Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п. Если я обращаюсь Pix:80 => server:port все тоже работает. Все перетсает работать когда я обращаюсь Pix:port => server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??
Устройство Cisco Pix 515e
СКОПИРОВАЛ НЕ ТО!!! Вот тут читать.Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.
Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п. Все перетсает работать когда я обращаюсь Pix:80 => server:port или Pix:port -> server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??
Устройство Cisco Pix 515e
>СКОПИРОВАЛ НЕ ТО!!! Вот тут читать.
>
>Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.
>
>Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п. Все перетсает работать когда я обращаюсь Pix:80 => server:port или Pix:port -> server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??
>
>Устройство Cisco Pix 515e
Все дело в том что аутентифкация может осуществляться только для HTTP, FTP и Telnet. Если ты хочешь получить доступ по другим портам, то сначала аутентифицируйся с использованием этих протоколов.
>Все дело в том что аутентифкация может осуществляться только для HTTP, FTP
>и Telnet. Если ты хочешь получить доступ по другим портам, то
>сначала аутентифицируйся с использованием этих протоколов.ок, как? что мне нужно сделать, чтобы авторизваться с помощью этих протоколов?
>>Все дело в том что аутентифкация может осуществляться только для HTTP, FTP
>>и Telnet. Если ты хочешь получить доступ по другим портам, то
>>сначала аутентифицируйся с использованием этих протоколов.
>
>ок, как? что мне нужно сделать, чтобы авторизваться с помощью этих протоколов?
>
Наример поднять на пиксе Virtual Telnet или сначала полезть за пикс по HTTP =)
>Наример поднять на пиксе Virtual Telnet или сначала полезть за пикс по
>HTTP =)
Хорошо, как именнно это надо сделать? Я написал в Virtual HTTP ip адрес, если Pix:port и server:80 я вижу окно переадресации, при клике на ссылку ничего не происходит. Если Pix:port -> server:port не вылазит даже окно редиректа.
>>Наример поднять на пиксе Virtual Telnet или сначала полезть за пикс по
>>HTTP =)
>Хорошо, как именнно это надо сделать? Я написал в Virtual HTTP ip адрес, если Pix:port и server:80 я вижу окно переадресации, при клике на ссылку ничего не происходит. Если Pix:port -> server:port не вылазит даже окно редиректа.
Я не вижу что ты написал. Конфиг в студию.
>Я не вижу что ты написал. Конфиг в студию.
Так работаетaccess-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
aaa authentication match outside_authentication outside LOCALВот так не работает
access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
aaa authentication match outside_authentication outside LOCAL
>>Я не вижу что ты написал. Конфиг в студию.
>Так работает
>
>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
>static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
>aaa authentication match outside_authentication outside LOCAL
>
>Вот так не работает
>
>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
>static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
>aaa authentication match outside_authentication outside LOCAL
Во втором случае ты как авторизацию проходишь?
>>>Я не вижу что ты написал. Конфиг в студию.
>>Так работает
>>
>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
>>static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
>>aaa authentication match outside_authentication outside LOCAL
>>
>>Вот так не работает
>>
>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
>>static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
>>aaa authentication match outside_authentication outside LOCAL
>Во втором случае ты как авторизацию проходишь?во втором случае авторизация даже не запрашивается... Сразу ошибка
>>>>Я не вижу что ты написал. Конфиг в студию.
>>>Так работает
>>>
>>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www
>>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any
>>>static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4
>>>aaa authentication match outside_authentication outside LOCAL
>>>
>>>Вот так не работает
>>>
>>>access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011
>>>access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any
>>>static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4
>>>aaa authentication match outside_authentication outside LOCAL
>>Во втором случае ты как авторизацию проходишь?
>
>во втором случае авторизация даже не запрашивается... Сразу ошибка
Авторизуйся сначала по HTTP, а потом иди по этому порту.
>Авторизуйся сначала по HTTP, а потом иди по этому порту.
как?
>
>>Авторизуйся сначала по HTTP, а потом иди по этому порту.
>как?
Варианта как минимум два:
1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после чего для твоего IP будет открыт доступ через пикс.
2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь там имя и апроль и все - финиш.
Я ясно выражаюсь? :)
Кстати, какая версия пикса?
>>
>>>Авторизуйся сначала по HTTP, а потом иди по этому порту.
>>как?
>Варианта как минимум два:
>1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по
>телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после
>чего для твоего IP будет открыт доступ через пикс.
>2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для
>авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь
>там имя и апроль и все - финиш.
>Я ясно выражаюсь? :)
>Кстати, какая версия пикса?
Делал по второму виду, тоесть. Все работает, прокинут 80 порт на 80 и 8011 на 8011. Включаем авторизацию, 80 на 80 работает, вылазит окно, все довольны. Если 8011 на 8011 пишет ошибку. Даже после авторизации 80 на 80.Версия 7,2(2)
>>>
>>>>Авторизуйся сначала по HTTP, а потом иди по этому порту.
>>>как?
>>Варианта как минимум два:
>>1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по
>>телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после
>>чего для твоего IP будет открыт доступ через пикс.
>>2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для
>>авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь
>>там имя и апроль и все - финиш.
>>Я ясно выражаюсь? :)
>>Кстати, какая версия пикса?
>Делал по второму виду, тоесть. Все работает, прокинут 80 порт на 80
>и 8011 на 8011. Включаем авторизацию, 80 на 80 работает, вылазит
>окно, все довольны. Если 8011 на 8011 пишет ошибку. Даже после
>авторизации 80 на 80.
>
>Версия 7,2(2)http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa...
Although you can configure the security appliance to require authentication for network access to any protocol or service, users can authenticate directly with HTTP(S), Telnet, or FTP only. A user must first authenticate with one of these services before the security appliance allows other traffic requiring authentication.
Возможно причина ошибки не в том что вы не авторизованы. Мне вот так сразу сложно сказать. Как вариант- поднимите virtual telnet. Я вам дал сцылку.
Уважаемые специалисты,
подскажите, пожалуйста,Вот такая ситуация:
Настроен virtual telnet. Пользователь обращается к хосту, например, через RDP порт. Аторизация для этого соединения настроена. Перебросит ли ASA пользователя автомаматически на виртуальный ip адрес или нет?
Другими словами откроется ли у пользователя окно с приглашением для аутентификации или все закончится сообщением об ошибке?
В идеале нужно следующее: Пользователь обращается к хосту по порту, отличному от telnet, http ... Нужно, чтобы у него появилось приглашение для ввода логина и пароля. Если пользователь ввел верные данные, окно аутентификации закрывается и изначально инициированная пользоватеем сессия.
В таком виде это работает? Или пользователю потребуется открывть две сесии - сначала к виртуальному хосту для аутентификации, а затем уже к реальному хосту для работы.
Уважаемые специалисты,
подскажите, пожалуйста,Вот такая ситуация:
Настроен virtual telnet. Пользователь обращается к хосту, например, через RDP порт. Аторизация для этого соединения настроена. Перебросит ли ASA пользователя автомаматически на виртуальный ip адрес или нет?
Другими словами откроется ли у пользователя окно с приглашением для аутентификации или все закончится сообщением об ошибке?
В идеале нужно следующее: Пользователь обращается к хосту по порту, отличному от telnet, http ... Нужно, чтобы у него появилось приглашение для ввода логина и пароля. Если пользователь ввел верные данные, окно аутентификации закрывается, изначально инициированная пользоватеем сессия возобновляется и пользователь начинает нормальную работу.
В таком виде это работает? Или пользователю потребуется открывть две сесии - сначала к виртуальному хосту для аутентификации, а затем уже к реальному хосту для работы.
*