DPM 2010 über den ASA-IPSEC-Tunnel - Wie Man

DPM 2010 über den ASA-IPSEC-Tunnel

Aufgrund der Beschaffenheit von DPM und der Art und Weise, wie DCMs von DCOMs verarbeitet werden, funktioniert es aufgrund der DCERPC-Paketprüfung nicht für den VPN-Tunnel eines Cisco ASA. Dieses Handbuch dient als schnelle Lösung für dieses Problem. Cisco verfügt über eine Dokumentation zu diesem Problem unter folgendem Link: https://supportforums.cisco.com/document/67706/dcerpc-inspection-asapixfwsm#Troblem. Auch nach Abschluss des Leitfadens blieben unsere Probleme bestehen. Der obige Link löst möglicherweise Ihr Problem.

5 Schritte insgesamt

Schritt 1: Grundlegende Konnektivität herstellen

Wir müssen zuerst eine grundlegende Konnektivitätsprüfung durchführen. Bitte pingen Sie beide DPM-Seiten jedes Tunnels an. Beispiel DPM-Server 1 Ping-Remote-DPM-Server 2, dann DPM-Server 2 Ping-DPM-Server 1. Wenn dies erfolgreich ist, fahren Sie mit Schritt 2 fort. Wenn Sie ICMP-Pakete nicht erfolgreich senden können, besteht ein viel tieferes Netzwerkproblem. Dies kann so komplex sein wie ein Tunnelrouting-Problem oder so einfach wie das Ausführen einer Windows-Firewall.

Schritt 2: Laden Sie eine Kopie von Putty herunter.

Du solltest bereits eine Kopie von Putty haben, ich meine, wie kannst du in der IT sein und Putty nicht verwenden ... aber ich schweife ab;) Bitte benutze diesen Link, um eine aktuelle Version von Putty herunterzuladen.
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Schritt 3: Starten Sie Putty & ASDM

Wenn Sie als nächstes Putty & ASDM mit ASDM starten, stellen Sie sicher, dass die Überwachung aktiviert ist. Ändern Sie unter Putty click telnet den Port von 22 auf Port 135. Geben Sie unter Hostname die IP-Adresse Ihres Remote-DPM-Geräts ein. Klicken Sie nun auf Öffnen. Der Putty sollte schnell verschwinden und Sie sollten einen DCERPC-Fehler im ASDM-Monitor feststellen. Möglicherweise werden auch fehlerhafte Pakete angezeigt, die auf einen Fehler beim Öffnen von Nadelstichlöchern hinweisen. Wenn Sie dieses Problem sehen, haben Sie ein DCOM-Problem. Fahren Sie mit dem nächsten Schritt fort.

Schritt 4: Kreuzung

An dieser Stelle haben Sie zwei Möglichkeiten # 1, um die Cisco-Lösung https://supportforums.cisco.com/document/67706/dcerpc-inspection-asapixfwsm#Troblem zu versuchen. Trouble Nachdem Sie die Änderungen vorgenommen haben, versuchen Sie erneut, die in Schritt erwähnte Telnet-Sitzung mit Putty zu wiederholen 3. Bei Erfolg zeigt Telnet einen schwarzen Bildschirm und das ist alles. Sie können dann Putty schließen und Ihre DPM-Sitzung überprüfen. Wenn Ihre DPM-Sitzung aktiv ist, sind Sie fertig, wenn sie immer noch nicht funktioniert, führt das zu Schritt 2. Deaktivieren der DCERPC-Inspektion.

Schritt 5: ASDM

Hoffentlich haben Sie noch ASDM geöffnet, wenn nicht, öffnen Sie es bitte erneut. Klicken Sie beim Öffnen auf Konfiguration. Klicken Sie dann auf Firewall und dann auf Service Policy Rules. Klicken Sie nun in der globalen Klassenregel auf Bearbeiten. Deaktivieren Sie unter Regelaktionen die Option DCERPC. Dadurch wird die ASA-Prüfung dieses Protokolls deaktiviert. Übernehmen Sie jetzt Ihre Änderungen und speichern Sie sie. Versuchen Sie jetzt Ihre Telnet-Sitzung über Port 135, es sollte jetzt erfolgreich sein! DPM 2010 kann jetzt Sicherungen über Ihre WAN-VPN-Verbindung durchführen.

Ich hoffe, dass dieser Leitfaden jemandem die Vernunft erspart. Anstatt über Wireshark- & ASDM-Protokolle zu gießen ... Die Informationen dazu waren sehr begrenzt. Nachfolgend sind die beiden Artikel aufgeführt, auf die ich verwiesen habe.

https://social.technet.microsoft.com/Forums/de/3dd11754-9897-4420-a139-37366647ab83/dpm-network-communications-through-cisco-asa-firewall?forum=dataprotectionmanager

https://supportforums.cisco.com/document/67706/dcerpc-inspection-asapixfwsm#Fehlerbehebung