Problem z FirePower

[frytek]

Cześć wam wszystkim.

Potrzebuję pomocy w konfiguracji ASA z fire power services. Sama ASA działa ok, ale nie mogę przesłać do ASA odpowiednich reguł, topologia jak poniżej:


Udało mi się zainstalować odpowiedni moduł na ASA i go skonfigurować:


W management center urządzenie jest widziane i ma status zielony:



ktoś ma jakiś pomysł dlaczego tak ?

Ale nie może już przesłać odpowiedniej Access Control Policy:

[peper]

Policy musisz zainstalować na sfr. Jeżeli próbujesz instalować wywala błąd? Jeżeli tak to jaki?

[frytek]

Nie do końca cię rozumiem, co masz na myśli mówiąc czy policy zainstalowałem na sfr.

Chodzi Ci o to, czy stworzyłem na ASA to:

Kod: Zaznacz cały

ASA(config)# access-list SFR extended permit ip any any
ASA(config)# class-map SFR
ASA(config-cmap)# match access-list SFR
ASA(config-cmap)# exit
ASA(config)# policy-map global_policy 
ASA(config-pmap)# class SFR
ASA(config-pmap-c)# sfr fail-open
ASA(config-pmap-c)# exit
ASA(config-pmap)# exit

?

[peper]

Nie. W Management Center jak wyklikasz politykę to musisz ją potem zaaplikować do IPS-a

[frytek]

A w między czasie znalazłem chyba o co pytałeś:



w module sfr wpisuje:

Kod: Zaznacz cały

 system access-control archive 

?

To polecenie przechodzi i kiedy zrobie sobie:

Kod: Zaznacz cały

 show access-control-config 

widze mniej wiecej cos takiego

Kod: Zaznacz cały

ASA_TEST2
Desription ASA TEST_2
Default Action Bloack

A wlasnie, przy tych moich super testach usunalem sobie z Management Center defaultowa polityke... czy jestem w stanie jakos ja przywrócić ? Jest jakaś opcja resetowanie Management Center do defaultowych ustawień ? Debil ze mnie i nie zrobiłem sobie snapshota... A boję się, że po reinstalce zmieni się adres MAC....

[eljot]

Do configuration guide MC zaglądałeś?

[frytek]

Już chyba wszystkie configuration guide z Internetu poprzeglądałem. I te Ciscowe wypadają najsłabiej wszyscy mają na obrazkach więcej Polices, takie defaultowe, ja ich nie mam i tak się zastanawiam czy to nie jest problemem. Najchętniej to bym przeinstalował to całe Management Center tylko te problemy z licencjami :-/
Ponawiam pytanie: da się zresetować całą VM'kę do ustawień początkowych z zachowaniem tego MAC'a co mi wygenerowało ?

[peper]

TO chyba powinno Ci przywrócić polityki i początkową konfigurację bez tworzenia VMki od podstaw

[eljot]

Mówisz o tym configuration guide co ma prawie 2tyś stron? Mało dokładny?:) Jeżeli masz wersję <6.0, polityki wysyłasz do modułu zielonym ptaszkiem po prawej stronie od nazwy polityki - każdej oddzielnie ( apply policy ). Jeżeli >6.0 wszystkie polityki wysyłasz z jednego miejsca - przycisk deploy w prawym górnym rogu

[frytek]

Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią

Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?

[martino76]

TAC podeśle Ci dokumentacje jak to skonfigurować jeśli to nigdy nie działało i jest to pierwszy deployment. Ja bym tak zrobił na ich miejscu

Pozdro,

[peper]

Wiecie, co albo zadzwonię do TAC'a tak jak jest teraz albo postawię nową VM'kę i niech się oni martwią

Jeszcze tylko zapytam przezornie, w LAB'ie rozumiem że nie muszę mieć podpiętego interfejsu Inside ? Wystarczy tylko management aby móc tworzyć i wysyłać do ASA konfiguracje ?

Podejście na lenia. Zamiast samemu pokombinować, a dostałeś sporo przydatnych rad i linki to uderzasz do TAC-a, który za Ciebie tego przecież i tak nie postawi.

[frytek]

Przeinstalowalem jeszcze raz FirePower na ASA. Dalej nic, w Cisco FirePower system Pre-Deploy configuration przechodzi ale Policy Deployment failed ;/

[peper]

Przeczytaj jeszcze raz co napisaliśmy wcześniej oraz co jest w configuration guide - Musisz mieć polityki zdefiniowane w Management Center i dopiero instalujesz je na sensorach. Reinstalacja softu na sensorze nic ci nie da.

[frytek]

Hmm: