cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Acceso SSH ASA 5520

Hola, heredé un ASA 5520 ver 8.2(2) el cual está en producción en la empresa donde trabajo y realmente no lo conozco mucho, lo poco que se lo he ido aprendiendo a base de prueba y error además de buscar en google. Tengo 2 problemas: el primero es que necesito acceder por SSH (todo hasta ahora siempre lo he manejado a través del ASDM 6.2(5) ) y no puedo, trato de entrar con el mismo usuario y password que uso para el ASDM y no me deja.

El segundo problema es mas complicado: en una de las interfaces que tengo de entrada tengo puesta una IP y la PC que tenga en esa misma red navega sin problemas, pero si en esa misma interfaz trato de agregar una regla de acceso para permitir otra red entonces ya la PC que tengo conectada directamente a la interfaz deja de navegar. No se si me hice entender. El caso es que necesito ayuda, alguien me echa la mano por favor?? De antemano gracias.

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
Cisco Employee

Hola gasparmenendez,

Hola gasparmenendez,

Para el problema con ssh me imagino que si llega a ingresar el usuario y la clave tiene conectividad y eso solo un problema de autenticación, yo empezaría verificando en el ASDM si SSH esta configurado con AAA local:  

Configuration > Device Management > Users/AAA > AAA Access > Authentication

El problema con la lista de acceso seria mejor tener la configuración para poder ayudarle, si puede habilite ssh y agregue un show run por acá para poder ayudarle.

Saludos,

Espero esta información le ayude!!

Si ayudo o resolvió el problema puede marcarla como solución.

-JP-

10 RESPUESTAS
Cisco Employee

Hola gasparmenendez,

Hola gasparmenendez,

Para el problema con ssh me imagino que si llega a ingresar el usuario y la clave tiene conectividad y eso solo un problema de autenticación, yo empezaría verificando en el ASDM si SSH esta configurado con AAA local:  

Configuration > Device Management > Users/AAA > AAA Access > Authentication

El problema con la lista de acceso seria mejor tener la configuración para poder ayudarle, si puede habilite ssh y agregue un show run por acá para poder ayudarle.

Saludos,

Espero esta información le ayude!!

Si ayudo o resolvió el problema puede marcarla como solución.

-JP-

New Member

Hola de nuevo JP, te copio el

Hola de nuevo JP, te copio el show run. Modifiqué las IP públicas por cuestiones de privacidad. Fíjate que ahora tengo otro problema: debajo del ASA tengo un switch cisco 3750 y este tiene 2 interfaces conectadas al ASA, una tiene la ip 10.227.224.1 y la otra (que es con la que estoy batallando) es la 10.229.0.1. El caso es que desde el switch le doy ping a la 10.227.224.1 y me contesta pero  la otra no contesta al ping y obviamente la PC que tengo conectada a esta interface ya no navega. He buscado por todos lados y no hallo que pueda ser. Se te ocurre algo??? De antemano gracias.

ciscoasa# show running-config
: Saved
:
ASA Version 8.2(2)
!
hostname ciscoasa
enable password TFyi2xrxEwxJj25Z encrypted
passwd .0tMgAmwR5SlzyL9 encrypted
names
!
interface GigabitEthernet0/0
 nameif OUTSIDE
 security-level 0
 ip address X.X.X.X 255.255.255.252
!
interface GigabitEthernet0/1
 nameif INSIDE
 security-level 100
 ip address 10.227.224.1 255.255.252.0
!
interface GigabitEthernet0/2
 nameif FTTH
 security-level 50
 ip address 10.229.0.1 255.255.255.0
!
interface GigabitEthernet0/3
 shutdown     
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.0.5 255.255.255.0
 management-only
!
ftp mode passive
clock timezone CST -6
clock summer-time CDT recurring 1 Sun Apr 2:00 last Sun Oct 2:00
same-security-traffic permit intra-interface
access-list INSIDE_nat_outbound extended permit ip 10.227.224.0 255.255.252.0 any
access-list OUTSIDE_access_in remark Cacti
access-list OUTSIDE_access_in extended permit ip any host X.X.X.X log disable
.
.
.
.
.
.
Aquí siguen otras access-list OUTSIDE...
.
.
.
.
.
access-list FTTH_nat_outbound extended permit ip 10.229.0.0 255.255.255.0 any
pager lines 24
logging enable
logging asdm informational
mtu management 1500
mtu INSIDE 1500
mtu OUTSIDE 1500
mtu FTTH 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (OUTSIDE) 1 X.X.X.X-X.X.X.X netmask 255.0.0.0
global (OUTSIDE) 2 interface
global (OUTSIDE) 3 X.X.X.X netmask 255.255.255.255
nat (INSIDE) 2 access-list INSIDE_nat_outbound
nat (FTTH) 3 access-list FTTH_nat_outbound
static (INSIDE,OUTSIDE) tcp interface 13389 10.227.225.31 3389 netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface 10081 10.227.225.12 81 netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface 10554 10.227.225.12 rtsp netmask 255.255.255.255
static (INSIDE,OUTSIDE) tcp interface 18000 10.227.225.12 8000 netmask 255.255.255.255
static (INSIDE,OUTSIDE) X.X.X.X 10.227.224.11 netmask 255.255.255.255 tcp 5 0
static (INSIDE,OUTSIDE) X.X.X.X 10.227.225.29 netmask 255.255.255.255
static (INSIDE,OUTSIDE) X.X.X.X 10.227.225.3 netmask 255.255.255.255
static (INSIDE,OUTSIDE) X.X.X.X 10.227.224.225 netmask 255.255.255.255
static (INSIDE,OUTSIDE) X.X.X.X 10.227.224.226 netmask 255.255.255.255
access-group OUTSIDE_access_in in interface OUTSIDE
route OUTSIDE 0.0.0.0 0.0.0.0 X.X.X.X 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 192.168.0.0 255.255.255.0 management
snmp-server host INSIDE 10.227.224.11 community ***** version 2c
snmp-server location Site-Dg
snmp-server contact Juan Perez
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.0.0 255.255.0.0 management
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username juan password rElqZm6LdqSPb014 encrypted privilege 15
username perez password uFhUH3ZeT5AMyhgi encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:9e326b0dadfb00a9431f58cbd4895032
: end

Saludos!!

P.D.: la interface que me está dando problemas el la g0/2. La g0/1 es la que está en producción y esta funcionando bien. La g0/2 la creé para hacer pruebas

New Member

Hola de nuevo JP, fíjate que

Hola de nuevo JP, fíjate que la interfaz en cuestión empezó a funcionar sola. De pronto empezó a contestar al pjng y ya la PC que tengo conectada a ella está navegando, solo que esta muy inestable, es decir, se tarda mucho para abrir páginas y de repente las abre pero igual a veces no. Que podrá ser??

Cisco Employee

Hola gasparmenendez,

Hola gasparmenendez,

Agregue los siguientes comandos y su respectivo resultados:

sh inter g0/2

sh cpu usage

En esta interface g0/2 tiene conectada una computadora directamente o un switch?

Espero esta información le ayude!!

Si ayudo o resolvió el problema puede marcarla como solución.

-JP-

New Member

Hola JP, aquí está lo que me

Hola JP, aquí está lo que me pides:

ciscoasa# show interface gigabitEthernet 0/2
Interface GigabitEthernet0/2 "FTTH", is up, line protocol is up
  Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec
    Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
    Input flow control is unsupported, output flow control is unsupported
    MAC address 0030.578e.36f2, MTU 1500
    IP address 10.229.0.1, subnet mask 255.255.255.0
    17037969 packets input, 15377126344 bytes, 0 no buffer
    Received 1517702 broadcasts, 0 runts, 0 giants
    8808 input errors, 8196 CRC, 0 frame, 612 overrun, 0 ignored, 0 abort
    1355 L2 decode drops
    15470025 packets output, 10107846644 bytes, 0 underruns
    0 pause output, 0 resume output
    0 output errors, 0 collisions, 22 interface resets
    0 late collisions, 0 deferred
    431 input reset drops, 1 output reset drops, 1 tx hangs
    input queue (blocks free curr/low): hardware (255/232)
    output queue (blocks free curr/low): hardware (255/230)
  Traffic Statistics for "FTTH":
    17035496 packets input, 15055251996 bytes
    15470042 packets output, 9782724906 bytes
    37625 packets dropped
      1 minute input rate 0 pkts/sec,  0 bytes/sec
      1 minute output rate 0 pkts/sec,  0 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  0 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 0 pkts/sec

ciscoasa# sh cpu usage
CPU utilization for 5 seconds = 6%; 1 minute: 7%; 5 minutes: 7%

la interfaz está conectada a un switch 3750 y de ahí viaja a través de otros switches (otros 2 switches 3750 y un 2960) por una vlan hasta llegar a mi PC. Ya chequé la configuración de todos los switches y no veo nada que esté mal. Esta información te ayuda en algo?? Te agradezco la ayuda que me estas prestando.

Saludos!!

P.D.: todavía tengo el principal problema que es lograr que otra red navegue a través de esa interface, sin ser la red que está conectada directamente

Cisco Employee

Hola gasparmenendez,

Hola gasparmenendez,

En este caso lo primero que yo verificaria seria por que hay tantos errores en esa interface, verificaria si el speed y el duplex esta configurado igual en el dispositivo directamente conectado a esa interface.

Si no tiene problemas para leer ingles este documento le puede ayudar mucho:

https://supportforums.cisco.com/document/47506/asa-oversubscription-interface-errors-troubleshooting

Saludos, 

Espero esta información le ayude!!

Si ayudo o resolvió el problema puede marcarla como solución.

-JP-

New Member

Hola JP, nuevamente te

Hola JP, nuevamente te agradezco por tu ayuda. Te comento que ya la interfaz está trabajando perfectamente bien, sin errores. En estos momentos el único problema que tengo es el de hacer navegar otra red distinta a la de la interface por la misma interface. No se si me entiendas. De cualquier manera te agradezco. Saludos.

Cisco Employee

Hola gasparmenendez, En este

Hola gasparmenendez, En este caso me suena mas a un problema de routing, tomando encuenta la cantidad de errores que mostraba la interface cuando usted me envio el comando show interface g0/2, me parecio un problema de este tipo.

Pero bueno si necesita mas ayuda en este caso necesitaria mas informacion sobre las ips que quiere rutiar por la interface g0/2.

Saludos, 

Espero esta información le ayude!!

Si ayudo o resolvió el problema puede marcarla como solución.

-JP-

New Member

Hola JP, lo que tengo está

Hola JP, lo que tengo está así:

ASA interface ip: 10.229.0.1/24 connected directly to the 3750
ASA interface name: FTTH
Switch 3750 vlan800 ip: 10.229.0.2/24
   ip dhcp pool FTTH-0
   network 10.229.0.0 255.255.255.0
   dns-server X.X.X.X
   default-router 10.229.0.1
Switch 3750 vlan802 ip: 10.229.2.2/24
   ip dhcp pool FTTH-2
   network 10.229.2.0 255.255.255.0
   dns-server X.X.X.X
   default-router 10.229.2.2
ASA static route: route FTTH 10.229.2.0 255.255.255.0 10.229.0.2

Como te comenté anteriormente lo que está en la vlan 800 (misma subred de la interface del ASA) sale a internet perfectamente. El problema es que lo que está en la vlan 802 no logro de ninguna manera hacer que salga a internet. Incluso desde esa vlan 802 (10.229.2.0/24) le doy ping a la interface del ASA (10.229.0.1) y contesta. A mi entender me falta configurar algo en el ASA. Quedo en espera de tus comentarios.

Gracias!!!

New Member

Muchas gracias JP!! ya con

Muchas gracias JP!! ya con eso resolví el problema del SSH. En un momento te mando el sho runn. Gracias!!

83
Visitas
0
ÚTIL
10
Respuestas