71818
Nov 12, 2008, updated at Nov 18, 2008 (UTC)
19972
8
0
Einrichtung einer Cisco ASA 5505 mit Dual ISP, PPPoE und PAT, Einrichtungsprobleme
Hallo zusammen,
im Bereich Cisco bin ich recht neu und habe mir die letzten Tage versucht selbst zu Helfen, komme aber stellenweise nicht weiter.
Geplant ist eine Konfiguration mit
2 x ISP (16Mbit / Telekom / Statische IP / T-Com Modem)
1 x Internes Netzwerk (Class C 192.168.1.0 / 255.255.255.0)
Weiterleiten diverser Ports von außen nach innen(Später)
Verteilen verschiedener Dienste auf verschiedene DSL-Zugänge (Später)
VPN (Software-Client - Internet - ASA5505 - Internes Netzwerk, Später)
Die neuste ASA und ASDM-Version habe ich bereits eingespielt.
Unten stehend meine Konfiguration.
Warum kann ich vom Client aus keine Seiten öffnen? Was habe ich übersehen, was sollte ich noch bedenken?
Ist das Routing so überhaupt richtig?
Vielen Dank für eure Hilfe, Haferflocke
show running-config
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123132132 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Ethernet0/0
description WAN2
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 194.25.0.125
name-server 195.244.245.27
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1500
mtu wan1 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 132.123.123.123
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group isp request dialout pppoe
vpdn group isp localname feste-ip4/123456789@t-online-com.de
vpdn group isp ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd address 192.168.1.6-192.168.1.254 inside
!
threat-detection basic-threat
threat-detection statistics access-list
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end
ciscoasa(config)#
im Bereich Cisco bin ich recht neu und habe mir die letzten Tage versucht selbst zu Helfen, komme aber stellenweise nicht weiter.
Geplant ist eine Konfiguration mit
2 x ISP (16Mbit / Telekom / Statische IP / T-Com Modem)
1 x Internes Netzwerk (Class C 192.168.1.0 / 255.255.255.0)
Weiterleiten diverser Ports von außen nach innen(Später)
Verteilen verschiedener Dienste auf verschiedene DSL-Zugänge (Später)
VPN (Software-Client - Internet - ASA5505 - Internes Netzwerk, Später)
Die neuste ASA und ASDM-Version habe ich bereits eingespielt.
Unten stehend meine Konfiguration.
Warum kann ich vom Client aus keine Seiten öffnen? Was habe ich übersehen, was sollte ich noch bedenken?
Ist das Routing so überhaupt richtig?
Vielen Dank für eure Hilfe, Haferflocke
show running-config
- Saved
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123132132 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Ethernet0/0
description WAN2
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 194.25.0.125
name-server 195.244.245.27
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1500
mtu wan1 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 132.123.123.123
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group isp request dialout pppoe
vpdn group isp localname feste-ip4/123456789@t-online-com.de
vpdn group isp ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd address 192.168.1.6-192.168.1.254 inside
!
threat-detection basic-threat
threat-detection statistics access-list
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end
ciscoasa(config)#
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101610
Url: https://administrator.de/contentid/101610
Printed on: April 26, 2024 at 07:04 o'clock
8 Comments
Latest comment
Bei dir fehlt das NAT outside kommando so das vermutlich gar kein NAT gemacht wird. Ferner sind die MTU Werte für die WAN/DSL Interface falsch, denn die dürfen wegen der Encapsulation nicht größer als 1492 max sein.
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Funktioniert die PPPoE Verbindung bzw. hast du mit "show int" mal gecheckt ob du eine IP per PPPoE bekommen hast also ob deine DSL Verbindung grundsätzlich funktioniert ??
Beispiele dazu findest du hier:
http://www.cisco.com/en/US/docs/security/asa/asa81/config/guide/pppoe.h ...
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Funktioniert die PPPoE Verbindung bzw. hast du mit "show int" mal gecheckt ob du eine IP per PPPoE bekommen hast also ob deine DSL Verbindung grundsätzlich funktioniert ??
Beispiele dazu findest du hier:
http://www.cisco.com/en/US/docs/security/asa/asa81/config/guide/pppoe.h ...
Hallo aqui,
vielen Dank für den Hinweis mit dem MTU-Wert, ich habe das sofort geändert.
Die fehlende NAT-Regel habe ich hinzugefügt.
Die aktuelle "sho ru" sieht so aus:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 195.244.245.27
dns-group t-com_dns_server
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 80.*.*.*
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
route wan2 0.0.0.0 0.0.0.0 80.*.*.* 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/123456789@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
<--- More --->
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end
ciscoasa(config)#
Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.
Eine Traceroute schlägt hingegen fehl.
Die IP auf WAN2 (erstmal zum Test, WAN1 kommt zum Schluß) wird über DHCP vom ISP vergeben. In der NAT Regel habe ich diese aber statisch eingetragen.
Ich habe die Firewall erstmal komplett geöffnet, eine Idee was ich falsch mache, scheint als verstehe ich die Grundsätze nicht ganz.
vielen Dank für den Hinweis mit dem MTU-Wert, ich habe das sofort geändert.
Die fehlende NAT-Regel habe ich hinzugefügt.
Die aktuelle "sho ru" sieht so aus:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 195.244.245.27
dns-group t-com_dns_server
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 80.*.*.*
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
route wan2 0.0.0.0 0.0.0.0 80.*.*.* 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/123456789@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
<--- More --->
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end
ciscoasa(config)#
Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.
Eine Traceroute schlägt hingegen fehl.
Die IP auf WAN2 (erstmal zum Test, WAN1 kommt zum Schluß) wird über DHCP vom ISP vergeben. In der NAT Regel habe ich diese aber statisch eingetragen.
Ich habe die Firewall erstmal komplett geöffnet, eine Idee was ich falsch mache, scheint als verstehe ich die Grundsätze nicht ganz.
"...Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.."
Was bedeutet das ??
Du kannst mit dem Packet Tracer z.B. mal www.heise.de pingen im Internet ??
Auf traceroute würd ich nicht viel geben, denn viele ISPs blocken ICMP Pakete auf Userports.
Wenn du www.heise.de pingen kannst funktioniert doch alles... ???!
Was bedeutet das ??
Du kannst mit dem Packet Tracer z.B. mal www.heise.de pingen im Internet ??
Auf traceroute würd ich nicht viel geben, denn viele ISPs blocken ICMP Pakete auf Userports.
Wenn du www.heise.de pingen kannst funktioniert doch alles... ???!
Hallo Aqui,
der Packet-Tracer bestätigt mir, dass es "theoretisch geht" und das simulierte Paket von Inside nach WAN2 durch NAT und ACL kommt.
"Traceroute" gibt hingegen aus "No route to host" aus, wobei doch der DNS korrekt eingetragen ist, oder?
Ein Ping von der ASA WAN2 zu einer externen IP-Adresse funktioniert!
Trotz der neuen MTU-Werte geht es nicht.
der Packet-Tracer bestätigt mir, dass es "theoretisch geht" und das simulierte Paket von Inside nach WAN2 durch NAT und ACL kommt.
"Traceroute" gibt hingegen aus "No route to host" aus, wobei doch der DNS korrekt eingetragen ist, oder?
Ein Ping von der ASA WAN2 zu einer externen IP-Adresse funktioniert!
Trotz der neuen MTU-Werte geht es nicht.
"..wobei doch der DNS korrekt eingetragen ist, oder?.."
Trotzdem ist es besser erstmal mit nackten IPs zu pingen oder tracerouten um DNS Problemen aus dem Weg zu gehen.
Dein Fehler wird sein das das NAT/PAT nicht richtig rennt.
Cisco hat eine Menge an sinnvollen debug Kommandos. Du solltest z.B. einem debug ip NAT usw. usw. ausführen um zu sehen wo es kneift !
Trotzdem ist es besser erstmal mit nackten IPs zu pingen oder tracerouten um DNS Problemen aus dem Weg zu gehen.
Dein Fehler wird sein das das NAT/PAT nicht richtig rennt.
Cisco hat eine Menge an sinnvollen debug Kommandos. Du solltest z.B. einem debug ip NAT usw. usw. ausführen um zu sehen wo es kneift !
Hallo Aqui,
vielen Dank für Deine Hilfe. Langsam werde ich etwas sicherer im Umgang mit der ASA.
Das NAT/PAT Problem ist gelöst. Die Nat-Regel war nicht sauber eingestellt.
Jetzt ist nur noch ein kleines Problem, die DNS-Namen werden nicht von der ASA aufgelöst. Gebe ich im Notebook (internes netzwerk)einen externen DNS-Server (Internet) an funktionert das auflösen reibungslos.
Auch der Traffic geht korrekt durch.
Normalerweise beziehen sich die Clients von einem DCHP-Server die DNS-Adresse eines AD-Servers welcher an den Router weiterleitet, der wiederrum sollte einen externen DNS-Server ansprechen.
Hier bin ich allerdings noch ein wenig am rätseln. Siehst Du eine Fehlkonfiguration in der Config unterhalb? Ich probiere weiterhin und poste sobald ich selbst etwas gefunden habe. Ich habe bereits ein paar T-Com DNS-Server ausprobiert, wie gesagt, in den Clients eingetragen funktionieren sie, in der ASA leider nicht.
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.70 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group DefaultDNS
name-server 194.25.2.129
domain-name default
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (wan2) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 dns
access-group inside_access_in in interface inside control-plane
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/12345689@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456
: end
asdm image disk0:/asdm-602.bin
no asdm history enable
vielen Dank für Deine Hilfe. Langsam werde ich etwas sicherer im Umgang mit der ASA.
Das NAT/PAT Problem ist gelöst. Die Nat-Regel war nicht sauber eingestellt.
Jetzt ist nur noch ein kleines Problem, die DNS-Namen werden nicht von der ASA aufgelöst. Gebe ich im Notebook (internes netzwerk)einen externen DNS-Server (Internet) an funktionert das auflösen reibungslos.
Auch der Traffic geht korrekt durch.
Normalerweise beziehen sich die Clients von einem DCHP-Server die DNS-Adresse eines AD-Servers welcher an den Router weiterleitet, der wiederrum sollte einen externen DNS-Server ansprechen.
Hier bin ich allerdings noch ein wenig am rätseln. Siehst Du eine Fehlkonfiguration in der Config unterhalb? Ich probiere weiterhin und poste sobald ich selbst etwas gefunden habe. Ich habe bereits ein paar T-Com DNS-Server ausprobiert, wie gesagt, in den Clients eingetragen funktionieren sie, in der ASA leider nicht.
- Saved
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.70 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group DefaultDNS
name-server 194.25.2.129
domain-name default
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (wan2) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 dns
access-group inside_access_in in interface inside control-plane
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/12345689@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456
: end
asdm image disk0:/asdm-602.bin
no asdm history enable
Die ASA ist kein DNS Server noch kann sie m.E. DNS Proxy spielen !
Du musst also in deinen lokalen DNS Server eine Weiterleitung auf einen DNS Server bei deinem ISP einstellen und NICHT auf die ASA !
Du musst also in deinen lokalen DNS Server eine Weiterleitung auf einen DNS Server bei deinem ISP einstellen und NICHT auf die ASA !
Danke Aqui,
mit etwas Geduld und den lesen der Tutorials von Cisco habe ich es dann geschaft.
Auf dem AD-Server habe ich die DNS-Server der Telekom eingetragen welche an via DHCP an die Clients gegeben werden.
Gruß
Haferflocke
mit etwas Geduld und den lesen der Tutorials von Cisco habe ich es dann geschaft.
Auf dem AD-Server habe ich die DNS-Server der Telekom eingetragen welche an via DHCP an die Clients gegeben werden.
Gruß
Haferflocke
