Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Asa 5505 nat probleme

Mitglied: FooBar12345

FooBar12345 (Level 1) - Jetzt verbinden

12.08.2011 um 09:51 Uhr, 3174 Aufrufe, 8 Kommentare, 1 Danke

port-based nat geht nicht

irgendwie versteh ich das ding nicht

wieso funktioniert

access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq www

object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www www


aber folgendes funktioniert nicht ;(

access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq 50124

object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www 50124
Mitglied: aqui
12.08.2011 um 13:20 Uhr
Anders rum gefragt: Was willst du denn erreichen ?? Das HTTP Pakete mit dem Port TCP 50124 arbeiten ist ja höchst ungewöhnlich ?!
Wenn du auf der ASA den NAT Prozess mal debuggen würdest debug ip nat... dann siehst du außerdem sofort warum es kneift !

(P.S.: Deine Shift Taste ist defekt !)
Bitte warten ..
Mitglied: FooBar12345
12.08.2011 um 14:49 Uhr
PS: nu is sie heil ;)


Was ich erreichen will ... z.b das hier

-----------------> Externe-IP port 50123 ---------------> 192.168.1.123 port 80
Internet -------> Externe-IP port 50124 --- ASA -----> 192.168.1.124 port 80
-----------------> Externe-IP port 50125 ---------------> 192.168.1.125 port 80

Auf einer 5520 reicht dafür eine access-list und ein static... und gut is, aber ich hab das Zeug schon
lange nicht mehr in der Hand gehabt und mit v8.2(1), was auf der 5505 drauf ist, ist irgendwie alles anders.
Das Teilchen faselt nur was von:
Inbound TCP connection denied from XXX.XXX.XXX.XXX/53282 to Externe-IP/50124 flags SYN on interface outside
Bitte warten ..
Mitglied: aqui
12.08.2011 um 18:23 Uhr
Mmmhhh, sieht man sich die Command Syntax an:
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp]
willst du ja eine outside IP auf eine inside IP mappen. Laut vorgeschriebener Syntax müsste das Command Statement dann genau anderesrum lauten was Interfaces und Ports anbetrifft. Das erklärt ggf. auch den SYN Fehler.
Bitte warten ..
Mitglied: FooBar12345
12.08.2011 um 22:54 Uhr
Das versteh ich nicht, weil mit 80/80 Mapping geht es, nur mit 80/50124 nicht.

Bei meiner großen ASA mit 7er Firmware schreibe ich einfach

static (management-net,outside) tcp Externe-IP 50124 Intern-IP www netmask 255.255.255.255

nur das geht bei der 5505 nicht mehr ;(

Ich glaube ich sollte den Kasten einfach wegwerfen und fertig ...
Bitte warten ..
Mitglied: FooBar12345
13.08.2011 um 10:26 Uhr
Also ich hab jetzt mal die Docu durchgewühlt, danach müsste es so funktionieren,
zu mindest wenn ich die ip vom outside-interface verwenden will und keine andere

object network mm-1
... host INTERNAL-IP
... nat (management-net,outside) static interface service tcp 80 50124
access-list outside_access_in extended permit tcp object-group external-admin-hosts host EXTERNAL-IP eq 50124
access-group outside_access_in in interface outside


tut es aber nicht ...
Bitte warten ..
Mitglied: aqui
13.08.2011 um 10:50 Uhr
Der real Port (eingehend) ist bei dir doch aber die 50124 und der mapped Port die 80. Die beiden Portnummern müssten also vertauscht sein ?!
Bitte warten ..
Mitglied: FooBar12345
13.08.2011 um 11:18 Uhr
Ich teste das mal ... mal schauen ob das Verdrehen was bringt
Bitte warten ..
Mitglied: FooBar12345
13.08.2011 um 11:22 Uhr
In der Docu steht ...

The following example configures static NAT with port translation for 10.1.1.1 at TCP port 21 to the outside interface at port 2121.

hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121


also für mich heist das dann

hostname(config)# object network mm-1
hostname(config-network-object)# host INTERNE-IP
hostname(config-network-object)# nat (management-net,outside) static interface service tcp 80 50124

Oder nicht ???


Ich versteh den Scheiß nicht, kann man nicht v7.4 auf eine 5505 blasen, dann geht einfach static ... und gut ist ...
Ich hab selten so einen Dreck von Router/Firewall gesehen ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing

Ist doppeltes Routing mit einer asa 5505 möglich?

gelöst Frage von luchs3Router & Routing8 Kommentare

Hallo, Laut meinem ISP brauche ich folgende Konfiguration: Ich bräuchte für mein Privates Netz eigentlich zwei Router, da die ...

Switche und Hubs

Firmware Update Cisco ASA 5505

Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

LAN, WAN, Wireless

CISCO ASA 5505 hinter FRITZ.Box betreiben

gelöst Frage von TobiasNYCLAN, WAN, Wireless2 Kommentare

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren. Die ASA Ist ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 11 StundenVerschlüsselung & Zertifikate2 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 2 TagenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke14 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware13 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz12 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...