<![CDATA[CISCO ASA IPSEC]]>Всем привет, У меня возникла ситуация, когда мне нужно настроить IPSEC-туннель между двумя CISCO ASA. Основной CISCO ASA имеет только публичный IP-адрес, а удаленный ASA находится за устройством NAT (Starlink). Удаленный ASA будет инициировать соединение IPSEC-туннеля. Fortinet делает это очень хорошо и очень просто, но мне нужно настроить это в CISCO ASA. Модель ASA — 5525. Если кто-нибудь может помочь мне, предоставьте простые видео или документацию по настройке. Я провел некоторое исследование и узнал, что используется NAT-T, но у меня нет простых видео или документации по настройке. Спасибо прасад

]]>https://sla247.ru/forum/topic/2438/cisco-asa-ipsecRSS for NodeThu, 14 May 2026 23:38:37 GMTMon, 02 Mar 2026 12:44:01 GMT60<![CDATA[Reply to CISCO ASA IPSEC on Mon, 02 Mar 2026 12:44:04 GMT]]>Пожалуйста. Вы можете использовать список доступа к плоскости управления, который в основном отвечает за блокировку или разрешение трафика к самому ASA. Однако будьте осторожны при его применении, так как это может потенциально заблокировать вам доступ к брандмауэру, если вы используете удаленное соединение для его управления. Вам понадобится что-то подобное: access-list CONTROL-PLANE extended permit esp host 1.1.1.1
any
access-list CONTROL-PLANE extended permit udp host 1.1.1.1
any
eq 500
access-list CONTROL-PLANE extended permit udp host 1.1.1.1
any
eq 4500
access-list CONTROL-PLANE extended
deny
esp any
any
access-list CONTROL-PLANE extended
deny
udp any
any
eq 500
access-list CONTROL-PLANE extended
deny
udp any
any
eq 4500
access-list CONTROL-PLANE extended permit ip any any access-group CONTROL-PLANE in interface outside control-plane IP-адрес 1.1.1.1 будет заменен удаленным узлом, которому будет разрешено установить VPN-туннель с вашим ASA. Выделенное ключевое слово «any» можно заменить публичным IP-адресом внешнего интерфейса вашего ASA. Настройка контроля доступа к плоскости управления для безопасного FTD и ASA — Cisco Настройка ACL контрольной плоскости для ASA с помощью CLI — Cisco Video Portal

]]>https://sla247.ru/forum/post/17104https://sla247.ru/forum/post/17104Mon, 02 Mar 2026 12:44:04 GMT<![CDATA[Reply to CISCO ASA IPSEC on Mon, 02 Mar 2026 12:44:03 GMT]]>Спасибо, Ареф... Первая ссылка была идеальной, и я смог это сделать. В настоящее время конфигурация принимает IPSEC-соединения из всего диапазона публичных IP-адресов, но я хотел бы ограничить это конкретным диапазоном публичных IP-адресов. Можете ли вы также подсказать, как это можно сделать?

]]>https://sla247.ru/forum/post/17103https://sla247.ru/forum/post/17103Mon, 02 Mar 2026 12:44:03 GMT<![CDATA[Reply to CISCO ASA IPSEC on Mon, 02 Mar 2026 12:44:02 GMT]]>Проверьте эти ссылки, надеюсь, они вам помогут: Настройка ASA-to-ASA Dynamic-to-Static IKEv1/IPsec — Cisco Cisco ASA VPN статический к динамическому IP (DHCP) | PeteNetLive Cisco ASA Site to Site IKEv2 VPN Static to Dynamic | PeteNetLive

]]>https://sla247.ru/forum/post/17102https://sla247.ru/forum/post/17102Mon, 02 Mar 2026 12:44:02 GMT