https://217.65.3.21/openforum/vsluhforumID6/12435.html Попробую объяснить. Хотя наверно без уточняющих вопросов не получится.<br><br>Хочу пробросить порт на один из внутренних серверов. Это в общем не сложно. Потом я сделал AAA правило, в котором написал что весь трафик идущий на такой то порт в Pix дожен быть авторизованный. И авторизация идет из локальной базы. ТЕперь в общем в чем проблема. Я создал несколько идентичных правил. Отличаются они только портом. Так вот если я обращаюсь на Pix:80 и на удаленной машине server:80, все работает на ура, проходит авторизация и т.п. Если я обращаюсь Pix:80 =&gt; server:port все тоже работает. Все перетсает работать когда я обращаюсь Pix:port =&gt; server:port. Пишет ошибку в броузере "error: must authenticate before using this service". И приглашения на авторизация не вылазит. Подскажите в чем может быть проблема??<br><br>Устройство Cisco Pix 515e https://217.65.3.21/openforum/vsluhforumID6/12435.html#17 Sun, 04 Nov 2007 08:20:07 GMT Уважаемые специалисты,<br>подскажите, пожалуйста, <br><br>Вот такая ситуация:<br>Настроен virtual telnet. Пользователь обращается к хосту, например, через RDP порт. Аторизация для этого соединения настроена. Перебросит ли ASA пользователя автомаматически на виртуальный ip адрес или нет? <br>Другими словами откроется ли у пользователя окно с приглашением для аутентификации или все закончится сообщением об ошибке? <br>В идеале нужно следующее: Пользователь обращается к хосту по порту, отличному от telnet, http ... Нужно, чтобы у него появилось приглашение для ввода логина и пароля. Если пользователь ввел верные данные, окно аутентификации закрывается, изначально инициированная пользоватеем сессия возобновляется и пользователь начинает нормальную работу.<br>В таком виде это работает? Или пользователю потребуется открывть две сесии - сначала к виртуальному хосту для аутентификации, а затем уже к реальному хосту для работы.<br><br><br> https://217.65.3.21/openforum/vsluhforumID6/12435.html#16 Sun, 04 Nov 2007 08:13:37 GMT Уважаемые специалисты,<br>подскажите, пожалуйста, <br><br>Вот такая ситуация:<br>Настроен virtual telnet. Пользователь обращается к хосту, например, через RDP порт. Аторизация для этого соединения настроена. Перебросит ли ASA пользователя автомаматически на виртуальный ip адрес или нет? <br>Другими словами откроется ли у пользователя окно с приглашением для аутентификации или все закончится сообщением об ошибке? <br>В идеале нужно следующее: Пользователь обращается к хосту по порту, отличному от telnet, http ... Нужно, чтобы у него появилось приглашение для ввода логина и пароля. Если пользователь ввел верные данные, окно аутентификации закрывается и изначально инициированная пользоватеем сессия.<br>В таком виде это работает? Или пользователю потребуется открывть две сесии - сначала к виртуальному хосту для аутентификации, а затем уже к реальному хосту для работы.<br> https://217.65.3.21/openforum/vsluhforumID6/12435.html#15 Fri, 12 Jan 2007 14:06:33 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;Авторизуйся сначала по HTTP, а потом иди по этому порту. <br>&gt;&gt;&gt;как? <br>&gt;&gt;Варианта как минимум два: <br>&gt;&gt;1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по <br>&gt;&gt;телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после <br>&gt;&gt;чего для твоего IP будет открыт доступ через пикс. <br>&gt;&gt;2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для <br>&gt;&gt;авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь <br>&gt;&gt;там имя и апроль и все - финиш. <br>&gt;&gt;Я ясно выражаюсь? :) <br>&gt;&gt;Кстати, какая версия пикса? <br>&gt;Делал по второму виду, тоесть. Все работает, прокинут 80 порт на 80 <br>&gt;и 8011 на 8011. Включаем авторизацию, 80 на 80 работает, вылазит <br>&gt;окно, все довольны. Если 8011 на 8011 пишет ошибку. Даже после <br>&gt;авторизации 80 на 80. <br>&gt;<br>&gt;Версия 7,2(2) <br><br>http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_1/conf_gd/fwaaa.htm<br><br>Although you can configure the security appliance to require authentication fo https://217.65.3.21/openforum/vsluhforumID6/12435.html#14 Fri, 12 Jan 2007 13:09:27 GMT &gt;&gt;<br>&gt;&gt;&gt;Авторизуйся сначала по HTTP, а потом иди по этому порту. <br>&gt;&gt;как? <br>&gt;Варианта как минимум два: <br>&gt;1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по <br>&gt;телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после <br>&gt;чего для твоего IP будет открыт доступ через пикс. <br>&gt;2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для <br>&gt;авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь <br>&gt;там имя и апроль и все - финиш. <br>&gt;Я ясно выражаюсь? :) <br>&gt;Кстати, какая версия пикса? <br>Делал по второму виду, тоесть. Все работает, прокинут 80 порт на 80 и 8011 на 8011. Включаем авторизацию, 80 на 80 работает, вылазит окно, все довольны. Если 8011 на 8011 пишет ошибку. Даже после авторизации 80 на 80. <br><br>Версия 7,2(2)<br><br> https://217.65.3.21/openforum/vsluhforumID6/12435.html#13 Fri, 12 Jan 2007 13:06:44 GMT &gt;<br>&gt;&gt;Авторизуйся сначала по HTTP, а потом иди по этому порту. <br>&gt;как? <br>Варианта как минимум два:<br>1) поднять на пиксе virtual-telnet. в этом случае для авторизации надо по телнету законнектиться на виртуальный-телнет сервер, ввести там имя и пароль, после чего для твоего IP будет открыт доступ через пикс.<br>2) настроить авторизацию для доступа к какому-то произвольному IP-адресу по HHTP, для авторизации надо попробовать получить к нему доступ. появится хттпшное окошко. вводишь там имя и апроль и все - финиш.<br>Я ясно выражаюсь? :)<br>Кстати, какая версия пикса?<br> https://217.65.3.21/openforum/vsluhforumID6/12435.html#12 Fri, 12 Jan 2007 12:49:58 GMT <br>&gt;Авторизуйся сначала по HTTP, а потом иди по этому порту. <br>как?<br><br> https://217.65.3.21/openforum/vsluhforumID6/12435.html#11 Fri, 12 Jan 2007 11:57:50 GMT * https://217.65.3.21/openforum/vsluhforumID6/12435.html#10 Fri, 12 Jan 2007 11:44:48 GMT &gt;&gt;&gt;&gt;Я не вижу что ты написал. Конфиг в студию. <br>&gt;&gt;&gt;Так работает <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www <br>&gt;&gt;&gt;access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any <br>&gt;&gt;&gt;static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4 <br>&gt;&gt;&gt;aaa authentication match outside_authentication outside LOCAL <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Вот так не работает <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011 <br>&gt;&gt;&gt;access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any <br>&gt;&gt;&gt;static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4 <br>&gt;&gt;&gt;aaa authentication match outside_authentication outside LOCAL <br>&gt;&gt;Во втором случае ты как авторизацию проходишь? <br>&gt;<br>&gt;во втором случае авторизация даже не запрашивается... Сразу ошибка <br>Авторизуйся сначала по HTTP, а потом иди по этому порту.<br> https://217.65.3.21/openforum/vsluhforumID6/12435.html#9 Fri, 12 Jan 2007 11:23:32 GMT &gt;&gt;&gt;Я не вижу что ты написал. Конфиг в студию. <br>&gt;&gt;Так работает <br>&gt;&gt;<br>&gt;&gt;access-list outside_authentication extended permit tcp any host 172.16.0.196 eq www <br>&gt;&gt;access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq www any <br>&gt;&gt;static (inside,outside) tcp x.x.x.196 www access-list inside_nat_static_4 <br>&gt;&gt;aaa authentication match outside_authentication outside LOCAL <br>&gt;&gt;<br>&gt;&gt;Вот так не работает <br>&gt;&gt;<br>&gt;&gt;access-list outside_authentication extended permit tcp any host 172.16.0.196 eq 8011 <br>&gt;&gt;access-list inside_nat_static_4 extended permit tcp host x.x.x.196 eq 8011 any <br>&gt;&gt;static (inside,outside) tcp x.x.x.196 8011 access-list inside_nat_static_4 <br>&gt;&gt;aaa authentication match outside_authentication outside LOCAL <br>&gt;Во втором случае ты как авторизацию проходишь? <br><br>во втором случае авторизация даже не запрашивается... Сразу ошибка<br><br>