Здравствуйте!Не могу открыть доступ по SSH для ASA. Имеется VPN между двумя офисами. Есть необходимость управлять ASA2 из центрального офиса. В удаленном офисе (192.168.1.0) управляется по SSH без проблем. Все команды которые знаю прописал. Подскажите, что еще нужно сделать для управления ASA2 по SSH сквозь VPN канал из сети 172.16.0.0.
Конфиг ASA2:
hostname asa2
enable password **** encrypted
passwd **** encrypted
names
!
interface Vlan10
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan20
nameif outside
security-level 0
ip address 10.0.1.2 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 10
!
interface Ethernet0/1
switchport access vlan 20
!
interface Ethernet0/2
!
no ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route inside 0.0.0.0 0.0.0.0 192.168.1.254 1
route outside 172.16.0.0 255.255.0.0 10.0.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set 2tr esp-aes esp-sha1-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map fw 10 match address 101
crypto map fw 10 set peer 10.0.1.1
crypto map fw 10 set transform-set 2tr
crypto map fw interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha1
group 5
lifetime 86400
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.0.0 255.255.0.0 outside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp authentication-key 1 md5 *
ntp authenticate
ntp trusted-key 1
ntp server 172.16.0.5 key 1 source inside prefer
username *** password **** encrypted privilege 15
tunnel-group 10.0.1.1 type ipsec-l2l
tunnel-group 10.0.1.1 ipsec-attributes
pre-shared-key *
!
policy-map global_policy
!
prompt hostname context
Cryptochecksum:****
: end
management-access inside
> management-access insideпопробовал комманду, применилась только доступа по прежнему нет и пинга тоже
>> management-access inside
> попробовал комманду, применилась только доступа по прежнему нет и пинга тожеДобавьте еще
ssh 172.16.0.0 255.255.0.0 inside
icmp permit any inside
>[оверквотинг удален]
> username *** password **** encrypted privilege 15
> tunnel-group 10.0.1.1 type ipsec-l2l
> tunnel-group 10.0.1.1 ipsec-attributes
> pre-shared-key *
> !
> policy-map global_policy
> !
> prompt hostname context
> Cryptochecksum:****
> : endНе получится.
Заходи на машинку в той сети, и уже с машинки по ssh на ASA.
Сначала нужно сделать следующиеconf t
crypto key generate rsa modulus 1024 ( к примеру )
ssh ( сеть с которой хочешь попасть )( маска подсети )outside
writeпри этом нужно чтобы были пароли на passwd и enable
в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd
P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске ssh
> Сначала нужно сделать следующие
> conf t
> crypto key generate rsa modulus 1024 ( к примеру )
> ssh ( сеть с которой хочешь попасть )( маска подсети )outside
> write
> при этом нужно чтобы были пароли на passwd и enable
> в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd
> P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске
> sshВсе это уже давно сделано:
ssh 172.16.0.0 255.255.0.0 outside
ssh 0.0.0.0 0.0.0.0 outsidecrypto key generate rsa modulus 1024 ( к примеру ) - это тоже сделано, из ее внутренней сети есть доступ по SSH
>[оверквотинг удален]
>> write
>> при этом нужно чтобы были пароли на passwd и enable
>> в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd
>> P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске
>> ssh
> Все это уже давно сделано:
> ssh 172.16.0.0 255.255.0.0 outside
> ssh 0.0.0.0 0.0.0.0 outside
> crypto key generate rsa modulus 1024 ( к примеру ) - это
> тоже сделано, из ее внутренней сети есть доступ по SSHмне очень помогает инструмент в ASA который называется packet-tracer
укажите кто куда зачем, и вы увидите где именно у вас происходит "отлуп"
>[оверквотинг удален]
>> pre-shared-key *
>> !
>> policy-map global_policy
>> !
>> prompt hostname context
>> Cryptochecksum:****
>> : end
> Не получится.
> Заходи на машинку в той сети, и уже с машинки по ssh
> на ASA.ASA не сможет сроутить пакеты на одном и том же интерфейсе.
не заметил или нет access-list'a на outside интерфейсе для разрешения ssh?