de:sysadmin:tools:cisco_asa
Trace: » Rund Seeland 2009 » Web-Tutorials » sources.list bei OpenSuse 10.2? » Bash fuer Dummies (keyboard shortcuts / oneliner) » Cisco ASA Mini-Spickzettel
Table of Contents

Cisco ASA Mini-Spickzettel

paket trace - der Simulationsmodus

Mit dem Pakettracer kann man sich anzeigen lassen, was mit einem genau definiertes IP-Paket passieren würde 

packet-tracer input inside tcp 192.168.1.42 63659 193.201.12.55 80

Am Ende steht hier: 

Action: allow

das tcpdump von cisco: capture

Pakete kann man auf viele Weisen mitschneiden. Man kann z.B. erst mal eine access-list zusammenbauen, die definiert, was mitgeschnitten werden soll.

Oder (etwas einfacher) kann man auch einfach sagen, dass man alles von einer bestimmten IP-Adresse mitgeschnitten haben möchte.

capture einfach

caputure definieren: 

capture meinsniff interface inside match ip host 192.168.1.42 any

oder nach Port: 

capture meinsniff interface outside match tcp any any eq 20000

Wenn man sich gleich mal ansehen will, was da mitgeschnitten wird: 

capture meinsniff real-time

Mit STRG+C stoppt man die Ausgabe. Die Asa zeichnet allerdings weiter auf ... deswegen sollte man seine captures wieder löschen mit 

no capture meinsniff

man kann das natürlich auch erst mal auf die Platte kopieren: 

copy capture disk0

capture mit Access-List

Zuerst eine Access-Liste definieren, die den Traffic definiert, den man nachher ansehen will 

access-list sniffmyping remark icmp auf 2 ips mitschneiden
access-list sniffmyping extended permit icmp any host 172.17.214.11
access-list sniffmyping extended permit icmp host 172.17.214.11 any
access-list sniffmyping extended permit icmp any host 192.168.42.2
access-list sniffmyping extended permit icmp host 192.168.42.2 any

dann capture definieren (diese Capture-Regel schaltet gleich auf “gleich anzeigen”): 

capture mysniff access-list sniffmyping circular-buffer real-time

vpn debugging

welche roadwarrior sind online? 

sh vpn-sessiondb remote

welche vpn-tunnel sind oben? 

show vpn-sessiondb l2l

Tunnel runterfahren: 

vpn-sessiondb logoff index 2

Detaillierte Infos zum VPN mit einem bestimmten anderen VPN-Server: 

show crpyto ipsec sa peer 257.18.0.9

"Umblättermodus" abschalten

wer sich nicht durch Seitenlange

←- more –>

sh run - Outputs

←- more –>

durchblättern will, setzt folgendes: 

terminal pager 0

Dateien von der Asa "Festplatte" herunterladen (https)

mit https: 

wget https://user:meingeheimespasswort@asa01/admin/disk0/asa831-k8.bin --no-check-certificate

Dateien auf die Asa "Festplatte" hochladen (scp)

mit scp: 

scp test.txt user@asa01:test.txt

leider mit Passwortabfrage :-/ 1)

damit das funktioniert, muss 

ssh scopy enable

gesetzt sein

weil Passwort-Abfragen häufig stören: asa-copy-file

Links

siehe auch: Cisco ASA mit pexpect automatisieren, Cisco Spickzettel

gilt für alle Tipps, Tricks & Spickzettel:
dies sind einfache, teils banale Notizen für meinen persönlichen Gebrauch, die hier eher zufällig auch öffentlich lesbar sind (vielleicht hilft es ja jemandem weiter). Verwendung auf eigene Gefahr :!:

Fehler-Hinweise, Dankesschreiben :-), etc. bitte an: web.0811@unixwitch.de

weitere Tools / Spickzettel

1) ssh-keys gehen ja nicht
 
de/sysadmin/tools/cisco_asa.txt · Last modified: 2010-06-10 by hella
same content optimised for low bandwith: mobile.unixwitch.de
 
Valid XHTML 1.0 Valid CSS German Unix User Group Frühjahrsfachgespräch 2009