안녕하세요.

 

오늘은 Cisco ASA Remote Acess VPN에 대해서 알아보겠습니다.

CLI 기준입니다.

 

1.  Secure Client를 다운로드 받습니다. pkg 확장자입니다. 

 

https://software.cisco.com/download/home/286330811/type/282364313/release/5.1.7.80

 

 

2. 다운로드 파일을 TFTP 폴더에 복사 합니다.

 

3. 이 파일을 cisco ASA에 업로드 합니다. 

ASAv# copy tftp flash                     

Address or name of remote host []? 192.168.10.102

Source filename []? cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg

Destination filename [cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg]? 

Accessing tftp://192.168.10.102/cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg...!!!

ASAv# dir flash:

Directory of disk0:/

7      -rwx  0            11:39:22 May 21 2017  use_ttyS0
11     drwx  4096         03:12:34 Feb 02 2025  smart-log
8      drwx  4096         03:10:50 Feb 02 2025  log
12     drwx  4096         03:12:40 Feb 02 2025  coredumpinfo
84     -rwx  204561552    07:24:47 Feb 02 2025  asdm-openjre-7221.bin
85     -rwx  154655608    08:11:13 Feb 02 2025  cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg

8571076608 bytes total (8190124032 bytes free)

ASAv# 

 

 

4. Cisco Remote Access VPN 설정값입니다. 


4-1 Secure Client를 통해서 User가 ASA VPN에 연결 되면 IP주소는 192.168.200.100~ 192.168.200.200 사이에 IP주소를 할당 받습니다.

4-2 SPLIT_TUNNEL 10.1.1.0/24 대역 통신 할때는 VPN에 접속 합니다. 

4-3 SSL_USER 계정은 VPN용으로만 사용 가능 합니다. 

 

아래 처럼 그냥 COPY and PASTE하면 cisco ASA Remote Access VPN이 동작 합니다. 

webvpn
anyconnect image flash:/cisco-secure-client-win-5.1.7.80-webdeploy-k9.pkg
enable outside
anyconnect enable
http redirect OUTSIDE 80
ip local pool VPN_POOL 192.168.200.100-192.168.200.200 mask 255.255.255.0
access-list SPLIT_TUNNEL standard permit 10.1.1.0 255.255.255.0
access-list SPLIT_TUNNEL standard permit 10.10.10.0 255.255.255.0

group-policy ANYCONNECT_POLICY internal
group-policy ANYCONNECT_POLICY attributes
vpn-tunnel-protocol ssl-client ssl-clientless 
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL
dns-server value 8.8.8.8
webvpn
anyconnect keep-installer installed
anyconnect ask none default anyconnect
anyconnect dpd-interval client 30
exit

tunnel-group MY_TUNNEL type remote-access 
tunnel-group MY_TUNNEL general-attributes 
default-group-policy ANYCONNECT_POLICY
address-pool VPN_POOL
exit

tunnel-group MY_TUNNEL webvpn-attributes 
group-alias SSL_USERS enable

webvpn
tunnel-group-list enable 

username SSL_USER password XXXXXXX

username SSL_USER attributes
service-type remote-access 

 

5. https://192.168.10.78 접속 합니다

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
Management0/0            MGMT                       0
ASAv# show int
ASAv# show interface ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 

 

 

 

6. Download가 완료되면 설치 합니다. 설치 과정은 생략 하겠습니다. 

 

7. 설치가 완료되면  Cisco Secure Client를 실행해서 접속 합니다.

 

 

Connect Anyway를 클릭 합니다. 

 

만약에 아래처럼 실행 오류가 나면 아래처럼 추가적으로 설정이 필요합니다. 

 

ASDM 에 접속해서 아래처럼 접속합니다.

Remote-Access VPN -> Network Client Access -> Secure Client Profile -> Add

 

 

 

아래처럼 LocalUserOnly -> AllowRemoteUser로 수정 합니다.

 

다시 접속을 시도 합니다.

 

정상적으로 접속 되었습니다. 

 

Remote Access User가 VPN통해서 내부에 있는 자원에 통신 할려고 방화벽 정책이 필요 합니다. 

 

G0/0 outside - ACL name - outsideacl

G0/1 inside - ACL name - insideacl

G0/2 DMZ - ACL name -dmzacl

ASAv# show interface ip  brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         10.10.10.254    YES manual up                    up  
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 


SW 설정

interface GigabitEthernet0/1
 no switchport
 ip address 10.10.10.10 255.255.255.0
 negotiation auto
ip route 0.0.0.0 0.0.0.0 10.10.10.254

 

방화벽 정책 설정

ASAv(config)# access-list outsideacl extended permit ip 192.168.200.0 255.255.255.0 10.10.10.0 255.255.255.0
ASAv(config)# access-group outsideacl in interface outside

 

Secure Client 접속후 Ping 10.10.10.10 하면 아래처럼 성공 합니다. 

 

ASAv# show access-list 
access-list cached ACL log flows: total 1, denied 1 (deny-flow-max 4096)
            alert-interval 300
access-list SPLIT_TUNNEL; 2 elements; name hash: 0x63aa8f22
access-list SPLIT_TUNNEL line 1 standard permit 10.1.1.0 255.255.255.0 (hitcnt=0) 0x96d75e6a 
access-list SPLIT_TUNNEL line 2 standard permit 10.10.10.0 255.255.255.0 (hitcnt=0) 0x23138585 
access-list outsideacl; 1 elements; name hash: 0x945119d1
access-list outsideacl line 1 extended permit ip 192.168.200.0 255.255.255.0 10.10.10.0 255.255.255.0 (hitcnt=1) 0xb46d0730 
ASAv# 

 

만약에 Remote Access VPN USER들은 outbound access-list 없이 그냥 BYpass하고 싶으면 아래 명령어를 입력합니다.

ASA1(config)# sysopt connection permit-vpn

 

지금까지 [ASA #04] - Remote Access VPN 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요.

 

오늘은 ASA에 ASDM file를 업로드 하고 PC에 ASDM 프로그램을 설치해보겠습니다.

 

1. 현재 asa에서 version를 확인 합니다.

ASAv# show version 

Cisco Adaptive Security Appliance Software Version 9.8(1) 
Firepower Extensible Operating System Version 2.2(1.47)
Device Manager Version 7.8(1)

Compiled on Wed 10-May-17 15:38 PDT by builders
System image file is "boot:/asa981-smp-k8.bin"
Config file at boot was "startup-config"

ASAv up 53 mins 52 secs

Hardware:   ASAv, 2048 MB RAM, CPU Xeon E5 series 2394 MHz,
Model Id:   ASAv10
Internal ATA Compact Flash, 8192MB
Slot 1: ATA Compact Flash, 8192MB
BIOS Flash Firmware Hub @ 0x0, 0KB

 

9.8 버전을 사용중에 있습니다.

 

2. ASDM 사용하기 위해서는 ASA에 ASDM file이 Flash메모리에 저장되어야 합니다.

 

3. TFTP 설치 합니다. 이전 글에서 설치 하였습니다. 이번글에서는 설치 과정은 생략 합니다.

https://itblog-kr.tistory.com/185

 

[ASA #02] - TFTP Install

안녕하세요.  ASDM를 설치 하기 위해서는 ASDM 파일에 cisco ASA flash 저장 되어져 있어야 합니다.  TFTP통해서 asdm파일을 cisco asa에 업로드 해보겠습니다. 이번에는 TFTP 설치에 대해서 알아보겠습니

itblog-kr.tistory.com

 

4. C드라이브에 TFTP폴더를 만들고 ASDM 파일을 복사합니다.

5. TFTP를 실행합니다. 

그리고 폴더 위치랑 IP주소를 수정 합니다. 

 

6. 아래처럼 tftp서버 IP랑 asdm 파일 이름을 입력해서 asdm를 cisco asa 업로드 합니다. 

ASAv# copy tftp: flash:              

Address or name of remote host []? 192.168.10.102

Source filename []? asdm-openjre-7221.bin

Destination filename [asdm-openjre-7221.bin]? 

Accessing tftp://192.168.10.102/asdm-openjre-7221.bin...!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-openjre-7221.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-openjre-7221.bin...

204561552 bytes copied in 628.840 secs (325734 bytes/sec)
ASAv# 

 

 

7. dir flash:를 통해서 asdm 이미지 파일을 확인 합니다.

ASAv# dir flash:

Directory of disk0:/

7      -rwx  0            11:39:22 May 21 2017  use_ttyS0
11     drwx  4096         03:12:34 Feb 02 2025  smart-log
8      drwx  4096         03:10:50 Feb 02 2025  log
12     drwx  4096         03:12:40 Feb 02 2025  coredumpinfo
84     -rwx  204561552    07:24:47 Feb 02 2025  asdm-openjre-7221.bin

 

8. ASDM를 사용하기 위해서 아래처럼 설정 합니다.

ASAv# conf t
ASAv(config)# asdm image disk0:/asdm-openjre-7221.bin
ASAv(config)# http server enable 
ASAv(config)# http 0.0.0.0 0.0.0.0 inside
ASAv(config)# username kevin password XXXXXXX privilege 15
ASAv(config)# 

 

9. inside interface는 Gi0/1이고 IP주소는 10.1.1.254입니다. 

ASAv# show int ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              192.168.100.250 YES manual up                    up  
ASAv# 

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
Management0/0            MGMT                       0
ASAv# 

 

아래처럼 접속을 시도 합니다. 그리고 Install ASDM Launcher를 클릭 합니다. 

 

로그인을 합니다. 

 

로그인이 성공하면 아래처럼 파일이 다운로드 됩니다.

 

10. 실행해서 설치 합니다. Next를 클릭 합니다. 

 

11. Next를 클릭 합니다.

 

12. Install클릭 합니다.

 

설치가 진행 됩니다.

 

 

13. ASDM이 설치가 완료 되었습니다. 바탕화면에 ASDM 아이콘이 생성 되었습니다.

 

14. 실행 했을때 아래처럼 에러 메시지가 발생하면 추가적으로 수정이 필요합니다.

 

경로값이를 아래처럼 수정 합니다.

C:\Windows\System32\wscript.exe invisible.vbs run.bat

 

접속을 시도 합니다. 

 

100% 완료 될때까지 기다립니다. 

 

접속이 완료 되었습니다. 

 

 

지금까지 [ASA #03] - ASDM Install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요. 

 

ASDM를 설치 하기 위해서는 ASDM 파일에 cisco ASA flash 저장 되어져 있어야 합니다. 

 

TFTP통해서 asdm파일을 cisco asa에 업로드 해보겠습니다.

 

이번에는 TFTP 설치에 대해서 알아보겠습니다.

가장 많이 쓰는 Free TFTP 프로그램은 

 

 

 

아래 링크를 통해서 다운로드 받습니다. 

https://pjo2.github.io/tftpd64/

 

TFTPD64 : an opensource IPv6 ready TFTP server/service for windows : TFTP server

Tftpd64 The industry standardTFTP server Tftpd64 is a free, lightweight, opensource IPv6 ready application which includes DHCP, TFTP, DNS, SNTP and Syslog servers as well as a TFTP client. The TFTP client and server are fully compatible with TFTP option su

pjo2.github.io

 

2. Download Page를 클릭 합니다. 

3. TFTPD64-4.64-setup.exe 파일을 클릭 합니다. 

 

4. 파일을 클릭 해서 실행 합니다. 

 

5. I agree를 클릭 합니다. 

 

6. Next버튼을 클릭 합니다.  

 

7. Install 버튼을 클릭 합니다.

 

8. Close버튼을 클릭 합니다. 

 

지금까지 [ASA #02] - TFTP Install 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #01] - Basic Config  (0) 2025.02.02

안녕하세요.


이번에 고객사에서 사용중인 ASA Firewall를 FTD로 Migration를 해야하는데 CISCO ASA 방화벽을 너무 오랜간만에 다시 다루게 되어서 ASA Anyconnect - Remote Access VPN에 대해서 공부해 보겠습니다.

 

EVE-NG에서 아래처럼 구성도를 만들었습니다.

 

EVE-NG ASA 설치 과정은 아래 글을 확인 부탁드립니다.

https://itblog-kr.tistory.com/19#google_vignette

 

[2024][EVE-NG #9] ASAv 방화벽 설치하기

안녕하세요.  오늘은 [2024][EVE-NG #9] ASAv 방화벽 설치하기입니다.  1. 공식적인 사이트 링크는 아래와 같습니다. https://www.eve-ng.net/index.php/documentation/howtos/howto-add-cisco-asav/ Cisco ASAv -Versions this gui

itblog-kr.tistory.com

 

 

1. EVE-NG에서 토폴로지를 아래와 같이 만듭니다.

2. 기본설정을 합니다.

E0/0 - zone - outside - ip 192.168.10.77/24

E0/1 - zone - inside - ip 10.1.1.1/24

 

GW: 192.168.10.253 

 

ciscoasa# conf t
ciscoasa#  hostname asa
ASA#
ASA(config)# int e0
ASA(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA(config-if)# ip add 192.168.10.77 255.255.255.0
ASA(config-if)# no sh
ASA(config)# int e1 
ASA(config-if)# nameif inside
ASA(config-if)# ip add 10.1.1.254 255.255.255.0
ASA(config-if)# no sh
ASA(config-if)# 

ASA(config)# route outside 0.0.0.0 0.0.0.0 192.168.10.253
ASA(config)# 

 

Nameif 확인

ASAv# show nameif
Interface                Name                     Security
GigabitEthernet0/0       outside                    0
GigabitEthernet0/1       inside                   100
ASAv# 

 

Interface 확인

ASAv# show interface ip brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.78   YES manual up                    up  
GigabitEthernet0/1         10.1.1.254      YES manual up                    up  
GigabitEthernet0/2         unassigned      YES unset  administratively down down
GigabitEthernet0/3         unassigned      YES unset  administratively down down
GigabitEthernet0/4         unassigned      YES unset  administratively down down
GigabitEthernet0/5         unassigned      YES unset  administratively down down
GigabitEthernet0/6         unassigned      YES unset  administratively down down
Management0/0              unassigned      YES unset  administratively down up  
ASAv# 

 

Default Gateway 확인

ASAv# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 192.168.10.253 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 192.168.10.253, outside
C        10.1.1.0 255.255.255.0 is directly connected, inside
L        10.1.1.254 255.255.255.255 is directly connected, inside
C        192.168.10.0 255.255.255.0 is directly connected, outside
L        192.168.10.78 255.255.255.255 is directly connected, outside

 

2. PC에서 Ping 192.168.10.77 

 

지금 까지 [ASA #01] - Basic Config 대해서 알아보았습니다. 

 

다음글은 ASDM를 설치해서  cisco ASA 접속해보겠습니다. 

저작자표시 (새창열림)

'CISCO > ASA 방화벽' 카테고리의 다른 글

[ASA #06] - Remote Access VPN current user check  (0) 2025.02.02
[ASA #05] - Remote Access VPN License  (0) 2025.02.02
[ASA #04] - Remote Access VPN  (0) 2025.02.02
[ASA #03] - ASDM Install  (0) 2025.02.02
[ASA #02] - TFTP Install  (0) 2025.02.02

안녕하세요. 

 

오늘은 wifi 패스워드를 cmd창에서 확인 하는 방법에 대해서 알아보겠습니다.

 

1. CMD를 실행합니다.

2. 아래처럼 SSID 확인 가능 합니다. 

C:\Users\USER>netsh wlan show profile

Wi-Fi 인터페이스의 프로필:

그룹 정책 프로필(읽기 전용)
---------------------------------
    <없음>

사용자 프로필
-------------
    모든 사용자 프로필 : Pham Mang
    모든 사용자 프로필 : 31994
    모든 사용자 프로필 : testtest
    모든 사용자 프로필 : TP-Link_Extender
    모든 사용자 프로필 : AirportWiFi(Free FAST)
    모든 사용자 프로필 : AirportWiFi(2.4G SLOW)
    모든 사용자 프로필 : SO070VOIP2EC9
    모든 사용자 프로필 : SO070VOIP2EC9_EXT
    모든 사용자 프로필 : #WiFi@Changi


C:\Users\USER>

 

저는 31994라는 SSID를 사용 중에 있습니다. 

 

2.

C:\Users\USER>netsh wlan show profile name="31994" key=clear

Wi-Fi 인터페이스의 31994 프로필:
=======================================================================

적용됨: 모든 사용자 프로필

프로필 정보
-------------------
    버전                : 1
    유형                   : 무선 LAN
    이름                   : 31994
    제어 옵션        :
        연결 모드    : 자동 연결
        네트워크 브로드캐스트: 이 네트워크가 브로드캐스트 중인 경우에만 연결
        자동 전환         : 다른 네트워크로 전환 안 함
        MAC 임의 지정  : 사용 안 함

연결 설정
---------------------
    SSID 개수        : 1
    SSID 이름              : "31994"
    네트워크 종류           : 인프라
    Radio 유형             : [ 모든 무선 유형 ]
    공급업체 확장          : 없음

보안 설정
-----------------
    인증         : WPA2-개인
    암호                 : CCMP
    인증         : WPA2-개인
    암호                 : GCMP
    보안 키           : 있음
    키 콘텐츠            : YYXXXXX  --------------------> 패스워드를 확인 가능 합니다. 

비용 설정
-------------
    비용                   : 제한 없음
    정체됨              : 아니요
    데이터 제한에 근접: 아니요
    데이터 제한 초과        : 아니요
    로밍                : 아니요
    비용 출처            : 기본값


C:\Users\USER>

 

지금까지 [IT TECH TIP-#2] - 접속된 WIFI 패스워드 확인 - cmd 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'IT TECH TIP' 카테고리의 다른 글

Fortinet 파트너 등록 정보  (0) 2025.04.18
[C9300] - 장비 공부  (0) 2025.04.18
[C4506-E] - 장비 공부  (2) 2025.04.18
[IT TECH TIP-#1] - 접속된 WIFI 패스워드 확인 - 윈도우11  (0) 2025.02.01
와이어바알리(wirebarlery), 한국에서 해외로 저렴하게 송금하기(수수료 무료)  (0) 2020.11.28

안녕하세요. 

 

오늘은 현재 접속된 WIFI 패스워드를 확인 하는 방법에 대해서 알아보겠습니다.

오랜전에 WIFI를 접속 후 현재 패스워드를 까먹엇을때 유용하게 사용 가능 합니다.

 

1. WIFI 아이콘에서 오른쪽 마우스를 클릭후 네트워크 및 인터넷 설정을 클릭 합니다. 

 

2. Wi-Fi를 클릭 합니다. 

 

3. 속성을 클릭 합니다. 

 

4. 고급 Wi-Fi 네트워크 속성을 클릭 합니다. 

 

6. 보안 탭을 클릭후 문자 표시를 선택하면 WIFI 패스워드를 확인 가능 합니다. 

 

지금까지 [IT TECH TIP-#1] - 접속된 WIFI 패스워드 확인 - 윈도우11 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'IT TECH TIP' 카테고리의 다른 글

Fortinet 파트너 등록 정보  (0) 2025.04.18
[C9300] - 장비 공부  (0) 2025.04.18
[C4506-E] - 장비 공부  (2) 2025.04.18
[IT TECH TIP-#2] - 접속된 WIFI 패스워드 확인 - cmd  (0) 2025.02.01
와이어바알리(wirebarlery), 한국에서 해외로 저렴하게 송금하기(수수료 무료)  (0) 2020.11.28

안녕하세요. 

 

오늘은 Global Protect Protal list를 Batch File를 이용해서 설치 하는 방법에 대해서 알아보겠습니다.

 

아래 처럼 User가 GP를 실행했을때 List가 총 4개가 나오게 Batch 파일을 만들어보겠습니다.

192.168.1.2

192.168.1.3

192.168.2.2

192.168.2.3

 

윈도우10에서 테스트 하였습니다.

 

1. 윈도우 10에서 메모장을 열고 아래 설정값을 복사합니다.

Windows Registry Editor Version 5.00

; @ECHO OFF
; CLS
; REGEDIT.EXE /S "%~f0"
; EXIT

[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.1.2]
[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.1.3]
[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.2.2]
[HKEY_CURRENT_USER\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings\192.168.2.3]

 

2. 그리고 GP_BATCH 이름 정하고 확장자를 .bat로 저장합니다

 

3. 테스트를 위해서 기존에 있는 GP Portal List를 삭제합니다. 

 

윈도우 + R

 

Portal list를 삭제합니다.

 

그리고 다시 Registry값을 보면 아래처럼 삭제 되었습니다.


4. Batch 파일을 통해서 GP Portal List를 추가하기 위해서 Batch File를 administrator 권환으로 실행 합니다. 

 

그리고 Registor값을 확인해보면 Portal List가 추가되었습니다.

** 위에 Na NA폴더는 삭제 합니다. ** 삭제하지 않으면 제대로 동작하지 않습니다. 

 

하지만 GP List에 보면 아래처럼 Portal List가 없습니다. 

 

** GP를 재실행 합니다. **

** GP를 재실행 할수 있는 권환이 옵션이 없으면 PC를 재부팅 합니다. **

 

5. 재부팅이 완료 되면 아래 사진처럼 4개에 globlal protect Portal List가 보입니다.

 

만약에 User가 100이라고 가정해보겠습니다.

 

AD Join이 된 PC라면, GPO를 통해서 유저가 AD계정으로 로그인 할때 위에 Batch file를 자동 실행하게 해서 Global Protect portal list를 추가 할수 있습니다. 하지만 유저가 PC를 재부팅해야지 추가된 portal list가 보입니다.

 

AD 사용 하지 않는 User라면 Email를 통해서 Batch File를 전달해서 유저들이 Batch를 클릭해서 설정하게 하고 재부팅 하게 합니다. 

 

지금까지 [PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#18] - Service Route  (0) 2025.02.01
[PaloAlto FW-#17] - mib browser - BGP UP/DOWN  (1) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18

안녕하세요.

 

오늘은 PaloAlto Service Route에 대해서 알아보겠습니다.

 

PaloAlto는 Service관련 Traffic에 대해서는 어떤 인테페이스를 Source로 해서 통신 할 것인지 정의 할수 있습니다.

 

Default로는 MGMT를 사용 합니다. 일반 Data InterFace를 사용 하기 위해서는 수정이 필요 합니다. 

 

1. Device -> Setup -> Services -> Servoces Features에서 Service Route Configuration를 클릭 합니다. 

 

2. 아래처럼 디폴트값은 MGMT 입니다. 

 

실제 장비 사진을 보시면 위에 MGMT - OUT OF BAND를 통해서 Service 과련 Traffic를 Source IP로 선택해서 통신 합니다.

 

Customeize를 선택하면 팔로알토에서 제공하는 Pre-defined 된 Service들에 해서 Source Interface와 IP를 선택 가능 합니다. 

 

제약 사항.

** Backup Interface를 선택 할수 없습니다. **

 

만약에 Pre-Defined에 없는 Service들은  Destination를 통해서 설정 가능 합니다. 

아래처럼 설정하면 Pre-Defined에 없는 Service Traffic은 Destination에 Match되면 이 소스로 IP로 해서 통신 합니다. 

 

** 중요 **

이 Destination은 특정 IP에 대해서는 이 Source Interface랑 IP를 사용해라가 아닙니다.

 

예를 들어

Active Directory 01 IP 1.1.1.1

Active Directory 02 IP 2.2.2.2

 

에서 PaloAlto에서 1.1.1.1 Source IP를 192.168.10.1

2.2.2.2에 대해서는 Source IP를 192.168.20.1 선택 하고 싶습니다. 그래서 Destination에 위와 같이 설정해도 원했던것처럼 동작하지 않습니다.

 

Destination 1.1.1.1 source interface e1/1 ip 192.168.10.1

Destination 2.2.2.2 source interface e1/2 ip 192.168.20.1

 

Priority 

1. Pre-Defined이 첫번째로 적용 됩니다.

2. Destination은 Pre-Defined에 없는 Service들을 적용 할때 사용 됩니다.  용도가 다릅니다.

 

공식 팔로알토 문서

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-web-interface-help/device/device-setup-services/destination-service-route

 

Destination Service Route

 

docs.paloaltonetworks.com

 

You can use a destination service route to add a customized redirection of a service that is not supported on the Customize list of services.  A destination service route is a way to set up routing to override the forwarding information base (FIB) route table. Any settings in the Destination service routes override the route table entries. They could be related or unrelated to any service.

 

지금까지 [PaloAlto FW-#18] - Service Route 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File  (0) 2025.02.01
[PaloAlto FW-#17] - mib browser - BGP UP/DOWN  (1) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18

안녕하세요.

 

오늘은 mib browser에 대해서 알아보겠습니다. 

 

mib browser를 이용하면 쉽게 oid값을 찾아 낼수 있습니다. 

 

google에서 mib browser를 검색하면 무료로 사용 할수 있는 mib browser가 많이 있습니다. 

 

1. 저는 ireasoning.com에서 제공하는 mib browser를 설치 하겠습니다.

 

https://www.ireasoning.com/mibbrowser.shtml

 

 

MIB browser

SNMP MIB Browser for engineers to manage SNMP enabled network devices and applications.

www.ireasoning.com

 

2. Download Now버튼을 클릭 합니다. 

 

3. 아래처럼 사용중인 OS에 맞게 다운로드 합니다. 

 

4. setup를 클릭 해서 설치 합니다. 설치 과정은 생략 하겠습니다. 

 

5. 위에 사진에서 mib browser를 클릭 합니다

 

6. Paloalto에서 mib 파일을 다운로드 받습니다.

https://docs.paloaltonetworks.com/resources/snmp-mib-files

 

Enterprise SNMP MIB Files

Your Palo Alto Networks firewall supports standard networking SNMP management information base (MIB) modules as well as proprietary Enterprise MIB modules, such as those listed below. You can configure an SNMP manager to get statistics from the firewall. F

docs.paloaltonetworks.com

 

7. 사용중인 버전을 클릭해서 다운로드 받습니다.

 

8. 압축을 풉니다. 

 

 

9. Mib Broswer를 통해서 위에 값을 불러 옵니다.

 

10. 아래 폴더에 접속합니다. 

 

11. BGP 관련 OID값을 찾아보겠습니다.

BGP가 UP되었을때 OID

 

BGP가 DOWN되었을때 OID

 

실제 이 OID값을 가지고 리눅스에서 팔로알토에 snmp 쿼리 해보겠습니다.

 

12. SNMP관련 Tool이 설치 된 리눅스에 접속 합니다.

 

 .1.3.6.1.4.1.25461.2.1.3.2.0.1531   --- BGP UP

 .1.3.6.1.4.1.25461.2.1.3.2.0.1532   -- BGP DOWN

 

kevin@kevin-virtual-machine:~$ sudo snmpwalk -v 2c -c ciscocisco 192.168.10.253  .1.3.6.1.4.1.25461.2.1.3.2.0.1531
[sudo] password for kevin:
iso.3.6.1.4.1.25461.2.1.3.2.0.1531 = No Such Object available on this agent at this OID


kevin@kevin-virtual-machine:~$ sudo snmpwalk -v 2c -c ciscocisco 192.168.10.253  .1.3.6.1.4.1.25461.2.1.3.2.0.1532
iso.3.6.1.4.1.25461.2.1.3.2.0.1532 = No Such Object available on this agent at this OID
kevin@kevin-virtual-machine:~$

 

팔로알토 장비가 PA220인데 이 BGP OID를 지원을 하지 않는거 같다. 

 

추후에 다른 PA장비에서 테스트를 진행해보겠습니다. 

 

지금까지 [PaloAlto FW-#17] - mib browser - BGP UP/DOWN 글을 읽어주셔서 감사합니다. 

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#19] - GlobalProtect Portal list install - Batch File  (0) 2025.02.01
[PaloAlto FW-#18] - Service Route  (0) 2025.02.01
[PaloAlto FW-#16] - SNMP  (1) 2025.01.18
[PaloAlto FW-#15] - log forward to kiwi syslog  (0) 2025.01.18
[PaloAlto FW-#14] - Kiwi Syslog install  (0) 2025.01.18

안녕하세요.

 

오늘은 Fortigate ECMP에 대해서 알아보겠습니다.

 

1. ECMP - Equal Cost Multiple Path - 매카니즘에 대허서 Routing Table 경로가 같으면 Traffic를 Load-Balance 합니다. 

2. ECMP는 Policy Routing 이후에 ECMP 정책이 적용 됩니다.

3. ECMP가 적용되기 위해서는 Same Destination, Cost가 같아야 합니다. 

4. 포티넷은 총 255에 ECMP Table를 지원 합니다.

5. ECMP Load-Balance 종류

    5-1 Source-ip-based - it is defualt selection - A source ip는 WAN01선택, B Source IP는 WAN02선택 이렇게 소스 IP별로 로드밸런싱 합니다. 

    5-2 weight-based - session percentage 적용해서 WAN01 - 75% , WAN02는 -25% 선택 가능-  WAN01 - 100M, WAN02, 25M

 

   5-3 usage-based - WAN01에 ingress and egress thresholds를 설정하고 이 임계치가 넘어가면 WAN02로 전환

  모든트래픽이 WAN01으로 흐르고 있는 상황에서 5% 넘으면 다음세션부터는 WAN02가 처리. 

 

   5-4 source-dest-ip-based - 소스IP, 목적지IP를 조합해서 로드밸런싱 합니다. 

 

 

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#21]- DDNS - Dual WAN  (1) 2024.12.28
[Fortigate-#20]- DDNS - Single WAN  (0) 2024.12.28
[Fortigate-#19]- IP SLA  (0) 2024.12.28
[Fortigate-#18]- Explicit Proxy with UTM function  (0) 2024.12.23
[Fortigate-#17]- Explicit Proxy  (0) 2024.12.23

+ Recent posts

티스토리툴바