Mit dem Pakettracer kann man sich anzeigen lassen, was mit einem genau definiertes IP-Paket passieren würde

packet-tracer input inside tcp 192.168.1.42 63659 193.201.12.55 80

Am Ende steht hier:

Action: allow

Pakete kann man auf viele Weisen mitschneiden. Man kann z.B. erst mal eine access-list zusammenbauen, die definiert, was mitgeschnitten werden soll.

Oder (etwas einfacher) kann man auch einfach sagen, dass man alles von einer bestimmten IP-Adresse mitgeschnitten haben möchte.

caputure definieren:

capture meinsniff interface inside match ip host 192.168.1.42 any

oder nach Port:

capture meinsniff interface outside match tcp any any eq 20000

Wenn man sich gleich mal ansehen will, was da mitgeschnitten wird:

capture meinsniff real-time

Mit STRG+C stoppt man die Ausgabe. Die Asa zeichnet allerdings weiter auf … deswegen sollte man seine captures wieder löschen mit

no capture meinsniff

man kann das natürlich auch erst mal auf die Platte kopieren:

copy capture disk0

Zuerst eine Access-Liste definieren, die den Traffic definiert, den man nachher ansehen will

access-list sniffmyping remark icmp auf 2 ips mitschneiden
access-list sniffmyping extended permit icmp any host 172.17.214.11
access-list sniffmyping extended permit icmp host 172.17.214.11 any
access-list sniffmyping extended permit icmp any host 192.168.42.2
access-list sniffmyping extended permit icmp host 192.168.42.2 any

dann capture definieren (diese Capture-Regel schaltet gleich auf "gleich anzeigen"):

capture mysniff interface outside access-list sniffmyping circular-buffer real-time

Man kann in den Access-Listen per deny auch Regeln definieren, was man nicht beobachten möchte, wenn man auf dem selben Interface von "meinrechner" z.B. per SSH und HTTPS zugreift …

access-list sniff2 extended permit icmp any any
access-list sniff2 extended deny tcp host meinrechner any
access-list sniff2 extended deny tcp any host meinrechner
access-list sniff2 extended permit tcp any any
access-list sniff2 extended deny udp any any eq ntp
access-list sniff2 extended permit udp any any
access-list sniff extended permit ah any any 
access-list sniff extended permit esp any any 

welche roadwarrior sind online?

sh vpn-sessiondb remote

welche vpn-tunnel sind oben?

show vpn-sessiondb l2l

Tunnel runterfahren:

vpn-sessiondb logoff index 2

Detaillierte Infos zum VPN mit einem bestimmten anderen VPN-Server:

show crpyto ipsec sa peer 257.18.0.9

wer sich nicht durch Seitenlange

←- more -->

sh run - Outputs

←- more -->

durchblättern will, setzt folgendes:

terminal pager 0 

mit https:

wget https://user:meingeheimespasswort@asa01/admin/disk0/asa831-k8.bin --no-check-certificate

mit scp:

scp test.txt user@asa01:test.txt

leider mit Passwortabfrage ¹⁾

damit das funktioniert, muss

ssh scopy enable

gesetzt sein

weil Passwort-Abfragen häufig stören: asa-copy-file

debug crypto ipsec 20
debug crypto isakmp 20

und ausserdem: Paket-Tracing (vielleicht antwortet die Gegenstelle gar nicht …)

siehe auch: Cisco ASA mit pexpect automatisieren, Cisco Spickzettel

• Cisco Security Appliance Command Reference, Version 7.2, Version 8.0, weitere Versionen

• capture
• packet-tracer
• show vpn-sessiondb
• show ipsec sa