ASA FirePOWER i User Agent

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

ASA FirePOWER i User Agent

#1

#1 Post autor: drake »

Hejka,

mam ASA 5506-X z Firepower (soft 6.2.3.2-42), skonfigurowalem jak nalezy realm z LDAP/AD, grupy sie sciagaja. Jako identity source chce uzyc User Agent, w wersji 2.3 build 10. Serwer LDAP zostaje na UA dodany poprawnie i widze jako available, ladnie na zielono, natomiast gdy chce dodac FMC (w tymn przypadku oczywiscie podaje adres IP sensora - modulu SFR), to UA mieli, mieli po czym podaje komunikat "Unable to connect to Firepower Management Center". Komp na ktorym smiga UA znajduje sie w tym samym LANie co ASA Inside oraz modul SFR, zadnych FW po drodze. Na hoscie z UA wylaczylem FW oraz Bitdefendera, nic nie powinno blokowac ruchu. Na SFR w trybie expert sprawdzilem ze nasluchuje poprawnie na porcie TCP 3306. Pomysly mi sie skonczyly, macie jakies sugestie, lub wdrazal ktos podobny setup, moze z ASA 5512/15/16 ??

Pozdruffka!
Never stop exploring :)

https://iverion.de

Gizmo
wannabe
wannabe
Posty: 185
Rejestracja: 28 sty 2008, 21:55

Re: ASA FirePOWER i User Agent

#2

#2 Post autor: Gizmo »

A jak masz zarządzanie sensorem, przez ASDM czy FMC? Bo jeżeli FMC to powinieneś użyć jego adres a nie sensora. Jak działa to w wypadku braku stacji FMC ciężko mi powiedzieć, za pierwszym razem stwierdziłem że ASDM jest tu mocno kulawy i przestałem używać. Sieciowo nie ma większego znaczenia gdzie jest UA. Musi być dostep do FMC i tyle.
BTW. jako FMC rozumiem stację VM/appliance gdzie jest oprogramowanie Firepower Management Center. Działanie UA z FMC mam w kilku miejscach i bryka bez problemów.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA FirePOWER i User Agent

#3

#3 Post autor: drake »

Hej,
poki co lokalnie na ASDM, FMC jest planowany. Dziwna sprawa, mam UA w dwoch miejscach (PC admina i serwer AD), objaw ten sam. Musze oblookac logi z debuga dokladniej...

Pozdruffka!
Never stop exploring :)

https://iverion.de

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA FirePOWER i User Agent

#4

#4 Post autor: mihu »

hejka,

pewnie wiecie, ale dorzucę 2 grosze. zmiana zarządzania z ASDM na FMC (i odwrotnie) wymusi wyczyszczenie FP/FTD i ponowną konfigurację, więc warto planować wcześniej jak zarządzać FP/FTD. Nigdy nie próbowałem, ale wydaje mi się, że export i import konfiguracji ASDM-FMC nie będzie możliwy, patrząc po problemach z kompatybilnością między samymi wersjami FMC, vide report template stworzony w jednej wersji nie da się zaimportować do innej (ciut nowszej).
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA FirePOWER i User Agent

#5

#5 Post autor: drake »

Hej mihu,

wiem o tym, poki co to srodowisko testowe ;)

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA FirePOWER i User Agent

#6

#6 Post autor: drake »

Heja,
problem rozwiazalem sam: kwestia sprowadza sie do faktu, jak mamy na ASA zdefiniowany mgmt interfejs. Powinien on byc ustawiony na interfejs, ktory jest GW dla modulu SFR - np. Inside, w ktorym w segmencie LAN rezyduja PC z zainstalowanym UA. Natomiast dla UA na serwerach: jesli te znajduja sie w osobnym segmencie LAN, wowczas potrzebne beda odpowiednie reguly NAT (NAT exemption, w sofcie >8.4 zwany Identity NAT), ktore zapewne tak czy siak juz powinny istniec dla komunikacji PC-Serwer.

Pozdruffka! :)
Never stop exploring :)

https://iverion.de

ODPOWIEDZ