8
ASDM auf Cisco ASA 5505 geschrottet wie wieder herstellen?
Hallo zusammen,
Folgende Randinformationen.
ASA 5505
XP Prof. 32bit
IE 7.0
Standardgateway aus cmd ipconfig /all rausgelesen: 192.168.1.1
Was habe ich gemacht. ASA 5505 ausgepackt und angeschlossen. MIr die Getting Started Guid durchgelesen. Leider habe ich dann auch mal den ASDM gestartet und gleich auf die neue Version von 7 auf 8 updaten. Es wurde gesagt, das alles erfolgreich installiert wurde.
Weiter habe ich noch den Site-to-Site VPN eingerichtet. Dort fehlte nur noch die Einstellung, dass auch die angeschlossenen PCs den Tunnel nutzen dürfen.
keine weiteren Daten an den Firewalls geändert nichts dergleichen. Mir geht es nur darum Site-to-Site nutzen zu können.
Dann habe ich mal das PC-System runtergefahren.
Wenn ich nun
im Explorer http:\\192.168.1.1
Dann kann ich dort die VPN starten.
Wenn ich nun https:\\192.168.1.1
dann passiert da nichts.
Wenn ich nun den ASDM Luncher starte und 192.168.1.1 eingebe. Kommt folgendes Unable to lunch ASDM from 162.168.1.1: Unexpected end of file from server
Was habe ich da angerichtet? Wie kann ich es wieder ganz machen? Gibt es vergleichesbares wie eine Dos-Shell mit dem ich mich per Serial verbinden kann und dort die richtigen images aufspielen kann?
Danke
Pansen21
Nachtrag: Im Demo Modus komme ich rein und kann sehen, dass was mit dem VPN nicht stimmt. Kann ich damit was machen?
Folgende Randinformationen.
ASA 5505
XP Prof. 32bit
IE 7.0
Standardgateway aus cmd ipconfig /all rausgelesen: 192.168.1.1
Was habe ich gemacht. ASA 5505 ausgepackt und angeschlossen. MIr die Getting Started Guid durchgelesen. Leider habe ich dann auch mal den ASDM gestartet und gleich auf die neue Version von 7 auf 8 updaten. Es wurde gesagt, das alles erfolgreich installiert wurde.
Weiter habe ich noch den Site-to-Site VPN eingerichtet. Dort fehlte nur noch die Einstellung, dass auch die angeschlossenen PCs den Tunnel nutzen dürfen.
keine weiteren Daten an den Firewalls geändert nichts dergleichen. Mir geht es nur darum Site-to-Site nutzen zu können.
Dann habe ich mal das PC-System runtergefahren.
Wenn ich nun
im Explorer http:\\192.168.1.1
Dann kann ich dort die VPN starten.
Wenn ich nun https:\\192.168.1.1
dann passiert da nichts.
Wenn ich nun den ASDM Luncher starte und 192.168.1.1 eingebe. Kommt folgendes Unable to lunch ASDM from 162.168.1.1: Unexpected end of file from server
Was habe ich da angerichtet? Wie kann ich es wieder ganz machen? Gibt es vergleichesbares wie eine Dos-Shell mit dem ich mich per Serial verbinden kann und dort die richtigen images aufspielen kann?
Danke
Pansen21
Nachtrag: Im Demo Modus komme ich rein und kann sehen, dass was mit dem VPN nicht stimmt. Kann ich damit was machen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97407
Url: https://administrator.de/contentid/97407
Printed on: April 26, 2024 at 14:04 o'clock
8 Comments
Latest comment
Zum Nachtrag: Im Demomodus macht die ASDM Software selbst Beschäftigung ohne Verbindung zur Firewall. Es ist richtig, dass man im Demomodus kein VPN konfigurieren kann.
Nun zum Rest. Ja, das kann man reparieren.
In der Packung liegt ein hellblaues Console Kabel von Cisco.
Damit an "Console" und Serial Port vom PC verbinden. Die ASA durch booten (Strom aus, an).
An der Konsole anmelden.
mit show flash siehst du die Dateien auf dem Flashspeicher.
Dort ggf einen alten ASDM löschen.
mit copy tftp://192.168.1.15/asdm.bin flash:/asdm.bin kopierst du von deinem PC (IP .15) in den Flashspeicher der ASA.
Gruß Rafiki
update: Das Forum macht aus dem tftp: usw immer einen hyperlink. Du sollst aber nur Text eingeben....
Nun zum Rest. Ja, das kann man reparieren.
In der Packung liegt ein hellblaues Console Kabel von Cisco.
Damit an "Console" und Serial Port vom PC verbinden. Die ASA durch booten (Strom aus, an).
An der Konsole anmelden.
mit show flash siehst du die Dateien auf dem Flashspeicher.
Dort ggf einen alten ASDM löschen.
mit copy tftp://192.168.1.15/asdm.bin flash:/asdm.bin kopierst du von deinem PC (IP .15) in den Flashspeicher der ASA.
Gruß Rafiki
update: Das Forum macht aus dem tftp: usw immer einen hyperlink. Du sollst aber nur Text eingeben....
Hallo Rafiki,
ich danke dir für die Beschreibung. Eine Frage habe zum tftp wo ist der Pfad ich habe nun c:\ oder G:\software\asdm\asdm-602.bin probiert aber er konnte es nicht finden.
Sag Mal gibt es nicht so ein Dokument wo eben z.B. tftp erklärt wird? Dann könnte ich mir das selber erarbeiten.
Was mir noch aufgefallen ist, da ich die Site-to-Site VPN eingestellt habe, kommt nun im Explorer eben der Startknopf für die VPN Verbindung. Vielleicht ist nun der Cisco über einen andere IP mit Port zu erreichen?
In zwischen habe ich mich dank des Forums hier auch schon mit der dem Kabel und der Terminal angefreundet. Nun werde ich noch die Tutorials für die ASA durcharbeiten.
Danke bis hier her wenn du mir noch die zwei obigen Fragen erklären könntest, herzlichen Dank
pansen21
ich danke dir für die Beschreibung. Eine Frage habe zum tftp wo ist der Pfad ich habe nun c:\ oder G:\software\asdm\asdm-602.bin probiert aber er konnte es nicht finden.
Sag Mal gibt es nicht so ein Dokument wo eben z.B. tftp erklärt wird? Dann könnte ich mir das selber erarbeiten.
Was mir noch aufgefallen ist, da ich die Site-to-Site VPN eingestellt habe, kommt nun im Explorer eben der Startknopf für die VPN Verbindung. Vielleicht ist nun der Cisco über einen andere IP mit Port zu erreichen?
In zwischen habe ich mich dank des Forums hier auch schon mit der dem Kabel und der Terminal angefreundet. Nun werde ich noch die Tutorials für die ASA durcharbeiten.
Danke bis hier her wenn du mir noch die zwei obigen Fragen erklären könntest, herzlichen Dank
pansen21
Hallo,
was dir dazu anscheinend im wesentlichen fehlt dürfte der tftp Server sein!
denn findest du hier: http://tftpd32.jounin.net/tftpd32.html
brammer
was dir dazu anscheinend im wesentlichen fehlt dürfte der tftp Server sein!
denn findest du hier: http://tftpd32.jounin.net/tftpd32.html
brammer
Oder hier:
http://kin.klever.net/pumpkin/
Du solltest als erstes über die Konsole mit "write erase" oder "era startup" die Maschine wieder jungfräulich machen. Danach so verfahren wie oben.
Auf dem Cisco CCO steht auch genau wie man die Maschine recovert. Ggf. kannst du gleich ein SW Update machen.
http://kin.klever.net/pumpkin/
Du solltest als erstes über die Konsole mit "write erase" oder "era startup" die Maschine wieder jungfräulich machen. Danach so verfahren wie oben.
Auf dem Cisco CCO steht auch genau wie man die Maschine recovert. Ggf. kannst du gleich ein SW Update machen.
Guten Morgen,
"write erase" habe ich gemacht. Sagt mal wenn das Cisco CCO ein Account bei Cisco aber keine Gastaccount mehr ist, dann komme ich da nicht rein. Denn mein Händler ist nicht als registrierter Händler angemeldet.
Leider muss ich erst Mal jetzt arbeiten und kann mich heute abend wieder zwei Stunden Zeit nehmen dafür.
Ich habe im Internet eine Anleitung zum recover gefunden aber dazu brauchte ich einen vollen Cisco Accout. Stimmt das? wenn ja wie komme ich daran, wenn der Händler nicht registriert ist?
Aber ich komme sehr gut auf die Konsole drauf, aber eben bekomme ich die tftp Verbindung nicht hin, denn nun stimmen die IPs auch nicht mehr. Denn er weisst nun dem Rechner keine IP mehr zu.
Danke
pansen21
Nachtrag: auf der CD fehlen alle Dokus für die ASA egel welche Vesion. Komische Sache. Alles war orginal verpackt.
"write erase" habe ich gemacht. Sagt mal wenn das Cisco CCO ein Account bei Cisco aber keine Gastaccount mehr ist, dann komme ich da nicht rein. Denn mein Händler ist nicht als registrierter Händler angemeldet.
Leider muss ich erst Mal jetzt arbeiten und kann mich heute abend wieder zwei Stunden Zeit nehmen dafür.
Ich habe im Internet eine Anleitung zum recover gefunden aber dazu brauchte ich einen vollen Cisco Accout. Stimmt das? wenn ja wie komme ich daran, wenn der Händler nicht registriert ist?
Aber ich komme sehr gut auf die Konsole drauf, aber eben bekomme ich die tftp Verbindung nicht hin, denn nun stimmen die IPs auch nicht mehr. Denn er weisst nun dem Rechner keine IP mehr zu.
Danke
pansen21
Nachtrag: auf der CD fehlen alle Dokus für die ASA egel welche Vesion. Komische Sache. Alles war orginal verpackt.
Das mit den TFTP Server ist ja kein Problem, denn du kannst den Router komplett über die Konsole konfigurieren was so oder so besser ist als dieser grafische Schnickschnack !!
Du lädst dir z.B. den Pumpkin TFTP Server für Windows von oben runter und installierst ihn auf einem XP Rechner der im Netz des Ethernet Interfaces des Ciscos ist.
Mit der Konsole gibst du ihm dann dort statisch eine IP Adresse aus dem IP Netz mit:
enable
(Passwort) und dann steht im Prompt ein #
conft t
int eth 0/0
ip address 172.16.1.254 255.255.255.0
<ctrl z>
wr m
Nun kannst du mit ping 172.16.1.1 vom Cisco deinen TFTP Server PC pingen und vice versa mit ping 172.16.1.254 vom TFTP Server PC den Cisco.
Jetzt kannst du mit copy tftp flash 172.16.1.1 <image> ... vom Cisco ein neues IOS Image und damit auch einen neuen ASDM installieren.
Zum Download benötigst du allerdings einen Cisco CCO Kunden oder Händler Account. Mit einem Gastaccount kannst du keine SW runterladen.
Dein Händler wird aber sicher einen Kunden account kennen
Die komplette Doku bekommst du aber mit einem Gastaccount oder auch ganz ohne Account !!!
P.S.: Das o.a. Beispiel geht davon aus das Router und TFTP Server auf einem IP Netzwerk 172.16.1.0 mit einer 24 Bit Maske (255.255.255.0) sind !!! Ggf. musst du das deinem IP Bereich anpassen !
Du lädst dir z.B. den Pumpkin TFTP Server für Windows von oben runter und installierst ihn auf einem XP Rechner der im Netz des Ethernet Interfaces des Ciscos ist.
Mit der Konsole gibst du ihm dann dort statisch eine IP Adresse aus dem IP Netz mit:
enable
(Passwort) und dann steht im Prompt ein #
conft t
int eth 0/0
ip address 172.16.1.254 255.255.255.0
<ctrl z>
wr m
Nun kannst du mit ping 172.16.1.1 vom Cisco deinen TFTP Server PC pingen und vice versa mit ping 172.16.1.254 vom TFTP Server PC den Cisco.
Jetzt kannst du mit copy tftp flash 172.16.1.1 <image> ... vom Cisco ein neues IOS Image und damit auch einen neuen ASDM installieren.
Zum Download benötigst du allerdings einen Cisco CCO Kunden oder Händler Account. Mit einem Gastaccount kannst du keine SW runterladen.
Dein Händler wird aber sicher einen Kunden account kennen
Die komplette Doku bekommst du aber mit einem Gastaccount oder auch ganz ohne Account !!!
P.S.: Das o.a. Beispiel geht davon aus das Router und TFTP Server auf einem IP Netzwerk 172.16.1.0 mit einer 24 Bit Maske (255.255.255.0) sind !!! Ggf. musst du das deinem IP Bereich anpassen !
Guten Morgen,
herzlichen Dank für euere Hilfe. Ich werde nun den Händler kontaktieren und Cisco habe ich auch schon geschrieben. Sehr wichtig für mich war hier das Erlernen das es auch ohne ASDM geht und ich mittels Konsole dies alles fein einstellen kann. Nun werde ich die kommenden Tage ein Skizze erstellen wie ich mir meine Cisco vorstelle, dann ist es ein bisschen aufgeräumter.
derpansen21
Nachtrag: der tftp wurde nicht gesehen, weil die Windowsfirewall diese blockiert hat. Nun hat es geklappt.
herzlichen Dank für euere Hilfe. Ich werde nun den Händler kontaktieren und Cisco habe ich auch schon geschrieben. Sehr wichtig für mich war hier das Erlernen das es auch ohne ASDM geht und ich mittels Konsole dies alles fein einstellen kann. Nun werde ich die kommenden Tage ein Skizze erstellen wie ich mir meine Cisco vorstelle, dann ist es ein bisschen aufgeräumter.
derpansen21
Nachtrag: der tftp wurde nicht gesehen, weil die Windowsfirewall diese blockiert hat. Nun hat es geklappt.
hi rafiki
ich hab dieses thema aufgegriffen und bin punkt für punkt vorgegangen.
es geht bei mir leider nicht. kannst du mir bitte auch helfen.
sitzte nun ohne schlaf seit gestern 19h dran.
infos:
asa5505 war gestern noch voll im einsatz.
update über cli: asdm-61557.bin auf asdm-621.bin
update über cli: asa804-k8.bin auf asa821-k8.bin
hier mein fehler: habe dann direkt nach dem reload: del alte asdm+asa, ohne
vorher zu launchen.
dann liess sich die asdm nicht mehr launchen mit der meldung, asa804...nicht auffindbar.
nächster fehler: asa821-k8.bin nun auch ge del´t. nun ging nichts mehr.
nur noch ROMMON.
nun stosste ich auf deinen beitrag..........
vom gefühl her habe ich es hinbekommen copy von tftp usw...
bumm.. nun hatte ich endlich wieder ciscoasa# dort stehen
nicht möglich ist leider
a) copy to flash
b) festlegen der ip adresse auf eth0/0
zu a) not enough space oder keine verbindung zum device
zu b) asa5505 kann nur über vlan
mir brennen schon die beine vom sitzen. ich hoffe du bist wach und dein rechner
blinkt auf, wenn ich senden drücke.
lieben dank im voraus
ich hab dieses thema aufgegriffen und bin punkt für punkt vorgegangen.
es geht bei mir leider nicht. kannst du mir bitte auch helfen.
sitzte nun ohne schlaf seit gestern 19h dran.
infos:
asa5505 war gestern noch voll im einsatz.
update über cli: asdm-61557.bin auf asdm-621.bin
update über cli: asa804-k8.bin auf asa821-k8.bin
hier mein fehler: habe dann direkt nach dem reload: del alte asdm+asa, ohne
vorher zu launchen.
dann liess sich die asdm nicht mehr launchen mit der meldung, asa804...nicht auffindbar.
nächster fehler: asa821-k8.bin nun auch ge del´t. nun ging nichts mehr.
nur noch ROMMON.
nun stosste ich auf deinen beitrag..........
vom gefühl her habe ich es hinbekommen copy von tftp usw...
bumm.. nun hatte ich endlich wieder ciscoasa# dort stehen
nicht möglich ist leider
a) copy to flash
b) festlegen der ip adresse auf eth0/0
zu a) not enough space oder keine verbindung zum device
zu b) asa5505 kann nur über vlan
mir brennen schon die beine vom sitzen. ich hoffe du bist wach und dein rechner
blinkt auf, wenn ich senden drücke.
lieben dank im voraus