пятница, 25 апреля 2014 г.

Cisco ASA - не работает WEB интерфейс,не подключается ASDM

Совсем недавно настраивал новую ASA 5512-X. Устройство пришло с прошивкой k8, т.к. иногда проблематично приобрести девайс с прошивкой k9. Проведя первоначальные настройки я активировал 3des-aes (процесс описывался ранее). Затем попытался подключиться по web интерфейсу для того чтобы скачать ASDM. Однако ничего не вышло...

В google chrome я получил следующую ошибку:
Error 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Unknown error.
В firefox:
cannot communicate securely with peer: no common encryption algorithm(s).
Как подсказал firefox, какая-то проблема с шифрованием... набрав команду show ssl я увидел следующее:
ciscoasa# show ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: des-sha1
Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1
No SSL trust-points configured
Certificate authentication is not enabled

Можно заметить, что даже после активации 3des-aes, шифрование не включилось. Пришлось вбить руками
ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1
И только после этого я смог подключиться по веб интерфейсу и ASDM.
Вот такая вот неожиданная и неприятная проблема. Надеюсь эта заметка поможет кому-то сэкономить время и нервы.

9 комментариев:

  1. убедитесь что лицензия 3DES активна. show ver. иначе вам это на поможет. base license довольно ограничена %)

    ОтветитьУдалить
    Ответы
    1. проблема как раз в том, что данных эффект всплывает при активной лицензии "даже после активации 3des-aes, шифрование не включилось. Пришлось вбить руками"

      Удалить
  2. Согласен, тоже убил уйму времени!

    Подскажите пожалуйста запускали ли Вы модуль IPS на asa5512x?
    В инструкции указано, что адрес данного модуля 192.168.1.2/24 но войти не удается.

    ОтветитьУдалить
    Ответы
    1. Конкретно на 5512 не запускал. Запускал на асах серии 5500. Но там не обязательно подключаться к managment порту. Если просто подключиться к асе с помощью ASDM, то там появляется вкладка с IPS
      "Step 1 To access IDM from ASDM, click Configuration > IPS.
      Step 2 You are asked for the IP address or hostname of the AIP SSM/SSC."
      Собственно там ip адрес и устанавливается.

      Удалить
  3. Те же действия помогают при ошибке err_ssl_protocol_error

    ОтветитьУдалить
  4. Столкнулся с аналогичной ситуацией, но эти действия не помогли. В дополнение к написанному в настройках JAVA в Advanced Security Settings убрал галочку с пункта "Use SSL 2.0 compatible ClientHello format".
    Может быть кому-нибудь пригодится.

    ОтветитьУдалить
    Ответы
    1. Игорь, спасибо.
      Сломал мозг уже, вроде все есть а не пускает. Понятно что проблема с java, полдня потратил. И еще бы потратил без твоего комментария.

      Удалить
  5. а у меня вот что выдал при вводе команды ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1
    ^
    ERROR: % Invalid input detected at '^' marker.
    ciscoasa(config)#

    ОтветитьУдалить
  6. Боже, спасибо Вам!:) только это и спасло)))

    ОтветитьУдалить

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.