ASA5525 无法使用浏览器打开ASDM

jingjian · ‎07-06-2014

最近调试ASA5525防火墙遇到一个问题，所有配置做完之后，想开启ASDM监控防火墙的状态，在浏览器输入防火墙的管理地址后，本以为会弹出下载安装ASDM的页面，但是显示的却是无法连接。下面是排错过程分享给大家，希望遇到相同的问题可以顺利解决。
1.ping 管理地址，测试结果，通。
2.检查http服务，没问题，已经开启了。
3. 检查http的认证信息 aaa authentication http console LOCAL ，也已经配置，没有问题。
4.开始怀疑防火墙的版本, 这台墙是K8版本，不支持3DES和AES，难道和这个有关系？于是申请了K9的license，升级后，问题依旧如此。
5.无奈，开dubug，看到如下信息：
%ASA-6-725001: Starting SSL handshake with client mgmt:192.168.1.100/60000 for TLSv1 session.
%ASA-7-725010: Device supports the following 1 cipher(s).
%ASA-7-725011: Cipher[1] : DES-CBC-SHA
%ASA-7-725008: SSL client mgmt:192.168.1.100/60000 proposes the following 10 cipher(s).
%ASA-7-725011: Cipher[1] : DHE-RSA-AES128-SHA
%ASA-7-725011: Cipher[2] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[3] : DHE-RSA-AES256-SHA
%ASA-7-725011: Cipher[4] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[5] : EDH-RSA-DES-CBC3-SHA
%ASA-7-725011: Cipher[6] : AES128-SHA
%ASA-7-725011: Cipher[7] : AES256-SHA
%ASA-7-725011: Cipher[8] : DES-CBC3-SHA
%ASA-7-725011: Cipher[9] : RC4-SHA
%ASA-7-725011: Cipher[10] : RC4-MD5
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher
看到这些，已经确定确实是算法引起的，浏览器支持很多算法，但是防火墙支持DES-CBC-SHA这中算法，而恰恰浏览器不支持。
6. 查了一些资料，找到一条关键命令‘ciscoasa# show running-config all ssl’，看以看到系统默认只配置‘des-sha1’ssl server-version any
ssl client-version any
ssl encryption des-sha1
ssl certificate-authentication fca-timeout 2
7. 找到原因后，就通过如下命令将所有的算法都配置上了
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 dhe-aes128-sha1 dhe-aes256-sha1 rc4-md5 rc4-sha1
8. 最后在浏览器输入管理地址，ASDM下载界面成功弹出，下载安装，一切顺利。

liyzhao · ‎07-18-2014

前几天在webvpn遇到一模一样的问题，并且还有个后续问题。clientless VPN无法通过https访问内网的call manager，但是http可以。删掉dhe-aes128-sha1 dhe-aes256-sha1之后问题解决。

Yanli Sun · ‎07-18-2014

liyzhao 发表于 2014-7-18 22:12
前几天在webvpn遇到一模一样的问题，并且还有个后续问题。clientless VPN无法通过https访问内网的call mana ...

感谢 liying 分享 :)

jingjian · ‎07-18-2014

CSC_小M 发表于 2014-7-18 22:21
感谢 liying 分享

非常高兴能够帮助到遇到相同问题的同学们:P

Yanli Sun · ‎07-20-2014

arvinjing 发表于 2014-7-19 08:49
非常高兴能够帮助到遇到相同问题的同学们

赞楼主 :handshake

flexjohndou · ‎07-31-2014

赞！学习了，谢谢分享

jingjian · ‎08-03-2014

flexjohndou 发表于 2014-8-1 12:36
赞！学习了，谢谢分享

互相学习:)

cpmld-199 · ‎09-22-2014

谢谢楼主分享，学习了。

yanzha4 · ‎01-07-2015

总结一下吧，以前也遇到类似问题：
ASDM网管前准备
* 为一个接口配置IP，并且命名
* 启用 HTTP 服务器，并且允许网管流量
* username/password 配置
* aaa http 流量认证
* 确保 asdm文件已经安装 or flash中有asdm文件
* 指定 ASDM 的 Image 文件位置
* 确认安装java运行环境，并且java版本7，必须 check update 小版本（控制面板查看）
* 确认 PC 能够ping通ASA
ADSM访问主要问题有：
1. 如果ASDM安装页面能看到，那么很可能是JAVA版本问题，需要查看当前安装的JAVA版本
2. ASDM Image 是否能管理 ASA IOS Image，通常小2个号码以上
3. 如果和楼主问题一样，那么
a.查看show version, 看VPN-3DES-AES 加密算法没有 enable，以前有客户license问题，导致算法disable，那么根本不可能访问ADSM
b. show ssl查看时否启用 aes256-sha1，aes128-sha1，3des-sha1等算法，默认情况下， Enabled cipher order: des-sha1 只有这一个，因此需要使用命令 ssl encryption 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1 来激活其他算法
以上是基本的 ADSM能够出现的问题总结，希望对大家有帮助

one-time · ‎01-13-2015

liyzhao 发表于 2014-7-18 22:12
前几天在webvpn遇到一模一样的问题，并且还有个后续问题。clientless VPN无法通过https访问内网的call mana ...

感谢@liyzhao 的回复撒花撒花~

13nash · ‎03-05-2015

感谢分享，这个问题以前也遇到过。

ygy_clark · ‎05-03-2015

:)谢谢楼主分享，遇到同样问题，按楼主方法，升级K9，配置SSL，问题解决，可以正常使用ASDM。
信息太有用了