ASA FirePOWER i User Agent

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
Awatar użytkownika
drake
CCIE
CCIE
Posty: 1426
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

ASA FirePOWER i User Agent

#1

#1 Post autor: drake » 11 lip 2018, 15:21

Hejka,

mam ASA 5506-X z Firepower (soft 6.2.3.2-42), skonfigurowalem jak nalezy realm z LDAP/AD, grupy sie sciagaja. Jako identity source chce uzyc User Agent, w wersji 2.3 build 10. Serwer LDAP zostaje na UA dodany poprawnie i widze jako available, ladnie na zielono, natomiast gdy chce dodac FMC (w tymn przypadku oczywiscie podaje adres IP sensora - modulu SFR), to UA mieli, mieli po czym podaje komunikat "Unable to connect to Firepower Management Center". Komp na ktorym smiga UA znajduje sie w tym samym LANie co ASA Inside oraz modul SFR, zadnych FW po drodze. Na hoscie z UA wylaczylem FW oraz Bitdefendera, nic nie powinno blokowac ruchu. Na SFR w trybie expert sprawdzilem ze nasluchuje poprawnie na porcie TCP 3306. Pomysly mi sie skonczyly, macie jakies sugestie, lub wdrazal ktos podobny setup, moze z ASA 5512/15/16 ??

Pozdruffka!
Never stop exploring :)

Gizmo
wannabe
wannabe
Posty: 176
Rejestracja: 28 sty 2008, 21:55

Re: ASA FirePOWER i User Agent

#2

#2 Post autor: Gizmo » 12 lip 2018, 17:23

A jak masz zarządzanie sensorem, przez ASDM czy FMC? Bo jeżeli FMC to powinieneś użyć jego adres a nie sensora. Jak działa to w wypadku braku stacji FMC ciężko mi powiedzieć, za pierwszym razem stwierdziłem że ASDM jest tu mocno kulawy i przestałem używać. Sieciowo nie ma większego znaczenia gdzie jest UA. Musi być dostep do FMC i tyle.
BTW. jako FMC rozumiem stację VM/appliance gdzie jest oprogramowanie Firepower Management Center. Działanie UA z FMC mam w kilku miejscach i bryka bez problemów.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1426
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: ASA FirePOWER i User Agent

#3

#3 Post autor: drake » 12 lip 2018, 19:30

Hej,
poki co lokalnie na ASDM, FMC jest planowany. Dziwna sprawa, mam UA w dwoch miejscach (PC admina i serwer AD), objaw ten sam. Musze oblookac logi z debuga dokladniej...

Pozdruffka!
Never stop exploring :)

mihu
wannabe
wannabe
Posty: 745
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA FirePOWER i User Agent

#4

#4 Post autor: mihu » 13 lip 2018, 00:31

hejka,

pewnie wiecie, ale dorzucę 2 grosze. zmiana zarządzania z ASDM na FMC (i odwrotnie) wymusi wyczyszczenie FP/FTD i ponowną konfigurację, więc warto planować wcześniej jak zarządzać FP/FTD. Nigdy nie próbowałem, ale wydaje mi się, że export i import konfiguracji ASDM-FMC nie będzie możliwy, patrząc po problemach z kompatybilnością między samymi wersjami FMC, vide report template stworzony w jednej wersji nie da się zaimportować do innej (ciut nowszej).
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1426
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: ASA FirePOWER i User Agent

#5

#5 Post autor: drake » 13 lip 2018, 09:29

Hej mihu,

wiem o tym, poki co to srodowisko testowe ;)

Pozdruffka!
Never stop exploring :)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1426
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: ASA FirePOWER i User Agent

#6

#6 Post autor: drake » 18 lip 2018, 09:17

Heja,
problem rozwiazalem sam: kwestia sprowadza sie do faktu, jak mamy na ASA zdefiniowany mgmt interfejs. Powinien on byc ustawiony na interfejs, ktory jest GW dla modulu SFR - np. Inside, w ktorym w segmencie LAN rezyduja PC z zainstalowanym UA. Natomiast dla UA na serwerach: jesli te znajduja sie w osobnym segmencie LAN, wowczas potrzebne beda odpowiednie reguly NAT (NAT exemption, w sofcie >8.4 zwany Identity NAT), ktore zapewne tak czy siak juz powinny istniec dla komunikacji PC-Serwer.

Pozdruffka! :)
Never stop exploring :)

ODPOWIEDZ