windows 7 无法打开ASA SSL VPN 和ASDM首页




背景介绍

    ladies andgentlement,有没有碰到这样的情况,起实验,架拓扑,想在ASA上配个SSL VPN或者起个ASDM管理界面,吭吭唧唧,费了半天劲,IE流浪器里出来的是无法访问,汗死,一遍遍查配置,没问题啊,再试试,哼哼唧唧,嘿嘿呦呦,还是无法访问,汗!!!怎么办,往下看。



拓扑

 

   

问题描述    配置没有问题,winxp访问一切正常,win7访问就这样

什么猫病!!!,你妹,往下看



排错

   碰到这种情况,我当时也是丈二和尚了,肿么办?开LOGGING,看看IE和ASA哥俩都聊什么了。

ciscoasa(config)#logging buffereddebugging 开启debug级别的log记录

ciscoasa(config)#logging buffer-size1048576 把log的buffer调大,要不寄存器会被冲刷

ciscoasa(config)#loggingon 



这个时候我们重新用win7的ie访问ASA首页,然后在ASA敲show logging

%ASA-7-609002: Teardownlocal-host outside:10.1.1.1 duration 0:01:05

%ASA-7-609002: Teardown local-host identity:10.1.1.10 duration0:01:05

%ASA-6-725007: SSL session with client outside:10.1.1.1/1084terminated.

%ASA-7-609001: Built local-host outside:10.1.1.2

%ASA-7-609001: Built local-host identity:10.1.1.10

%ASA-6-302013: Built inbound TCP connection 14 foroutside:10.1.1.2/49177 (10.1.1.2/49177) to identity:10.1.1.10/443(10.1.1.10/443)

%ASA-6-725001: Starting SSL handshake with clientoutside:10.1.1.2/49177 for TLSv1 session.

%ASA-7-725010: Device supports the following 1 cipher(s).

%ASA-7-725011: Cipher[1] : DES-CBC-SHA

%ASA-7-725008: SSL client outside:10.1.1.2/49177 proposes thefollowing 8 cipher(s).

%ASA-7-725011: Cipher[1] : AES128-SHA

%ASA-7-725011: Cipher[2] : AES256-SHA

%ASA-7-725011: Cipher[3] : RC4-SHA

%ASA-7-725011: Cipher[4] : DES-CBC3-SHA

%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA

%ASA-7-725011: Cipher[6] : DHE-DSS-AES256-SHA

%ASA-7-725011: Cipher[7] : EDH-DSS-DES-CBC3-SHA

%ASA-7-725011: Cipher[8] : RC4-MD5

%ASA-7-725014: SSL liberror. Function: SSL3_GET_CLIENT_HELLO Reason: no sharedcipher

%ASA-6-302014: Teardown TCP connection 14 foroutside:10.1.1.2/49177 to identity:10.1.1.10/443 duration 0:00:00bytes 7 TCP Reset by appliance

%ASA-7-609002: Teardown local-host outside:10.1.1.2 duration0:00:00

%ASA-7-609002: Teardown local-host identity:10.1.1.10 duration0:00:00



看到用红色字体标出来的那行了吗,是双方的sll加密方法不匹配,你妹,原来哥俩互相喷外文那,谁也听不懂谁说话。咋办,往下看

既然IE看不懂ASA的加密方式,那咱们就让ASA多几种加密方式,先看看ASA会说什么鸟文。

cisco(config)#show ssl

Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate toSSLv3 or TLSv1

Start connections using SSLv3 and negotiate to SSLv3 or TLSv1

Enabled cipher order:des-sha1

Disabled ciphers:3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1

No SSL trust-points configured

Certificate authentication is not enabled

看到了吧,ASA只会说des-sha1这种鸟文,不多说,让ASA学外语

ciscoasa(config)# ssl encryption 3des-sha1 aes128-sha1 aes256-sha1rc4-md5 rc4-sha1

如果当你敲完上面的命令  ^这个破玩意儿出来了,恭喜你,看看ASA的license吧

cisco(config)#show version

Licensed features for thisplatform:

Maximum PhysicalInterfaces      :Unlimited     perpetual

MaximumVLANs                    :100           perpetual

InsideHosts                     :Unlimited     perpetual

Failover                         : Active/Active  perpetual

VPN-DES                          :Enabled       perpetual

VPN-3DES-AES                     :Disabled      perpetual

SecurityContexts                :5             perpetual

GTP/GPRS                         :Disabled      perpetual

AnyConnect PremiumPeers         :25            perpetual

AnyConnectEssentials            :Disabled      perpetual

Other VPNPeers                  :5000          perpetual

Total VPNPeers                  :0             perpetual

SharedLicense                   :Enabled       perpetual

AnyConnect forMobile            :Enabled       perpetual

AnyConnect for Cisco VPNPhone    :Enabled       perpetual

Advanced EndpointAssessment     :Enabled       perpetual

UC Phone ProxySessions          :10            perpetual

Total UC ProxySessions          :10            perpetual

Botnet TrafficFilter            :Enabled       perpetual

Intercompany MediaEngine        :Enabled       perpetual

我靠,没有3des的license,咋办?找“死磕”去,点下面的连接申请个3des的license,免费的,“死磕”还挺仁义

https://tools.cisco.com/SWIFT/LicensingUI/loadDemoLicensee?FormId=139





把序列号填进去,一会“死磕”就给你邮箱发邮件了,把邮件里的key在ASA上激活

ciscoasa(config)# activation-key ******** **** ****

激活之后那?再让ASA学外语,命令如下

ciscoasa(config)#ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 rc4-md5rc4-sha1



好了,现在再去试试吧,八成如下界面就会蹦出来。





总结

  以上的总结是我做case的时候碰到的情况,问题的关键就是死路,浏览器打不开了,你也不知道为什么,怎么办,ASA上开log或者debug,你得搞明白IE和ASA哥俩都聊什么。



献丑了各位



libo zhao

QQ:99658078

2012.7.8

<跟“死磕”磕>


Windows7 无法打开ASA SSL VPN和ASDM首页的更多相关文章

  1. SSL VPN 详解

    SSL VPN是专栏VPN系列技术原理的最后一篇,SSL VPN作为远程接入型的VPN,已经具备非常广阔的前景,它的主要适应场景是取代L2TP Over IPSec,但功能要比L2TP Over IP ...

  2. 在Windows7中打开照片,提示“Windows 照片查看器无法显示此图片,因为计算机上的可用内存可能不足。....”

    在Windows7中打开照片,提示"Windows 照片查看器无法显示此图片,因为计算机上的可用内存可能不足.请关闭一些目前没有使用的程序或者释放部分硬盘空间(如果硬盘几乎已满),然后重试. ...

  3. windows7 自带l2tp/ipsec VPN客户端连接Cisco ASA

    搞了半天,最后发现其实很简单,在ASA默认配置的基础上,把所有crypto ipsec ikev1 transform-set 加上mode transport,然后把tunnel-group Def ...

  4. ASA IPSEC VPN配置

    ASA-1配置 : Saved:ASA Version 8.0(2) !hostname ASA-1enable password 8Ry2YjIyt7RRXU24 encryptednames!in ...

  5. Windows7下打开特定的端口

    往往我们发布到IIS的网站多了,80的端口不能满足的情况下,我们就会想到设定其它端口来使用.当然还可以通过改变host文件来实现,这里就不细说了.回到端口,在windows7系统下怎么实现呢?下面将带 ...

  6. windows7如何打开远程桌面&nbsp;-…

    单位的机器,刚装上了windows7旗舰版(当然不是花银子滴),想打开远程桌面连接,这样从别的机器登录也方便.可是问题来了,windows7对安全的设置比较高,不像windows XP那么随便一点就可 ...

  7. Windows7不能打开telnet功能

    在dos窗口中输入telnet命令提示如下: 解决方法是打开控制面板中的程序和功能,选择打开或关闭Window是功能,如下: 勾选上面的Telnet客户端,然后确定,出现下图.稍等片刻重新打开命令行, ...

  8. IIS7部署MVC站点后,打开无法正常跳转到首页

    产品拿到安装包后想在本地安装测试一下,但是管理工具里没有IIS. 后来在windows功能里添加iis服务. 添加后成功安装. 但是第一次打开时,页面提示要“启用目录浏览”. 启用后,打开的却是站点目 ...

  9. 绕过CDN获取服务器真实IP地址

    相关视频链接:(https://blog.sechelper.com/20220914/penetration-testing-guide/cdn-bypass) CDN(Content Delive ...

随机推荐

  1. Ubuntu 14.10安装mentohust

    关于linux下mentohust的安装本来有很多教程了,但从网上找了一些教程没有几个总结的很全面的,大都只言片语,不是太负责.下面详细的列出每一个步骤,希望能帮到有需要的人. 一 安装准备 首先下载 ...

  2. EL表达式复习

    EL表达式格式: 格式1:${objName.attribute} 执行的过程为:从pageContext.request.session.application中依次查找绑定名为“user”的对象, ...

  3. Python 学习日记(第三周)

    知识回顾 在上一周的学习里,我学习了一些学习Python的基础知识下面先简短的回顾一些: 1Python的版本和和安装 Python的版本主要有2.x和3.x两个版本这两个版本在语法等方面有一定的区别 ...

  4. 写下你的第一个Django应用,第三部分

    这篇指南开始于指南2结束的地方.我们将继续web投票应用和集中注意力在创建公共接口——“view” 理念 一个视图在你的Django应用中一个web页面的“品种”和它通常作为一个特定的函数以及有一个特 ...

  5. Java学习笔记--泛型

    一个泛型类就是具有一个或者多个类型变量的类. 我们可以只关注泛型,而不会为数据存储的细节而烦恼 . java泛型(一).泛型的基本介绍和使用 http://blog.csdn.net/lonelyro ...

  6. VisualStudio中的编辑后期生成事件

    在visual studio中加入项目文件,也就是引用外部文件,比如在tools\options中的show directions for中选择include files,我们需要引用项目(solut ...

  7. position: absolute;绝对定位水平居中问题

    position: absolute;绝对定位水平居中问题 用CSS让元素居中显示并不是件很简单的事情—同样的合法CSS居中设置在不同浏览器中的表现行为却各有千秋.让我们先来看一下CSS中常见的几种让 ...

  8. elasticsearch 性能测试

    最近花很大的经历来做性能测试,把结果整理到了ppt中,可能有个别地方不准,但是可以看看一个趋势. 主要分为两部分,一部分是写入elasticsearch性能,一部分是查询测试,elasticsearc ...

  9. ElasticSearch大批量数据入库

    最近着手处理大批量数据的任务. 现状是这样的,一个数据采集程序承载大批量数据的存储和检索.后期可能需要对大批量数据进行统计. 数据分布情况 13个点定时生成采集结果到4个文件(小文件生成周期是5分钟) ...

  10. awk笔记1

    grep: 文本过滤器    grep 'pattern' input_file ... sed:流编辑器 awk: 报告生成器    格式化以后,显示 AWK a.k.a. Aho, Kernigh ...