zarządzać FP/FTD. Nigdy nie próbowałem, ale wydaje mi się, że export i import konfiguracji ASDM-FMC nie będzie możliwy, patrząc po problemach z kompatybilnością między samymi wersjami FMC, vide report template stworzony w jednej wersji nie da się zaimportować do innej (ciut nowszej).
ML

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1410
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: ASA FirePOWER i User Agent

#5

#5 Post autor: drake » 13 lip 2018, 09:29

Hej mihu,

wiem o tym, poki co to srodowisko testowe ;)

Pozdruffka!
Never stop exploring :)

ODPOWIEDZ