Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Asa 5505 nat probleme

Mitglied: FooBar12345

FooBar12345 (Level 1) - Jetzt verbinden

12.08.2011 um 09:51 Uhr, 3172 Aufrufe, 8 Kommentare, 1 Danke

port-based nat geht nicht

irgendwie versteh ich das ding nicht

wieso funktioniert

access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq www

object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www www


aber folgendes funktioniert nicht ;(

access-list outside_access_in extended permit tcp object-group
external-admin-hosts host XXX.XXX.XXX.XXX eq 50124

object network extern2mm1 nat (management-net,outside) static
outside-ip-158 service tcp www 50124
Mitglied: aqui
12.08.2011 um 13:20 Uhr
Anders rum gefragt: Was willst du denn erreichen ?? Das HTTP Pakete mit dem Port TCP 50124 arbeiten ist ja höchst ungewöhnlich ?!
Wenn du auf der ASA den NAT Prozess mal debuggen würdest debug ip nat... dann siehst du außerdem sofort warum es kneift !

(P.S.: Deine Shift Taste ist defekt !)
Bitte warten ..
Mitglied: FooBar12345
12.08.2011 um 14:49 Uhr
PS: nu is sie heil ;)


Was ich erreichen will ... z.b das hier

-----------------> Externe-IP port 50123 ---------------> 192.168.1.123 port 80
Internet -------> Externe-IP port 50124 --- ASA -----> 192.168.1.124 port 80
-----------------> Externe-IP port 50125 ---------------> 192.168.1.125 port 80

Auf einer 5520 reicht dafür eine access-list und ein static... und gut is, aber ich hab das Zeug schon
lange nicht mehr in der Hand gehabt und mit v8.2(1), was auf der 5505 drauf ist, ist irgendwie alles anders.
Das Teilchen faselt nur was von:
Inbound TCP connection denied from XXX.XXX.XXX.XXX/53282 to Externe-IP/50124 flags SYN on interface outside
Bitte warten ..
Mitglied: aqui
12.08.2011 um 18:23 Uhr
Mmmhhh, sieht man sich die Command Syntax an:
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp]
willst du ja eine outside IP auf eine inside IP mappen. Laut vorgeschriebener Syntax müsste das Command Statement dann genau anderesrum lauten was Interfaces und Ports anbetrifft. Das erklärt ggf. auch den SYN Fehler.
Bitte warten ..
Mitglied: FooBar12345
12.08.2011 um 22:54 Uhr
Das versteh ich nicht, weil mit 80/80 Mapping geht es, nur mit 80/50124 nicht.

Bei meiner großen ASA mit 7er Firmware schreibe ich einfach

static (management-net,outside) tcp Externe-IP 50124 Intern-IP www netmask 255.255.255.255

nur das geht bei der 5505 nicht mehr ;(

Ich glaube ich sollte den Kasten einfach wegwerfen und fertig ...
Bitte warten ..
Mitglied: FooBar12345
13.08.2011 um 10:26 Uhr
Also ich hab jetzt mal die Docu durchgewühlt, danach müsste es so funktionieren,
zu mindest wenn ich die ip vom outside-interface verwenden will und keine andere

object network mm-1
... host INTERNAL-IP
... nat (management-net,outside) static interface service tcp 80 50124
access-list outside_access_in extended permit tcp object-group external-admin-hosts host EXTERNAL-IP eq 50124
access-group outside_access_in in interface outside


tut es aber nicht ...
Bitte warten ..
Mitglied: aqui
13.08.2011 um 10:50 Uhr
Der real Port (eingehend) ist bei dir doch aber die 50124 und der mapped Port die 80. Die beiden Portnummern müssten also vertauscht sein ?!
Bitte warten ..
Mitglied: FooBar12345
13.08.2011 um 11:18 Uhr
Ich teste das mal ... mal schauen ob das Verdrehen was bringt
Bitte warten ..
Mitglied: FooBar12345
13.08.2011 um 11:22 Uhr
In der Docu steht ...

The following example configures static NAT with port translation for 10.1.1.1 at TCP port 21 to the outside interface at port 2121.

hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121


also für mich heist das dann

hostname(config)# object network mm-1
hostname(config-network-object)# host INTERNE-IP
hostname(config-network-object)# nat (management-net,outside) static interface service tcp 80 50124

Oder nicht ???


Ich versteh den Scheiß nicht, kann man nicht v7.4 auf eine 5505 blasen, dann geht einfach static ... und gut ist ...
Ich hab selten so einen Dreck von Router/Firewall gesehen ...
Bitte warten ..
Ähnliche Inhalte
Firewall
Konfiguration von VLAN an einer ASA 5505
gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Netzwerke
ASA 5505 Clientless SSL und RDP
gelöst Frage von JoeJoeNetzwerke3 Kommentare

Hallo zusammen, habe eine ASA5505 mit ASA Version 8.0(3) ASDM Version 6.4(9) Java 1.7.0_60-b90 Https sind im IE11 und ...

Router & Routing

Ist doppeltes Routing mit einer asa 5505 möglich?

gelöst Frage von luchs3Router & Routing8 Kommentare

Hallo, Laut meinem ISP brauche ich folgende Konfiguration: Ich bräuchte für mein Privates Netz eigentlich zwei Router, da die ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 7 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 7 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 7 StundenHardware10 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 7 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL16 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Router & Routing
Gesichertes NTP, wie z.B. NTPsec oder andere Variante bei Fritzboxen möglich ?
Frage von BruniumRouter & Routing11 Kommentare

Aktueller Zustand: Verwendung von ungesicherten NTP mit Fritzbox Gewünschter Zustand: Verwendung von gesicherten NTP mit Fritzbox Frage: Was gibt ...