Problem z FirePower

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

Problem z FirePower

#1

#1 Post autor: frytek »

Cześć wam wszystkim.

Potrzebuję pomocy w konfiguracji ASA z fire power services. Sama ASA działa ok, ale nie mogę przesłać do ASA odpowiednich reguł, topologia jak poniżej:
Obrazek

Udało mi się zainstalować odpowiedni moduł na ASA i go skonfigurować:
Obrazek

W management center urządzenie jest widziane i ma status zielony:
Obrazek


ktoś ma jakiś pomysł dlaczego tak ?

Ale nie może już przesłać odpowiedniej Access Control Policy:
Obrazek

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4937
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#2

#2 Post autor: peper »

Policy musisz zainstalować na sfr. Jeżeli próbujesz instalować wywala błąd? Jeżeli tak to jaki?
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

#3

#3 Post autor: frytek »

Nie do końca cię rozumiem, co masz na myśli mówiąc czy policy zainstalowałem na sfr.

Chodzi Ci o to, czy stworzyłem na ASA to:

Kod: Zaznacz cały

ASA(config)# access-list SFR extended permit ip any any
ASA(config)# class-map SFR
ASA(config-cmap)# match access-list SFR
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy 
ASA(config-pmap)# class SFR
ASA(config-pmap-c)# sfr fail-open
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit
?
Ostatnio zmieniony 02 mar 2016, 14:23 przez frytek, łącznie zmieniany 2 razy.

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4937
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#4

#4 Post autor: peper »

Nie. W Management Center jak wyklikasz politykę to musisz ją potem zaaplikować do IPS-a
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

#5

#5 Post autor: frytek »

A w między czasie znalazłem chyba o co pytałeś:



w module sfr wpisuje:

Kod: Zaznacz cały

 system access-control archive 
?

To polecenie przechodzi i kiedy zrobie sobie:

Kod: Zaznacz cały

 show access-control-config 
widze mniej wiecej cos takiego

Kod: Zaznacz cały

ASA_TEST2
Desription ASA TEST_2
Default Action Bloack
A wlasnie, przy tych moich super testach usunalem sobie z Management Center defaultowa polityke... czy jestem w stanie jakos ja przywrócić ? Jest jakaś opcja resetowanie Management Center do defaultowych ustawień ? Debil ze mnie i nie zrobiłem sobie snapshota... A boję się, że po reinstalce zmieni się adres MAC....

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#6

#6 Post autor: eljot »

Do configuration guide MC zaglądałeś?

frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

#7

#7 Post autor: frytek »

Już chyba wszystkie configuration guide z Internetu poprzeglądałem. I te Ciscowe wypadają najsłabiej :P wszyscy mają na obrazkach więcej Polices, takie defaultowe, ja ich nie mam i tak się zastanawiam czy to nie jest problemem. Najchętniej to bym przeinstalował to całe Management Center tylko te problemy z licencjami :-/
Ponawiam pytanie: da się zresetować całą VM'kę do ustawień początkowych z zachowaniem tego MAC'a co mi wygenerowało ?

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4937
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#8

#8 Post autor: peper »

TO chyba powinno Ci przywrócić polityki i początkową konfigurację bez tworzenia VMki od podstaw
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#9

#9 Post autor: eljot »

Mówisz o tym configuration guide co ma prawie 2tyś stron? Mało dokładny?:) Jeżeli masz wersję <6.0, polityki wysyłasz do modułu zielonym ptaszkiem po prawej stronie od nazwy polityki - każdej oddzielnie ( apply policy ). Jeżeli >6.0 wszystkie polityki wysyłasz z jednego miejsca - przycisk deploy w prawym górnym rogu

frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

#10

#10 Post autor: frytek »

Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią :)

Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?

martino76
CCIE
CCIE
Posty: 860
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

#11

#11 Post autor: martino76 »

TAC podeśle Ci dokumentacje jak to skonfigurować jeśli to nigdy nie działało i jest to pierwszy deployment. Ja bym tak zrobił na ich miejscu :)

Pozdro,

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4937
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#12

#12 Post autor: peper »

frytek pisze:Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią :)

Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?
Podejście na lenia. Zamiast samemu pokombinować, a dostałeś sporo przydatnych rad i linki to uderzasz do TAC-a, który za Ciebie tego przecież i tak nie postawi.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

#13

#13 Post autor: frytek »

Przeinstalowalem jeszcze raz FirePower na ASA. Dalej nic, w Cisco FirePower system Pre-Deploy configuration przechodzi ale Policy Deployment failed ;/

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4937
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#14

#14 Post autor: peper »

Przeczytaj jeszcze raz co napisaliśmy wcześniej oraz co jest w configuration guide - Musisz mieć polityki zdefiniowane w Management Center i dopiero instalujesz je na sensorach. Reinstalacja softu na sensorze nic ci nie da.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

frytek
fresh
fresh
Posty: 7
Rejestracja: 02 mar 2016, 12:00

#15

#15 Post autor: frytek »

Hmm:

Obrazek


Obrazek

ODPOWIEDZ