Совсем недавно настраивал новую ASA 5512-X. Устройство пришло с прошивкой k8, т.к. иногда проблематично приобрести девайс с прошивкой k9. Проведя первоначальные настройки я активировал 3des-aes (процесс описывался ранее). Затем попытался подключиться по web интерфейсу для того чтобы скачать ASDM. Однако ничего не вышло...
В google chrome я получил следующую ошибку:
Error 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Unknown error.
В firefox:
cannot communicate securely with peer: no common encryption algorithm(s).
Как подсказал firefox, какая-то проблема с шифрованием... набрав команду show ssl я увидел следующее:
ciscoasa# show sslAccept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: des-sha1
Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1
No SSL trust-points configured
Certificate authentication is not enabled
Можно заметить, что даже после активации 3des-aes, шифрование не включилось. Пришлось вбить руками
ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1
И только после этого я смог подключиться по веб интерфейсу и ASDM.
Вот такая вот неожиданная и неприятная проблема. Надеюсь эта заметка поможет кому-то сэкономить время и нервы.
убедитесь что лицензия 3DES активна. show ver. иначе вам это на поможет. base license довольно ограничена %)
ОтветитьУдалитьпроблема как раз в том, что данных эффект всплывает при активной лицензии "даже после активации 3des-aes, шифрование не включилось. Пришлось вбить руками"
УдалитьСогласен, тоже убил уйму времени!
ОтветитьУдалитьПодскажите пожалуйста запускали ли Вы модуль IPS на asa5512x?
В инструкции указано, что адрес данного модуля 192.168.1.2/24 но войти не удается.
Конкретно на 5512 не запускал. Запускал на асах серии 5500. Но там не обязательно подключаться к managment порту. Если просто подключиться к асе с помощью ASDM, то там появляется вкладка с IPS
Удалить"Step 1 To access IDM from ASDM, click Configuration > IPS.
Step 2 You are asked for the IP address or hostname of the AIP SSM/SSC."
Собственно там ip адрес и устанавливается.
Те же действия помогают при ошибке err_ssl_protocol_error
ОтветитьУдалитьСтолкнулся с аналогичной ситуацией, но эти действия не помогли. В дополнение к написанному в настройках JAVA в Advanced Security Settings убрал галочку с пункта "Use SSL 2.0 compatible ClientHello format".
ОтветитьУдалитьМожет быть кому-нибудь пригодится.
Игорь, спасибо.
УдалитьСломал мозг уже, вроде все есть а не пускает. Понятно что проблема с java, полдня потратил. И еще бы потратил без твоего комментария.
а у меня вот что выдал при вводе команды ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1
ОтветитьУдалить^
ERROR: % Invalid input detected at '^' marker.
ciscoasa(config)#
Боже, спасибо Вам!:) только это и спасло)))
ОтветитьУдалить