Здравствуйте, Я получил вопрос от клиента о переносе лицензий AnyConnect на новый брандмауэр FTD 2130. Я нашел документацию, руководство по заказу, в котором говорится, что нельзя переносить только лицензии AnyConnect VPN. Но как насчет AnyConnect plus и APEX? Может ли клиент перенести AnyConnect Plus или APEX на новую платформу? Обратите внимание, что старое устройство все еще работает, поэтому это не случай RMA. Спасибо С уважением Андреас

Проблема с новым сайтом, удаленная часть которого находится за брандмауэром. Интерфейс туннеля работает, маршруты есть, но через туннель ничего не инкапсулируется. Я вижу декапсуляцию, но трафик не проходит от хаба к спице. Я также не могу пинговать удаленный конец интерфейса туннеля, который является /30. В настоящее время у меня нет доступа к удаленному концу (есть файл конфигурации), поэтому я пытаюсь заставить это работать со стороны хаба, но без особого успеха. У меня есть другие идентичные конфигурации, которые работают без проблем, но эта не работает, и я не понимаю, почему. Предполагаю, что проблема в маршрутизации на дальнем конце, но я должен хотя бы иметь возможность пинговать дальний конец туннеля 172.21.8.13, нет? Tunnel6 172.21.8.14 YES manual up up interface Tunnel6 ip address 172.21.8.14 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination 99.66.77.88 tunnel protection ipsec profile ikev2- end Crypto map tag: Tunnel6-head-0, local addr 88.55.66.77 protected vrf: (none) local ident (addr/mask/prot/port): (88.55.66.77/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (192.168.2.2/255.255.255.255/47/0) current_peer 99.66.77.88 port 64917 PERMIT, flags={} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 349, #pkts decrypt: 349, #pkts verify: 349 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 88.55.66.77, remote crypto endpt.: 99.66.77.88 plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0x85BEAFA7(2243866535) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x97864AAC(2542160556) transform: esp-256-aes esp-sha256-hmac , in use settings ={Tunnel UDP-Encaps, } conn id: 8517, flow_id: ESG:6517, sibling_flags FFFFFFFF80000048, crypto map: Tunnel6-head-0 sa timing: remaining key lifetime (k/sec): (4607966/3412) IV size: 16 bytes replay detection support: Y Status: ACTIVE(ACTIVE)

У нас есть ASAv с настройкой Secure Client в арендаторе Azure. У нас есть URL-адрес в другом арендаторе, к которому люди могут получить доступ при подключении к VPN-клиенту с помощью межарендаторного пиринга. Это только внутренний доступ. Проблема в том, что домен/DNS для VPN-клиента отличается от домена/DNS виртуальной машины, поэтому, очевидно, не может выполнять разрешение имен. На данный момент я обхожу эту проблему, просто добавляя запись в файл хоста, и это работает нормально. Просто интересно, есть ли какой-нибудь способ применить это с помощью VPN-клиента. Он настроен как разделенный туннель, и у меня есть этот внутренний IP, указанный в безопасных маршрутах. Спасибо

Уважаемая команда! У меня есть два ASA 5545-X в кластерном режиме. Мы пытаемся настроить VPN (Route-Base) на основе VTI, но у нас нет подходящей команды в CLI и мы не знаем, что происходит. Версия ASA: ASA версия 9.14(4)17 Мы не можем реализовать команду: 1. interface Tunnel... — она не существует 2. crypto ipsec profile — ее нет У нас есть лицензия Secutiy plus... Это ограничение связано с тем, что у нас кластерный режим?

Я попытался изменить XML-файл для Cisco Secure Client на ASA. Я загрузил его на компьютер с Linux, отредактировал на этом компьютере и снова загрузил. Но изменения не отображаются на клиенте при подключении через Secure Client VPN. Есть какие-нибудь идеи? Мне нужно активировать XLM в ASA CLI?

Я использую клиент Cisco Anyconnect Secure Mobility в Ubuntu Linux 22.04. До недавнего времени все работало нормально. Я запускал клиент и попадал на страницу входа в систему SSO моей организации, а затем подключался к VPN. С сегодняшнего дня окно браузера больше не появляется!!! Несмотря на то, что в нижнем колонтитуле отображается сообщение «Завершите процесс аутентификации в окне браузера». Я попробовал изменить браузер по умолчанию, но это не помогло. Версия клиента — 4.10.06090. Есть какие-нибудь идеи? Спасибо!

Привет, команда! Может ли кто-нибудь поделиться ссылкой для скачивания и установки интерактивного каталога Cisco 3D?

Привет, ребята, В официальном техническом описании маршрутизатора IR 829: https://www.cisco.com/c/en/us/products/collateral/routers/829-industrial-router/datasheet-c78-734981.html не содержится подробной информации о пропускной способности IPSEC. Буду очень благодарен, если кто-нибудь ответит на следующие вопросы: 1. Может ли этот маршрутизатор принимать интерфейс VLAN в качестве источника туннеля для статического VTI IPSEC? 2. Какова максимальная пропускная способность IPSEC IR 829 независимо от производительности удаленного узла? Заранее спасибо! Стивен

Я работаю с клиентом, который пытается настроить соединение IPSec между своим устройством Firepower и моими шлюзами Azure Site-2-Site VPN. Мои шлюзы Azure S2S работают в паре «активный-активный». Клиент использует устройства Firepower в режиме «активный-пассивный» и сообщает мне, что в их версии кода они ограничены VPN на основе политик. У нас есть работающий туннель к одному из экземпляров шлюза Azure, и мы собираемся настроить туннель ко второму. Шлюзы Azure будут перенаправлять трафик через любой из туннелей. Я искал руководство по настройке или информацию о том, что мы должны делать для выбора туннеля на стороне Firepower. Домен шифрования будет одинаковым для обоих туннелей. Существует ли концепция мониторинга пути или какой-либо способ, с помощью которого мы могли бы обнаружить, если один из двух туннелей становится недоступным? Спасибо

Привет, команда! Я настроил VPN-соединение IPSec между сайтами на Meraki MX с брандмауэром Fortinet. Туннель отображается «зеленым» с обеих сторон, но трафик не проходит . Проверено на данный момент: Предложения фазы 1 и фазы 2 совпадают VPN «UP» на панели управления Маршруты добавлены с обеих сторон Тем не менее, между сайтами нет пинга и трафика. Каковы обычные шаги по устранению неполадок в этом случае? Может ли это быть связано с политикой брандмауэра, NAT или пересечением подсетей ? Любые предложения, основанные на вашем реальном опыте, будут полезны. С уважением, Мд. Иршад Ансари

Как восстановить пароль на FPR-1010 с кодом ASA?

Здравствуйте, Я пытаюсь загрузить AnyConnect версии 5.1.11.388 в Tanium для удобного развертывания, но не вижу файлы xml в zip-архивах. Их нужно загружать отдельно? В zip-архивах есть пустые папки Profiles и Setup. Помимо файла .msi, там есть файлы Setup.exe и setup.hta. Файлов xml нет. Спасибо за помощь

Здравствуйте, как указано в заголовке, я не могу подключиться к Cisco Secure VPN после обновления ОС с Ubuntu 22.02 до 24.04. Получаю следующую ошибку «Вам не хватает необходимых библиотек для запрошенного метода аутентификации». При более тщательном рассмотрении фактическая ошибка выглядит так: «/opt/cisco/secureclient/bin/acwebhelper: ошибка при загрузке общих библиотек: libwebkit2gtk-4.0.so.37: невозможно открыть файл общего объекта: такого файла или каталога не существует /opt/cisco/secureclient/bin/acwebhelper: ошибка при загрузке общих библиотек: libsoup-2.4.so.1: невозможно открыть файл общего объекта: такого файла или каталога не существует». Я попытался установить «libwebkit2gtk-4.0.so.37», но не смог, потому что он работает на «libsoup-2.4.so.1», а эта новая версия использует «libsoup-3.0-0:amd64». Я также попытался установить обе версии libsoup, что позволило мне установить «libwebkit2gtk-4.0.so.37». К сожалению, это привело к другой ошибке: «libsoup-ERROR **: 17:02:57.257: обнаружены символы libsoup2. Использование libsoup2 и libsoup3 в одном процессе не поддерживается». Я не знаю, что делать дальше, буду очень благодарен за любые предложения. Ошибка исправлена, просьба не обращать внимания.

Здравствуйте, Я настраиваю масштабируемое решение IPSec, в котором у клиента будут маршрутизаторы Cisco с левой стороны, а туннель будет установлен следующим образом: «маршрутизатор Cisco клиента --> AWS NLB--> NAT (экземпляр ec2) --> CIsco ASAv». Я могу настроить этот поток, и туннель работает как ожидалось. Я использую основной IP-адрес экземпляра NAT для преобразования. Теперь проблема возникает, когда я ввожу второй туннель с тем же путем, только с вторичным IP NAT в качестве переведенного IP. Я настроил правило NAT (с помощью iptables) соответствующим образом, и здесь туннель выходит из строя на этапе 2 переговоров. Насколько я понимаю, проблема заключается в маршрутизации экземпляра Ec2 между основным IP и вторичным IP. Кто-нибудь имеет опыт настройки такого типа архитектуры? Буду очень благодарен за любую помощь в этом вопросе.

Привет всем! Недавно, настраивая VPN между брандмауэром FortiGate и Cisco ASA, я столкнулся с интересной проблемой: фаза 1 IPSec-туннеля работала, но фаза 2 не устанавливалась. ![:backhand_index_pointing_right:] Основная причина: несовместимые алгоритмы шифрования/аутентификации . Я решил эту проблему, согласовав предложения фазы 2 (AES-256/SHA256) на обоих устройствах. ![] Мой вопрос к сообществу: Кто-нибудь сталкивался с подобными проблемами несовместимости фазы 2 между межсетевыми экранами разных производителей? Вы предпочитаете устанавливать настройки по умолчанию или явно указывать параметры фазы 2? Жду ваших отзывов [image: eac85c0a20888880952d424c42917cb557813232.png] [image: 0aad579df9b51bf80e9453cf4280a91831967289.png]

Среда: macOS Sonoma AnyConnect 4.09, ASA, разделенный туннель SSL-VPN. Симптом: соединение было успешным, только один раз отключилось примерно через 60 секунд → автоматическое повторное подключение через несколько секунд → после этого работало стабильно. Только один конкретный терминал. DTLS нельзя отключить. Вопрос: Какие настройки необходимо изменить на ASA/клиенте, чтобы навсегда прекратить это «первое 60-секундное отключение» при сохранении DTLS? Варианты: Доступность UDP/443 и NAT, MTU/MSS и DPD/Keepalive. Какие конкретные значения и процедуры ASDM/CLI сработали в производственной среде?

Здравствуйте, Мне нужно добавить новую сеть в криптографическую карту. Однако партнеру потребуется некоторое время, чтобы добавить ту же сеть на своей стороне. Я хочу подготовить как можно больше настроек со своей стороны. Можно ли сначала добавить новую сеть со своей стороны, а затем дождаться, пока партнер добавит ее со своей стороны, не рискуя нарушить работу VPN-туннеля? Я хочу убедиться, что VPN-туннель будет продолжать работать для других сетей в криптографической карте. Спасибо /Chess

Здравствуйте, Я пытаюсь настроить и запустить базовый туннель IKEv2 / IPSec между двумя маршрутизаторами C8200. Один из них «прямо доступен» из Интернета, другой находится за маршрутизатором LTE, который выполняет собственное NAT. Теоретически я полагаю, что настройка туннеля должна быть довольно простой, но, увы, мне потребовалось две недели, чтобы дойти даже до этого этапа: SPOKE имеет статическую конфигурацию, указывающую на WAN IP HUB. HUB имеет динамическую конфигурацию с использованием виртуального шаблона. Я не смог заставить HUB принимать трафик без этого шаблона (ответы ICMP о недоступности порта). Теперь появляются IKEv2 SA и IPSec SA, но я не могу пропустить трафик через туннель. Ни интерфейсы туннеля (10.255.0.1 и .2), ни Loopbacks не могут пинговать в любом направлении. Я не имею представления, в чем еще может быть проблема. Везде, где я искал, я получаю противоречивую информацию о том, нужны ли вообще шаблоны и ACL, а документация Cisco в основном устарела и содержит команды, которые больше не существуют. Маршрутизатор 1 «HUB» доступен глобально, имеет соответствующий ACL на WAN (22/tcp, 500/udp,m 4500/udp). [Спойлер] (Выделите, чтобы прочитать) соответствующая (отредактированная) конфигурация ... ! ! crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL ! crypto ikev2 proposal HUB-PROP encryption aes-gcm-256 prf sha256 group 21 ! crypto ikev2 policy HUB-POLICY proposal HUB-PROP ! crypto ikev2 keyring HUB-KEYRING peer spoke address 0.0.0.0 0.0.0.0 pre-shared-key "THISISABSOLUTEMADNESS1!" ! replaced before posting ! ! ! crypto ikev2 profile HUB-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any identity local fqdn hub.customer.site authentication remote pre-share authentication local pre-share keyring local HUB-KEYRING dpd 20 2 periodic nat keepalive 20 virtual-template 1 ! crypto ikev2 nat keepalive 900 crypto ikev2 dpd 10 2 periodic ! ! ! ! ! crypto logging ikev2 ! ! ! ! ! ! ! ! crypto ipsec transform-set HUB-TRAFO esp-gcm 256 mode tunnel ! crypto ipsec profile HUB-IPSECPROF set security-association lifetime kilobytes disable set transform-set HUB-TRAFO set pfs group21 set ikev2-profile HUB-IKEPROF responder-only reverse-route ! ! ! ! ! ! ! ! ! ! interface Loopback1 no ip address ! interface Loopback100 description LAN-REMOTE-1 ip address 192.168.8.1 255.255.255.0 ! interface Loopback200 description VTI-LOOPBACK ip address 10.255.0.1 255.255.255.0 ! interface GigabitEthernet0/0/0 description WAN ip address $GLOBALWANIP 255.255.255.248 ! replaced before posting negotiation auto ! interface GigabitEthernet0/0/1 no ip address negotiation auto ! interface GigabitEthernet0/0/2 no ip address negotiation auto ! interface GigabitEthernet0/0/3 no ip address negotiation auto ! interface GigabitEthernet0/1/0 no ip address negotiation auto ! interface GigabitEthernet0/1/1 no ip address negotiation auto ! interface Virtual-Template1 type tunnel ip unnumbered Loopback200 no ip redirects no ip proxy-arp ip mtu 1366 ip tcp adjust-mss 1326 qos pre-classify tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination dynamic tunnel protection ipsec profile HUB-IPSECPROF ! ip forward-protocol nd no ip http server ip http authentication local ip http secure-server ! ip route 0.0.0.0 0.0.0.0 $GLOBALWANGW ! replaced before posting ip ssh bulk-mode 131072 ! ! ip ssh server algorithm hostkey rsa-sha2-256 rsa-sha2-512 ip scp server enable ! ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255 ! ! ! ! ! ! ! ... ! ! ! ! ! ! end релевантная (редактированная) конфигурация... ! ! crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL ! crypto ikev2 proposal HUB-PROP encryption aes-gcm-256 prf sha256 группа 21 ! crypto ikev2 policy HUB-POLICY предложение HUB-PROP ! crypto ikev2 keyring HUB-KEYRING peer spoke адрес 0.0.0.0 0.0.0.0 предварительно совместно используемый ключ «THISISABSOLUTEMADNESS1!» ! заменен перед публикацией ! ! ! crypto ikev2 profile HUB-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any identity local fqdn hub.customer.site authentication remote pre-share authentication local pre-share keyring local HUB-KEYRING dpd 20 2 periodic nat keepalive 20 виртуальный шаблон 1 ! crypto ikev2 nat keepalive 900 crypto ikev2 dpd 10 2 периодический ! ! ! ! ! crypto logging ikev2 ! ! ! ! ! ! ! ! crypto ipsec transform-set HUB-TRAFO esp-gcm 256 режим tunnel ! crypto ipsec profile HUB-IPSECPROF set security-association lifetime kilobytes disable set transform-set HUB-TRAFO set pfs group21 set ikev2-profile HUB-IKEPROF responder-only reverse-route ! ! ! ! ! ! ! ! ! ! interface Loopback1 no ip address ! interface Loopback100 description LAN-REMOTE-1 ip address 192.168.8.1 255.255.255.0 ! interface Loopback200 description VTI-LOOPBACK ip address 10.255.0.1 255.255.255.0 ! интерфейс GigabitEthernet0/0/0 описание WAN IP-адрес $GLOBALWANIP 255.255.255.248 ! заменено перед публикацией автоматическое согласование ! интерфейс GigabitEthernet0/0/1 нет IP-адреса автоматическое согласование ! интерфейс GigabitEthernet0/0/2 нет ip-адреса переговоры auto ! интерфейс GigabitEthernet0/0/3 нет ip-адреса переговоры auto ! интерфейс GigabitEthernet0/1/0 нет ip-адреса переговоры auto ! интерфейс GigabitEthernet0/1/1 нет ip-адреса переговоры auto ! интерфейс Virtual-Template1 тип tunnel ip unnumbered Loopback200 без перенаправления IP без прокси-ARP IP MTU IP 1366 настройка MSS TCP IP 1326 предварительная классификация QoS источник туннеля GigabitEthernet0/0/0 режим туннеля IPsec IPv4 динамический пункт назначения туннеля защита туннеля IPsec профиль HUB-IPSECPROF ! протокол пересылки IP nd без сервера HTTP IP ip http authentication local ip http secure-server ! ip route 0.0.0.0 0.0.0.0 $GLOBALWANGW ! заменено перед публикацией ip ssh bulk-mode 131072 ! ! ip ssh server algorithm hostkey rsa-sha2-256 rsa-sha2-512 ip scp server enable ! ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255 ! ! ! ! ! ! ! ... ! ! ! ! ! ! end Маршрутизатор2 «SPOKE» находится за маршрутизатором LTE, поэтому он имеет только статический «UPLINK» на Gi0/0/0, фактический IP-адрес WAN является динамическим и находится за CG-NAT: [Спойлер] (Выделите, чтобы прочитать) ... ! ! crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL ! crypto ikev2 proposal SPOKE-PROP encryption aes-gcm-256 prf sha256 group 21 ! crypto ikev2 policy SPOKE-POLICY proposal SPOKE-PROP ! crypto ikev2 keyring SPOKE-KEYRING peer hub address $HUBGLOBALWANIP ! replaced before posting pre-shared-key "THISISABSOLUTEMADNESS1!" ! ! ! crypto ikev2 profile SPOKE-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any authentication remote pre-share authentication local pre-share keyring local SPOKE-KEYRING dpd 20 2 periodic nat keepalive 20 nat force-encap ! crypto ikev2 nat keepalive 900 crypto ikev2 dpd 10 2 periodic ! ! ! ! ! crypto logging ikev2 ! ! ! ! ! ! ! ! crypto ipsec transform-set SPOKE-TRAFO esp-gcm 256 mode tunnel ! crypto ipsec profile SPOKE-IPSECPROF set transform-set SPOKE-TRAFO set pfs group21 set ikev2-profile SPOKE-IKEPROF reverse-route ! no crypto ipsec profile default ! crypto ipsec profile hub set security-association lifetime kilobytes disable ! ! ! ! ! ! ! ! ! interface Loopback100 description LAN-REMOTE-1 ip address 192.168.7.1 255.255.255.0 ! interface Tunnel1 ip address 10.255.0.2 255.255.255.0 ip mtu 1366 ip tcp adjust-mss 1326 keepalive 10 3 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination $HUBGLOBALWANIP ! replaced before posting tunnel protection ipsec profile SPOKE-IPSECPROF ! interface GigabitEthernet0/0/0 description UPLINK-BEHIND-NAT ip address 172.16.0.2 255.255.255.252 negotiation auto ! interface GigabitEthernet0/0/1 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/2 no ip address shutdown negotiation auto ! interface GigabitEthernet0/0/3 no ip address shutdown negotiation auto ! interface GigabitEthernet0/1/0 no ip address shutdown negotiation auto ! interface GigabitEthernet0/1/1 no ip address shutdown negotiation auto ! ip forward-protocol nd no ip http server ip http authentication local ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.16.0.1 ip route 192.168.8.0 255.255.255.0 Tunnel1 ip ssh bulk-mode 131072 ip scp server enable ! ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255 ! ip access-list extended 100 10 permit ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255 ! ! ! ! ! ... ! ! ! ! ! restconf end ... ! ! crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL ! crypto ikev2 proposal SPOKE-PROP encryption aes-gcm-256 prf sha256 group 21 ! crypto ikev2 policy SPOKE-POLICY proposal SPOKE-PROP ! crypto ikev2 keyring SPOKE-KEYRING peer hub address $HUBGLOBALWANIP ! заменено перед публикацией pre-shared-key "THISISABSOLUTEMADNESS1!" ! ! ! crypto ikev2 profile SPOKE-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any authentication remote pre-share authentication local pre-share keyring local SPOKE-KEYRING dpd 20 2 periodic nat keepalive 20 nat force-encap ! crypto ikev2 nat keepalive 900 crypto ikev2 dpd 10 2 periodic ! ! ! ! ! crypto logging ikev2 ! ! ! ! ! ! ! ! crypto ipsec transform-set SPOKE-TRAFO esp-gcm 256 mode tunnel ! crypto ipsec profile SPOKE-IPSECPROF set transform-set SPOKE-TRAFO set pfs group21 set ikev2-profile SPOKE-IKEPROF reverse-route ! no crypto ipsec profile default ! crypto ipsec profile hub set security-association lifetime kilobytes disable ! ! ! ! ! ! ! ! ! interface Loopback100 description LAN-REMOTE-1 ip address 192.168.7.1 255.255.255.0 ! интерфейс Tunnel1 ip address 10.255.0.2 255.255.255.0 ip mtu 1366 ip tcp adjust-mss 1326 keepalive 10 3 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination $HUBGLOBALWANIP ! заменено перед публикацией tunnel protection ipsec profile SPOKE-IPSECPROF ! interface GigabitEthernet0/0/0 description UPLINK-BEHIND-NAT ip address 172.16.0.2 255.255.255.252 переговоры auto ! интерфейс GigabitEthernet0/0/1 нет ip-адреса отключение переговоры auto ! интерфейс GigabitEthernet0/0/2 нет ip-адреса отключение переговоры auto ! интерфейс GigabitEthernet0/0/3 нет ip-адреса отключение переговоры auto ! интерфейс GigabitEthernet0/1/0 no ip address shutdown negotiation auto ! interface GigabitEthernet0/1/1 no ip address shutdown negotiation auto ! ip forward-protocol nd no ip http server ip http authentication local ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.16.0.1 ip route 192.168.8.0 255.255.255.0 Tunnel1 ip ssh bulk-mode 131072 ip scp server enable ! ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255 ! ip access-list extended 100 10 permit ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255 ! ! ! ! ! ... ! ! ! ! ! restconf end

Всем привет! Я хочу установить шифрование ipsec на маршрутизаторе C8200_1N-4T. Согласно информации в техническом описании, устройство поддерживает 3DES, но в настоящее время при настройке нет опции 3DES (только опции 192-aes, 256-aes и aes). Используемая версия программного обеспечения — 17.12.2. Есть ли способ использовать 3DES в этой версии? Если нет, то какая версия поддерживает 3DES? Буду благодарен за любую помощь. ![a.png] [image: 6c4e612aea8e09a4f187a8dda73fef34afaca200.png]

Здравствуйте, У нас есть Cisco ASA 5516 с версией 9.16(1). В связи с уязвимостью, обнаруженной на прошлой неделе ( https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB#vp ), мы хотим ограничить доступ Anyconnect к брандмауэру на основе IP-адресов. Есть несколько причин, по которым мы не обновляем прошивку до последней версии. Я провел небольшое исследование и обнаружил, что можно добавить ACL на контрольной плоскости. Это должно повлиять на доступ к самому ASA. Я не уверен, как настроить сам ACL, должно ли это быть что-то вроде этого: хосты, которым необходимо разрешить доступ: x.x.x.x и y.y.y.y access-list OUTSIDE_MGMT_IN extended permit tcp host x.x.x.x interface outside eq 443 access-list OUTSIDE_MGMT_IN extended permit tcp host y.y.y.y interface outside eq 443 access-list OUTSIDE_MGMT_IN extended deny tcp any interface outside eq 443 access-list OUTSIDE_MGMT_IN extended permit ip any any И не влияет ли это на правила доступа к управлению, которые настроены в ASDM, показанные ниже: ![JeffreyyM_0-1760350447363.png] [image: c319e48b326be58cb1aebe409de9a4c1897e467c.png]