Toon posts:

Cisco ASA 5510 lege configuratie via ASDM

Pagina: 1
Acties:

donderdag 21 augustus 2008 13:28

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Wij beheren een ASA 5510 op afstand en kunnen hier bij komen via Cisco ASDM Launcher.
Een paar weken geleden konden we de complete configuratie remote beheren via de ADSM, dit ging prima.
Totdat we gisteren weer een wijziging wilden doorvoeren, we kunnen wel in loggen met ADSM maar zodra we de configuratie willen zien is alles leeg en komt de melding: ERROR: % "Invalid input detected at '^' marker." Command failed

Via command niveau kunnen we er nog wel bij maar hier heb ik geen gedegen kennis van om uitgebreide wijzigingen door te voeren.

Ik heb een poos lopen zoeken wat de foumelidng inhoud maar kan er nog niet achter komen.
De hebben de ASA al een reset gegevn maar ook dit mocht niet baten.

Iemand ervaring wat deze foutmelding betekend en wat wij kunnen doen zodat we op afstand weer kunnen beheren?

bvd

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 13:51

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Lukt het wellicht wel om je pc aan te sluiten op de aparte Management poort die erbij zit en dan te verbinden?

Verder zou je even, als je wel kunt inloggen, het commando enable intypen, dan je wachtwoord, en dan show run. Dan laat hij de huidige config zien en kunnen wij de fout zoeken.

Vicariously I live while the whole world dies

donderdag 21 augustus 2008 14:09

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Vicarious schreef op donderdag 21 augustus 2008 @ 13:51:
Lukt het wellicht wel om je pc aan te sluiten op de aparte Management poort die erbij zit en dan te verbinden?

Verder zou je even, als je wel kunt inloggen, het commando enable intypen, dan je wachtwoord, en dan show run. Dan laat hij de huidige config zien en kunnen wij de fout zoeken.
Ik ben helaas niet op locatie en kan op dit moment alleen op afstand iets doen, de running config heb ik wel, deze is als volgt:
:
ASA Version 8.0(2)
!
hostname XXXXXXXXXXX
domain-name XXXXXXXX
enable password XXXXXXXX encrypted
names
dns-guard
!
interface Ethernet0/0
nameif OUTSIDE
security-level 0
ip address
!
interface Ethernet0/1
shutdown
nameif DMZ
security-level 50
no ip address
!
interface Ethernet0/2
nameif INSIDE
security-level 100
ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
no ip address
management-only
!
passwd XX encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name XXX
object-group service inet-light-tcp tcp
port-object eq www
port-object eq https
port-object eq smtp
port-object eq ftp
port-object eq ftp-data
port-object eq domain
port-object eq pop3
object-group service inet-light-udp udp
port-object eq domain
object-group service inet-basic-tcp tcp
port-object eq www
port-object eq https
port-object eq smtp
port-object eq ftp
port-object eq ftp-data
port-object eq domain
port-object range 6660 6670
object-group service inet-basic-udp udp
port-object eq domain
object-group protocol inet-pro
protocol-object ip
protocol-object esp
protocol-object gre
protocol-object ah
protocol-object icmp
protocol-object udp
protocol-object tcp
object-group network inet-light-hosts
description CONFIGUREER HIER DE INET-LIGHT HOSTS - 169.x.x.x is bogus
network-object 169.0.0.1 255.255.255.255
network-object 192.168.118.0 255.255.255.0
network-object 192.168.110.0 255.255.255.0
network-object 192.168.123.0 255.255.255.0
network-object 192.168.125.0 255.255.255.0
network-object 192.168.102.0 255.255.255.0
network-object 192.168.109.0 255.255.255.0
network-object 192.168.111.0 255.255.255.0
network-object 192.168.113.0 255.255.255.0
network-object 192.168.128.0 255.255.255.0
network-object 192.168.105.0 255.255.255.0
network-object 192.168.116.0 255.255.255.0
network-object 192.168.1.0 255.255.255.0
network-object 192.168.121.0 255.255.255.0
object-group network inet-basic-hosts
description CONFIGUREER HIER DE INET-BASIC HOSTS - 169.x.x.x is bogus
network-object 169.0.0.2 255.255.255.255
object-group network inet-pro-hosts
description CONFIGUREER HIER DE INET-PRO-HOSTS - 169.x.x.x is bogus
network-object 169.0.0.3 255.255.255.255
network-object 192.168.100.0 255.255.255.0
network-object 192.168.50.0 255.255.255.0
network-object 192.168.114.0 255.255.255.0
network-object 192.168.122.0 255.255.255.0
network-object 192.168.115.0 255.255.255.0
network-object 192.168.103.0 255.255.255.0
network-object 192.168.104.0 255.255.255.0
network-object 192.168.112.0 255.255.255.0
network-object host 192.168.1.0
network-object host 192.168.1.1
network-object 192.168.1.0 255.255.255.0
network-object 192.168.106.0 255.255.255.0
network-object 192.168.107.0 255.255.255.0
network-object 192.168.120.0 255.255.255.0
object-group network infra-remote-mnmgt-hosts
description Hosts allowed to manage active components
network-object 81.68.193.12 255.255.255.255
object-group service infra-remote-mnmgt-tcp-prots tcp
description TCP Services allowed to manage active components
port-object eq www
port-object eq https
port-object eq telnet
object-group network infra-to-manage-hosts
description Hosts allowed to manage active components
network-object XXX 255.255.255.255
network-object XXX 255.255.255.255
network-object XXX 255.255.255.255
object-group service DM_INLINE_TCP_1 tcp
port-object eq 3389
port-object eq 4125
port-object eq www
port-object eq https
port-object eq smtp
port-object eq pop3
port-object eq 147
object-group service XXXX
service-object gre
service-object tcp eq 4125
service-object tcp eq www
service-object tcp eq https
service-object tcp eq imap4
service-object tcp eq pop3
service-object tcp eq pptp
access-list INSIDE_TO_OUTSIDE extended permit tcp object-group inet-light-hosts
access-list INSIDE_TO_OUTSIDE extended permit udp object-group inet-light-hosts
access-list INSIDE_TO_OUTSIDE extended permit tcp object-group inet-basic-hosts
access-list INSIDE_TO_OUTSIDE extended permit udp object-group inet-basic-hosts
access-list INSIDE_TO_OUTSIDE extended permit object-group inet-pro object-group
access-list OUTSIDE_access_in extended permit tcp any XXXX 255.255.255.
access-list OUTSIDE_access_in remark TBV XXXX 3-06-2008
access-list OUTSIDE_access_in extended permit tcp any host XXX eq ppt
access-list OUTSIDE_access_in remark TBV XXXX 3-06-2008
access-list OUTSIDE_access_in extended permit gre any host XXXX
access-list OUTSIDE_access_in extended permit tcp object-group infra-remote-mnmg
access-list OUTSIDE_access_in remark TBV XXXX 24-07-2008
access-list OUTSIDE_access_in extended permit tcp any host XXXX eq ppt
access-list OUTSIDE_access_in remark TBV XXXX 24-07-2008
access-list OUTSIDE_access_in extended permit gre any host XXXX
access-list OUTSIDE_access_in remark TBV XXXX 24-07-2008
access-list OUTSIDE_access_in extended permit tcp any host XXXX object
access-list OUTSIDE_access_in remark XXXX
access-list OUTSIDE_access_in extended permit ip any host XXXX
access-list OUTSIDE_access_in remark XXXX, inkomend verkeer
access-list OUTSIDE_access_in extended permit object-group XXXX any host 2
access-list INSIDE_nat0_outbound extended permit ip 192.168.50.0 255.255.255.0 1
access-list splittunnel remark management lan
access-list splittunnel standard permit 192.168.50.0 255.255.255.0
access-list splittunnelvpn extended permit ip any 192.168.50.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu OUTSIDE 1500
mtu DMZ 1500
mtu INSIDE 1500
mtu management 1500
ip local pool VPNPOOL01 192.168.50.50-192.168.50.60 mask 255.255.255.0
ip verify reverse-path interface OUTSIDE
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any OUTSIDE
icmp permit any INSIDE
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (OUTSIDE) 10 interface
nat (INSIDE) 0 access-list INSIDE_nat0_outbound
nat (INSIDE) 10 0.0.0.0 0.0.0.0
static (INSIDE,OUTSIDE) XXX 192.168.104.100 netmask 255.255.255.255
static (INSIDE,OUTSIDE) XXX 192.168.106.10 netmask 255.255.255.255
static (INSIDE,OUTSIDE) XXX 192.168.115.103 netmask 255.255.255.255
static (INSIDE,OUTSIDE) XXX.168.121.100 netmask 255.255.255.255
access-group OUTSIDE_access_in in interface OUTSIDE
access-group INSIDE_TO_OUTSIDE in interface INSIDE
route OUTSIDE 0.0.0.0 0.0.0.0 XXX
route INSIDE 192.168.0.0 255.255.0.0 192.168.50.250 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http XXX 255.255.255.0 OUTSIDE
http 192.168.50.0 255.255.255.0 INSIDE
http XXX 255.255.255.255 OUTSIDE
http XXX 255.255.255.255 OUTSIDE
http XXX 255.255.255.240 OUTSIDE
http XXX 255.255.255.255 OUTSIDE
http XXX 255.255.255.255 OUTSIDE
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto ipsec transform-set XX
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-192
crypto map OUTSIDE_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map OUTSIDE_map interface OUTSIDE
crypto isakmp enable OUTSIDE
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
telnet XXX 255.255.255.255 OUTSIDE
telnet XXX 255.255.255.255 OUTSIDE
telnet XXX 255.255.255.255 OUTSIDE
telnet 192.168.50.0 255.255.255.0 INSIDE
telnet timeout 5
ssh XXX 255.255.255.255 OUTSIDE
ssh XXX 255.255.255.255 OUTSIDE
ssh XXX 255.255.255.255 OUTSIDE
ssh 192.168.50.0 255.255.255.0 INSIDE
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect pptp
!
service-policy global_policy global
group-policy RAS-IPSEC-BEHEER internal
group-policy RAS-IPSEC-BEHEER attributes
vpn-tunnel-protocol IPSec
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
default-domain value XXXX
username admin password XXXX encrypted privilege 15
username XXXX password XXXX encrypted
username XXXX password XXXX encrypted privilege 0
username XXXX attributes
vpn-group-policy RAS-IPSEC-BEHEER
tunnel-group RAS-IPSEC-BEHEER type remote-access
tunnel-group RAS-IPSEC-BEHEER general-attributes
address-pool VPNPOOL01
default-group-policy RAS-IPSEC-BEHEER
tunnel-group RAS-IPSEC-BEHEER ipsec-attributes
pre-shared-key *
!
service-policy global_policy global
group-policy RAS-IPSEC-BEHEER internal
group-policy RAS-IPSEC-BEHEER attributes
vpn-tunnel-protocol IPSec
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splittunnel
default-domain value XXXX
username admin password XXXX encrypted privilege 15
username XXXX password XXXX encrypted
username XXXX password XXXX encrypted privilege 0
username XXXX attributes
vpn-group-policy RAS-IPSEC-BEHEER
tunnel-group RAS-IPSEC-BEHEER type remote-access
tunnel-group RAS-IPSEC-BEHEER general-attributes
address-pool VPNPOOL01
default-group-policy RAS-IPSEC-BEHEER
tunnel-group RAS-IPSEC-BEHEER ipsec-attributes
pre-shared-key *
prompt hostname context
Cryptochecksum:XXX
: end

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 14:15

Acties:
  • Saab
  • Registratie: Augustus 2003
  • Laatst online: 06-10-2025

Saab

"Totdat we gisteren weer een wijziging wilden doorvoeren, we kunnen wel in loggen met ADSM maar zodra we de configuratie willen zien is alles leeg en komt de melding: ERROR: % "Invalid input detected at '^' marker." Command failed"

Duidt op een fout in je command

Wat probeer je door te voeren? Kun je de config niet uploaden naar ASDM.

https://www.discogs.com/user/jurgen1973/collection

donderdag 21 augustus 2008 14:17

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Ok, nu is het inderdaad nog handig te weten of je kan zien op welke vandeze commando's hij een foutmelding geeft.

Vicariously I live while the whole world dies

donderdag 21 augustus 2008 14:21

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

access-list OUTSIDE_access_in remark TBV XXXX 3-06-2008

is een beetje raar, of komt dat omdat je het in Word geplakt hebt? ;)

Vicariously I live while the whole world dies

donderdag 21 augustus 2008 14:25

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Ik ga via de webbrowser naar https:\\XXXX en klik op launch Cisco ASDM, vervolgens is hij een tijdje bezig de config te downloaden en is Cisco ASDM gestart, ik klik hier op configuration en klik bijvoorbeeld op NAT rules, deze is echter helemaal leeg terwijl we hier een stuk of 10 rules in hadden staan, ook bij interfaces, ja bij elke optie zie ik geen configuratie.
Druk ik op file, Show running config in new Windows krijg ik de foutmelding, ook als ik in de ASDM de Show command line interface een willekeurig commando intyp krijg ik deze fout.

Ik wilde dus een NAT rule toevoegen via de ADSM waar ik dus nu niet bij kan komen, elke optie in de ADSM is niet ingevuld en lijkt helemaal leeg te zijn.

Ik heb via de command line via Telnet, waar ik er wel bij kan komen, via Show SSH gekeken of ons publiek IP er bij staat en deze is wel netjes ingevuld.
Vicarious schreef op donderdag 21 augustus 2008 @ 14:21:
access-list OUTSIDE_access_in remark TBV XXXX 3-06-2008

is een beetje raar, of komt dat omdat je het in Word geplakt hebt? ;)
Ik heb zoiezo alle IP en ww vervangen voor XXXX maar verder heb ik het geplakt in Notepad
Achter TBV kwam een bedrijfsnaam met de datum waarop de rule is aangemaakt.

[ Voor 19% gewijzigd door Ora et Labora op 21-08-2008 14:27 ]

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 14:27

Acties:
  • Saab
  • Registratie: Augustus 2003
  • Laatst online: 06-10-2025

Saab

Misschien omdat je config een beetje brak is.

Voeg de NAT rule gewoon via de CLI toe en haal de brakke regels weg of corrigeer ze.

http://www.cisco.com/en/U...tem09186a00800e523b.shtml

[ Voor 26% gewijzigd door Saab op 21-08-2008 14:29 ]

https://www.discogs.com/user/jurgen1973/collection

donderdag 21 augustus 2008 14:41

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

EJVL schreef op donderdag 21 augustus 2008 @ 14:25:


Ik heb zoiezo alle IP en ww vervangen voor XXXX maar verder heb ik het geplakt in Notepad
Achter TBV kwam een bedrijfsnaam met de datum waarop de rule is aangemaakt.
Sorry, ik las over het woordje remark heen |:(

Vicariously I live while the whole world dies

donderdag 21 augustus 2008 14:48

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Saab schreef op donderdag 21 augustus 2008 @ 14:27:
Misschien omdat je config een beetje brak is.

Voeg de NAT rule gewoon via de CLI toe en haal de brakke regels weg of corrigeer ze.

http://www.cisco.com/en/U...tem09186a00800e523b.shtml
Waarom is de config brak en waarom zou het niet beheerd kunnen worden via de ASDM, dit heeft goed gewerkt alleen waar de fout nu zit?

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 15:05

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

tja, die door de ASDM gecreeerde config is dusdanig lang dat ik het niet ga trekken om die letter voor letter te lezen om de fout te zoeken. Weet je zeker dat er boven de ^ niet een commando wordt gegeven waar het misgaat? In dat commando zit dan namelijk de fout.

Vicariously I live while the whole world dies

donderdag 21 augustus 2008 15:12

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Vicarious schreef op donderdag 21 augustus 2008 @ 15:05:
tja, die door de ASDM gecreeerde config is dusdanig lang dat ik het niet ga trekken om die letter voor letter te lezen om de fout te zoeken. Weet je zeker dat er boven de ^ niet een commando wordt gegeven waar het misgaat? In dat commando zit dan namelijk de fout.
Ik klik in de ASDM bijvoorbeeld op enable logging en krijg ik direct te zien:
[ERROR] logging enable

logging enable
^
% Invalid input detected at '^' marker.

[ERROR] logging asdm Informational

logging asdm Informational
^
% Invalid input detected at '^' marker.

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 15:22

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Tis intussen opgelost, de gebruikersnaam waar ik mee ingelogd was had encrypted privilege 0, hier heb ik 15 van gemaakt en nu werkt het wel, ik snap niet hoe hij bij 0 komt, maar wat oerdom van me hier niet eerder naar te kijken. 8)7

Bedankt voor jullie hulp

[ Voor 3% gewijzigd door Ora et Labora op 21-08-2008 15:22 ]

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 15:26

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Aha op die manier. Met de regel Logging enable was inderdaad niets mis, dus dan zou je inderdaad naar rechten gaan kijken.

Vicariously I live while the whole world dies

donderdag 21 augustus 2008 16:23

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Vicarious schreef op donderdag 21 augustus 2008 @ 15:26:
Aha op die manier. Met de regel Logging enable was inderdaad niets mis, dus dan zou je inderdaad naar rechten gaan kijken.
Precies, op die manier kwam ik er ook achter, als ik het op Telnet niveau deed, kon ik wel logging enable doen, via show running config zag ik dat mijn gebruikersnaam level 0 had duzz..

Who's general failure, and why is he reading my disk?

donderdag 21 augustus 2008 22:53

Acties:

Verwijderd

EJVL schreef op donderdag 21 augustus 2008 @ 15:22:
Tis intussen opgelost, de gebruikersnaam waar ik mee ingelogd was had encrypted privilege 0, hier heb ik 15 van gemaakt en nu werkt het wel, ik snap niet hoe hij bij 0 komt, maar wat oerdom van me hier niet eerder naar te kijken. 8)7

Bedankt voor jullie hulp
't Is dat ik het topic te laat lees, dat was mn eerste suggestie... Heb die fout zelf ook pas een keer of 10 gemaakt |:(

vrijdag 22 augustus 2008 13:12

Acties:
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 09:57

Ora et Labora

Topicstarter
Verwijderd schreef op donderdag 21 augustus 2008 @ 22:53:
[...]

't Is dat ik het topic te laat lees, dat was mn eerste suggestie... Heb die fout zelf ook pas een keer of 10 gemaakt |:(
Ben ik in ieder geval niet de enige, nu voel ik me weer iets minder dom ;)

Who's general failure, and why is he reading my disk?

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq