Sélectionner un thème en cliquant sur une icone

Routage et commutation Sécurité Communications unifiées Outils et scripts réseaux

Licence du client VPN SSL ou IPsec

Pour ceux qui regarde d'un oeil le client SSL AnyConnect pour ses ASA, voici de quoi réfléchir avant de migrer:

IOS SSL VPN Licences
FL-WEBVPN-10-K9 Feature License IOS SSL VPN Up To 10 Users (Incremental) $300
FL-WEBVPN-25-K9 Feature License IOS SSL VPN Up To 25 Users (Incremental) $750
FL-WEBVPN-100-K9 Feature License IOS SSL VPN Up To 100 Users (Incremental) $3,000 

ASA SSL VPN Licences
ASA5500-SSL-10 ASA 5500 SSL VPN 10  Premium User License $1,250
ASA5500-SSL-25 ASA 5500 SSL VPN 25 Premium User License $3,095
ASA5500-SSL-50 ASA 5500 SSL VPN 50 Premium User License $3,995
ASA5500-SSL-100 ASA 5500 SSL VPN 100  Premium User License $7,995
ASA5500-SSL-250 ASA 5500 SSL VPN 250 Premium User License $19,995
ASA5500-SSL-500 ASA 5500 SSL VPN 500 Premium User License $29,995
ASA5500-SSL-750 ASA 5500 SSL VPN 750 Premium User License $33,995
ASA5500-SSL-1000 ASA 5500 SSL VPN 1000 Premium User License $38,995
ASA5500-SSL-2500 ASA 5500 SSL VPN 2500 Premium User License $69,995
ASA5500-SSL-5000 ASA 5500 SSL VPN 5000 Premium User License $79,995

Donc sur  IOS SSL VPN : USD$30 par connexion.
sur ASA SSL VPN :       USD$125 par connexion. OUCH!!!

IOS DDNS (Dynamic DNS) - 12.3(14)T

Exemple avec DynDNS.com
http://www.dyndns.com/support/kb/configuring_cisco_https.html
http://www.cisco.com/en/US/docs/ios/ipaddr/configuration/guide/iad_ddns_ps6441_TSD_Products_Configuration_Guide_Chapter.html

Cisco1811(config)# ip ddns update method example_dyndns

Cisco1811(DDNS-update-method)# ?
Dynamic DNS update method configuration commands:

DDNS  IETF standardized Dynamic DNS update
http  Dynamic DNS update via HTTP based protocols
defaul  Set a command to its defaults
exit  Exit from DNS dynamic update method configuration mode
internal  Update internal IOS name cache
interval  Specify interval between DNS updates
no   Negate a command or set its defaults

Deux méthodes d’update existent :

- IETF RFC 2136
- HTTP

Cette URL n’est valide que pour DynDNS. ATTENTION, faire un Ctrl+v avant le point d’intérrogation afin de ne pas déclencher l’aide en ligne.
Il faut remplacer les deux balises <h> et <a> par les vraies données.

Bogon Networks IPv4

La pénurie d'adresse IPv4 arrivant à grand pas, cela m'a rappelé mes premières règles firewall et l'exclusion de ces fameux bogon IPv4 ...

Un réseau bogon est une plage d’adresse IP qui ne devrait pas exister sur l'Internet car non allouée ou réservée par les RIR. Plus spécifiquement, le « bogon » (dérivé du mot bogus « faux ») se rapporte à une annonce de route BGP pour un préfixe dans un réseau réservé ou autrement non affecté.

Dans notre exemple, 0.0.0.0/8, 1.0.0.0/8 et 2.0.0.0/8 sont considéré comme des Bogon Networks

Pour voir les bloques IP alloués : http://www.iana.org/assignments/ipv4-address-space/

Question ASA : Management distant + Authentification distante radius via tunnel site à site

J'ai configuré 2 ASA en Site à Site (version 8.2). Pour faciliter la compréhension :

ASA 1 : réseau local 192.168.1.1 IP Externe 172.16.1.1  ASA 2 : 192.168.2.2 Site distant Ip Externe 172.17.2.2 (c'est juste pour l'exemple)

donc pas de nat entre le réseau 192.168.1.0 et 192.168.2.0 et tunnel Vpn fonctionnel 

Comment faire pour autoriser http et ssh depuis le serveur 192.168.1.10 vers l'ASA 2 au travers du tunnel VPN Site à Site monté (sur quelle interface inside ou outside , comment ?)

- Même question pour les serveurs d'authentification : 

J'ai un serveur Radius 192.168.1.11 pour le réseau 1 pour les accès nomades

et 192.168.2.12 pour le réseau 2.

Comment faire pour qu'un cas de panne du Serveur Radius du réseau 1, La demande aille vers le 192.168.2.12 au travers du tunnel VPN site à Site monté

Qu'est ce qui faut déclarer au niveau des groupes d'authentification, des Acl, du Vpn. On parle d'inside ou d'outside ? ...

 Merci pour votre aide ou éclaircissements 

Redondance VPN IPSec LAN-to-LAN entre 2 ASA

Bonjour,

Un tunnel IPSec LAN-to-LAN est installé entre deux firewalls Cisco ASA 5510 (pour le siege) et d'un Cisco ASA 5505 (licence plus) pour un site plus petit.

Je dispose maintenant de deux connexion Internet (Orange 10 Mbps) et je souhaiterais configurer un deuxième tunnel IPSec LAN-to-LAN afin que si le premier tombe, le traffic sera prise en charge par la connexion VPN restante.

Mes questions sont les suivantes :

1-Puis je mettre en oeuvre ce type d'architecture avec mes deux ASA ?

2-Les connexions VPN seront elles utilisées en actif/actif ou actif/passif ?

2-Si oui, quel est la marche à suivre ?

3-Ne va t'il pas y avoir un problème étant donné que je vais avoir 2 crypto map identique ?

4-Dans le cas ou un protocole de routage dynamique (ex : EIGRP) est nécessaire, devrais je définir un tunnel GRE over IPSec afin d'autoriser les flux de données multicast ?

 

Merci pour votre aide.

 

OnEal

Cisco ASA - Bloquer LogMeIN

Voici comment bloquer LogMeIn sur votre ASA et ainsi éviter son usage free pour bypasser les VPN d'entreprise ... Cas réel et vécu si le proxy est mal configuré ou bien pas de deny pour les PC en HTTP en direct ...

  http://www.booches.nl/2009/08/28/cisco-asa-dns-request-filtering/

Today I was asked to block access to multiple websites and the only device capable of doing this was the firewall. This customer is using a Cisco ASA firewall, which supports basic URL filtering. This customers wanted to block HTTP and HTTPS websites. HTTPS websites use a SSL tunnel from the end device to the end server, so the firewall isn’t capable of inspecting the SSL traffic. Instead of using URL inspection, I configured DNS inspection.

The ASA inspects the DNS request from the internal DNS server or end device to the external DNS server. I use regular expressions to match the FQDN of a website. Below is an example configuration of blocking access to the website (and applications using a DNS entry to this website) LogMeIn.com

Partenariat FCUG et IPEXPERT .. C'est MAINTENANT!

Bonjour tout le monde, 

C'est avec grand plaisir que je vous annonce un partenariat exclusif entre le FCUG et IPEXPERT ( http://www.ipexpert.com/ ). 
Grâce au French Cisco Users Group, à vous les réductions pour vos futurs formations Cisco! 

- 30% de réduction sur les produits "self study" 
- Réduction de 1000$ sur tous les bootcamps 
- Location de racks Cisco: 2 sessions pour le prix d'une 

Pour bénéficier de cette offre, il faut contacter Mike Down et lui indiquer que vous êtes un membre du FCUG. 

François 

Pour joindre Mike Down: 

Mike Down 
Training Advisor - IPexpert 
Mailto: mdown@ipexpert.com 

FCUG Linkedin

Hello

Afin de patienter jusqu'à l'arrivée d'une nouvelle surprise (pas le nouveau site mais encore une autre surprise!), vous pouvez rejoindre le FCUG sur Linkedin pour agrandir votre réseau social http://www.linkedin.com/groups?about=&gid=90432&trk=anet_ug_grppro 

Déjà 201 membres sont inscrits! On n'attends plus que vous! 

A bientôt 

Le père Noël

D'autres outils pour l'ingénieur réseau "Cisco"

Et voilà apparemment un autre éditeur d'outils d'administration qui se focalise sur les équipements Cisco.

Encore une fois, j'ai trouvé là quelques outils gratuits très intéressants.

Et des outils payants que je trouve pas mal non plus.

A voir

http://www.winagents.com/en/index.php

 

... et un peut de pub pour payer l'hébergement ;)