https://mobile.opennet.me/openforum/vsluhforumID6/22456.html Здравствуйте!<br><br>Не могу открыть доступ по SSH для ASA. Имеется VPN между двумя офисами. Есть необходимость управлять ASA2 из центрального офиса. В удаленном офисе (192.168.1.0) управляется по SSH без проблем. Все команды которые знаю прописал. Подскажите, что еще нужно сделать для управления ASA2 по SSH сквозь VPN канал из сети 172.16.0.0.<br>Конфиг ASA2:<br>hostname asa2<br>enable password **** encrypted<br>passwd **** encrypted<br>names<br>!<br>interface Vlan10<br> nameif inside<br> security-level 100<br> ip address 192.168.1.1 255.255.255.0<br>!<br>interface Vlan20<br> nameif outside<br> security-level 0<br> ip address 10.0.1.2 255.255.255.0<br>!<br>interface Ethernet0/0<br> switchport access vlan 10<br>!<br>interface Ethernet0/1<br> switchport access vlan 20<br>!<br>interface Ethernet0/2<br>!<br>no ftp mode passive<br>same-security-traffic permit inter-interface<br>same-security-traffic permit intra-interface<br>access-list 101 extended permit ip 192.168.1.0 255.255.255.0 172.16.0.0 255.255.0.0<br>pager lines 24<br>logging asdm informational<br>mtu inside 1500<br>mtu https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#9 Fri, 08 Apr 2011 02:43:41 GMT не заметил или нет access-list'a на outside интерфейсе для разрешения ssh?<br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#8 Thu, 07 Apr 2011 16:39:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt; pre-shared-key * <br>&gt;&gt; !<br>&gt;&gt; policy-map global_policy <br>&gt;&gt; !<br>&gt;&gt; prompt hostname context <br>&gt;&gt; Cryptochecksum:**** <br>&gt;&gt; : end <br>&gt; Не получится.<br>&gt; Заходи на машинку в той сети, и уже с машинки по ssh <br>&gt; на ASA.<br><br>ASA не сможет сроутить пакеты на одном и том же интерфейсе.<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#7 Thu, 07 Apr 2011 08:35:07 GMT &gt;&gt; management-access inside <br>&gt; попробовал комманду, применилась только доступа по прежнему нет и пинга тоже <br><br>Добавьте еще<br><br>ssh 172.16.0.0 255.255.0.0 inside<br>icmp permit any inside<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#6 Thu, 07 Apr 2011 07:58:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt; write <br>&gt;&gt; при этом нужно чтобы были пароли на passwd и enable <br>&gt;&gt; в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd <br>&gt;&gt; P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске <br>&gt;&gt; ssh <br>&gt; Все это уже давно сделано: <br>&gt; ssh 172.16.0.0 255.255.0.0 outside <br>&gt; ssh 0.0.0.0 0.0.0.0 outside <br>&gt; crypto key generate rsa modulus 1024 ( к примеру ) - это <br>&gt; тоже сделано, из ее внутренней сети есть доступ по SSH <br><br>мне очень помогает инструмент в ASA который называется packet-tracer<br>укажите кто куда зачем, и вы увидите где именно у вас происходит "отлуп"<br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#5 Thu, 07 Apr 2011 07:56:47 GMT &gt; Сначала нужно сделать следующие <br>&gt; conf t <br>&gt; crypto key generate rsa modulus 1024 ( к примеру ) <br>&gt; ssh ( сеть с которой хочешь попасть )( маска подсети )outside <br>&gt; write <br>&gt; при этом нужно чтобы были пароли на passwd и enable <br>&gt; в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd <br>&gt; P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске <br>&gt; ssh <br><br>Все это уже давно сделано:<br>ssh 172.16.0.0 255.255.0.0 outside<br>ssh 0.0.0.0 0.0.0.0 outside<br><br>crypto key generate rsa modulus 1024 ( к примеру ) - это тоже сделано, из ее внутренней сети есть доступ по SSH<br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#4 Thu, 07 Apr 2011 07:50:51 GMT &gt; management-access inside <br><br>попробовал комманду, применилась только доступа по прежнему нет и пинга тоже<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#3 Thu, 07 Apr 2011 06:32:17 GMT Сначала нужно сделать следующие<br><br>conf t<br>crypto key generate rsa modulus 1024 ( к примеру )<br>ssh ( сеть с которой хочешь попасть )( маска подсети )outside<br>write<br><br>при этом нужно чтобы были пароли на passwd и enable<br><br>в любом ssh клиенте вводишь внешний айпи логин pix ну и passwd<br><br>P.S. А вообще читайте мануал, там все есть, достаточно набрать в поиске ssh<br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#2 Thu, 07 Apr 2011 06:07:19 GMT &gt;[оверквотинг удален]<br>&gt; username *** password **** encrypted privilege 15 <br>&gt; tunnel-group 10.0.1.1 type ipsec-l2l <br>&gt; tunnel-group 10.0.1.1 ipsec-attributes <br>&gt; pre-shared-key * <br>&gt; !<br>&gt; policy-map global_policy <br>&gt; !<br>&gt; prompt hostname context <br>&gt; Cryptochecksum:**** <br>&gt; : end <br><br>Не получится.<br>Заходи на машинку в той сети, и уже с машинки по ssh на ASA.<br> https://mobile.opennet.me/openforum/vsluhforumID6/22456.html#1 Thu, 07 Apr 2011 04:59:34 GMT management-access inside<br>