22
ASA 5505, Zugriff von außen per http
Ich möchte von außen auf einen internen Server "SBS2010, Webserver" kommen.
Bin Einsteigter und möchte das Thema ASA 5505 erlernene, setze das nicht in produktiver Umgebung ein!
Hallo Forum,
ich möchte mich ihn das Thema ASA 5505 einarbeiten.
Aktuell habe ich das Testnetz 192.168.1.x und mein privates Netz 192.168.10.x
Mein DSL-Modem hat die IP-Adresse 192.168.10.10
Nachtrag: das DSL Modem wird auch vom 192.168.1.x Netz als WEg ins Internet verwendet und das klappt!
Die ASA 5505 hat an outside die IP 192.168.10.59 (wird fest vom DHCP im privaten Netz vergeben)
Im Testnetz steht ein SBS 2010 Server an der 192.168.1.20
Ich habe eine feste IP-Adresse ins Internet, die am DSL Modem 192.168.10.10 eingetragen ist, dort habe ich auch einen Port Forwarding für http, https und 987 auf die 192.168.10.59 eingerichtet.
Damit sollten alle Anfragen an http am outside Port der ASA,m also an 192.168.10.59 ankommen. Das klappt auch, denn ich bekomme beim Aufruf der IP Adresse folgende Fehlermeldung an der ASA:
Im real time Logviewer kommt folgende Info:
3 Mar 24 2012 10:38:05 710003 192.168.10.123 55357 192.168.10.59 80 TCP access denied by ACL from 192.168.10.123/55357 to outside:192.168.10.59/80
Was ich nun nicht verstehe ist, dass ich in in den ACE die EInträge angelegt habe:
access-list outside_access_in extended permit tcp any interface outside eq http
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
eingetragen.
Ich möchte in das Thema einsteigen, aber die Dokumentation bringt mnich nicht weiter, da ich vieles grundsätzlich nicht verstehe.
Ich möchte mit der ASA auch keine produktive Umgebung "un"-sicher machen, da mir die Kenntnisse fehlen, möchte das aber lernen.
Vielen Dank bei der Hilfe meines ersten Beitragtes!
Stefan
Meine Konfiguration:
Result of the command: "show config"
!
ASA Version 8.4(2)
!
hostname hermes
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
snipp - snapp
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:022f8bc34297bbc0364ad342086d33c8
ich möchte mich ihn das Thema ASA 5505 einarbeiten.
Aktuell habe ich das Testnetz 192.168.1.x und mein privates Netz 192.168.10.x
Mein DSL-Modem hat die IP-Adresse 192.168.10.10
Nachtrag: das DSL Modem wird auch vom 192.168.1.x Netz als WEg ins Internet verwendet und das klappt!
Die ASA 5505 hat an outside die IP 192.168.10.59 (wird fest vom DHCP im privaten Netz vergeben)
Im Testnetz steht ein SBS 2010 Server an der 192.168.1.20
Ich habe eine feste IP-Adresse ins Internet, die am DSL Modem 192.168.10.10 eingetragen ist, dort habe ich auch einen Port Forwarding für http, https und 987 auf die 192.168.10.59 eingerichtet.
Damit sollten alle Anfragen an http am outside Port der ASA,m also an 192.168.10.59 ankommen. Das klappt auch, denn ich bekomme beim Aufruf der IP Adresse folgende Fehlermeldung an der ASA:
Im real time Logviewer kommt folgende Info:
3 Mar 24 2012 10:38:05 710003 192.168.10.123 55357 192.168.10.59 80 TCP access denied by ACL from 192.168.10.123/55357 to outside:192.168.10.59/80
Was ich nun nicht verstehe ist, dass ich in in den ACE die EInträge angelegt habe:
access-list outside_access_in extended permit tcp any interface outside eq http
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
eingetragen.
Ich möchte in das Thema einsteigen, aber die Dokumentation bringt mnich nicht weiter, da ich vieles grundsätzlich nicht verstehe.
Ich möchte mit der ASA auch keine produktive Umgebung "un"-sicher machen, da mir die Kenntnisse fehlen, möchte das aber lernen.
Vielen Dank bei der Hilfe meines ersten Beitragtes!
Stefan
Meine Konfiguration:
Result of the command: "show config"
- Saved
- Written by enable_15 at 10:34:56.479 UTC Sat Mar 24 2012
!
ASA Version 8.4(2)
!
hostname hermes
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
snipp - snapp
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:022f8bc34297bbc0364ad342086d33c8
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182521
Url: https://administrator.de/contentid/182521
Printed on: April 24, 2024 at 15:04 o'clock
22 Comments
Latest comment
Imho ist deine ACL falsch.
Um das Mal zu übersetzen für dich:
deine ACL sagt:
accessliste NAME_DEINER_LISTE extended (extended meint mit source und destination) erlaube als Protokoll TCP Quelle: alle Ziel: Adressen richtung outside interface mit port=$XYZ
Zu deutsch, du erlaubst eingehenden Traffic, der in die selbe Richtung zurück möchte.
deine ACL sollte imho also aussehen:
access-list outside_access_in extended permit tcp any interface INSIDE eq 3389
allerdings schöner wäre
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
Dazu rennt auf deiner ASA Native Address Translation, warum kein Routing?
lass mich gerne berichtigen.
gruß
lemming
Um das Mal zu übersetzen für dich:
deine ACL sagt:
accessliste NAME_DEINER_LISTE extended (extended meint mit source und destination) erlaube als Protokoll TCP Quelle: alle Ziel: Adressen richtung outside interface mit port=$XYZ
Zu deutsch, du erlaubst eingehenden Traffic, der in die selbe Richtung zurück möchte.
deine ACL sollte imho also aussehen:
access-list outside_access_in extended permit tcp any interface INSIDE eq 3389
allerdings schöner wäre
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
Dazu rennt auf deiner ASA Native Address Translation, warum kein Routing?
lass mich gerne berichtigen.
gruß
lemming
Servus und Danke für die Erklärung.
Ich habe nun mal die ASA komplett auf die Werkseinstellungen zurückgesetzt und die Zeile eingefügt.
Ich habe "eigentlich" nicht wissentlich NAT eingerichtet... daher der Reset.
Meine aktuelle Konfig sieht nun so aus:
Result of the command: "show config"
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
snip snap
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:ef37c2ad9dab467428da8ccd84041ff8
Leider klappt das noch immer nicht.
Kann ich die Route über das GUI einrichten, das ist je "verpönt" in den Foren? Ich kenne mich auf der Kommandozeile noch nicht aus und die Doku ist mir noch zu kompliziert.
Und wieder kommt diese Fehlermeldung, ich sehe aber keine ACE die das verbietet.
3 Mar 24 2012 14:18:16 710003 192.168.10.10 55706 192.168.10.59 80 TCP access denied by ACL from 192.168.10.10/55706 to outside:192.168.10.59/80
Habe mal versucht die Konfig zu verstehen, tue mir aber noch schwer.
Vielen Dank
Stefan
Ich habe nun mal die ASA komplett auf die Werkseinstellungen zurückgesetzt und die Zeile eingefügt.
Ich habe "eigentlich" nicht wissentlich NAT eingerichtet... daher der Reset.
Meine aktuelle Konfig sieht nun so aus:
Result of the command: "show config"
- Saved
- Written by enable_15 at 14:14:04.419 UTC Sat Mar 24 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
snip snap
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:ef37c2ad9dab467428da8ccd84041ff8
Leider klappt das noch immer nicht.
Kann ich die Route über das GUI einrichten, das ist je "verpönt" in den Foren? Ich kenne mich auf der Kommandozeile noch nicht aus und die Doku ist mir noch zu kompliziert.
Und wieder kommt diese Fehlermeldung, ich sehe aber keine ACE die das verbietet.
3 Mar 24 2012 14:18:16 710003 192.168.10.10 55706 192.168.10.59 80 TCP access denied by ACL from 192.168.10.10/55706 to outside:192.168.10.59/80
Habe mal versucht die Konfig zu verstehen, tue mir aber noch schwer.
Vielen Dank
Stefan
jetzt fehlt das access-group statement, das die ACL "scharf" schaltet. oben in der config isses noch drin.
derzeit rennt die ASA im "deny any" per default.
wenn du lieber das gui nimmst ist das ok. Die Ablehnung hat sowohl nostalgische als auch pragmatische Gründe.
1. es reicht wenn die maschine zickt, da brauchs nicht noch die unzulänglichkeiten eines GUI Assistenten.
2. GUIs sind meist nicht so gesprächig, dabei bekommt man halt die krätze wenn was nicht funktioniert und die gui dir nicht sagt warum. sowas kostet sinnlos zeit.
Wir sind teuer, unsere Kunden dagegen sparen gerne. Bei Stundensätzen um die 120€ für externe will man nicht das der externe dann stundenlang da nicht vorankommt.
3. CLI ist flexibler als GUI. Pipelining, output redirection etc.
Die meisten Admins sind noch mit CLI großgeworden. Um nicht auf der Welt wollen wir diese Flexibilität wieder hergeben. Da kommt kein gui mit.
Vergleichen kannst du das mit Porschefahrern die über den Golf die Nase rümpfen. Rollt auch irgendwie, aber wer Porsche fährt will nun mal keinen Golf mehr, vielleicht nen Maserati, aber Golf, nääää. ;)
derzeit rennt die ASA im "deny any" per default.
wenn du lieber das gui nimmst ist das ok. Die Ablehnung hat sowohl nostalgische als auch pragmatische Gründe.
1. es reicht wenn die maschine zickt, da brauchs nicht noch die unzulänglichkeiten eines GUI Assistenten.
2. GUIs sind meist nicht so gesprächig, dabei bekommt man halt die krätze wenn was nicht funktioniert und die gui dir nicht sagt warum. sowas kostet sinnlos zeit.
Wir sind teuer, unsere Kunden dagegen sparen gerne. Bei Stundensätzen um die 120€ für externe will man nicht das der externe dann stundenlang da nicht vorankommt.
3. CLI ist flexibler als GUI. Pipelining, output redirection etc.
Die meisten Admins sind noch mit CLI großgeworden. Um nicht auf der Welt wollen wir diese Flexibilität wieder hergeben. Da kommt kein gui mit.
Vergleichen kannst du das mit Porschefahrern die über den Golf die Nase rümpfen. Rollt auch irgendwie, aber wer Porsche fährt will nun mal keinen Golf mehr, vielleicht nen Maserati, aber Golf, nääää. ;)
Erstmal Danke für dein Mühe!
Ok, ich bin ein wenig auf Ubuntu Server unterwegs, daher ist mir das nicht unbekannt
, aber ich fahre dennoch Golf V
Ich hoffe nicht dass es am Golf liegt, aber ich bekomme das nicht hin.
Meine aktuelle Konfig:
Result of the command: "show config"
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 987
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:927a61fa38a69ab74c5e6d08c3b21b53
Die Fehlermeldung bleibt bestehen.
3 Mar 24 2012 16:42:44 710003 192.168.10.10 56290 192.168.10.59 80 TCP access denied by ACL from 192.168.10.10/56290 to outside:192.168.10.59/80
ist das das access-group statement?
access-group outside_access_in in interface outside
Sers
Stefan
Ok, ich bin ein wenig auf Ubuntu Server unterwegs, daher ist mir das nicht unbekannt
, aber ich fahre dennoch Golf V Ich hoffe nicht dass es am Golf liegt, aber ich bekomme das nicht hin.
Meine aktuelle Konfig:
Result of the command: "show config"
- Saved
- Written by enable_15 at 17:50:36.419 CEST Sat Mar 24 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 987
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:927a61fa38a69ab74c5e6d08c3b21b53
Die Fehlermeldung bleibt bestehen.
3 Mar 24 2012 16:42:44 710003 192.168.10.10 56290 192.168.10.59 80 TCP access denied by ACL from 192.168.10.10/56290 to outside:192.168.10.59/80
ist das das access-group statement?
access-group outside_access_in in interface outside
Sers
Stefan
So, nun habe ich wieder viele Stunden investiert und bin keinen Schritt weiter ...
Die Fehlermeldung:
3 Mar 25 2012 16:07:23 710003 192.168.10.10 56875 192.168.10.59 80 TCP access denied by ACL from 192.168.10.10/56875 to outside:192.168.10.59/80
bleibt, egal was ich versuche.
Ich habe nun alles über die CLI gemacht.
Ich gehe nun folgendermaßen vor:
meine Schritte --------------------------------------
ena
conf t
config factory-default
nach Werkseinstellung
ena
-passwort
conf t
DHCP deaktivieren
no dhcpd enable inside
no dhcpd address 192.168.1.5-192.168.1.36 inside
// interne IP-Adresse vergeben
interface vlan 1
ip address 192.168.1.10 255.255.255.0
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq http
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq 1723
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-group outside_access_in in interface outside
memory write
Meine aktuelle Konfig:
Result of the command: "show config"
: Call-home enabled from prompt by enable_15 at 16:01:31 UTC Mar 25 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq pptp
access-list outside_access_in extended permit tcp any interface outside eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:49195084232a1b08174375ae44bbd838
Was mache ich falsch? Ich habe nun auch die komplette CLI Doku für die ASA 5505 8.4 hier vorliegen, aber ich finde keinen Hebel an dem ich ansetzen kann.
Besten Dank
Stefan
Die Fehlermeldung:
3 Mar 25 2012 16:07:23 710003 192.168.10.10 56875 192.168.10.59 80 TCP access denied by ACL from 192.168.10.10/56875 to outside:192.168.10.59/80
bleibt, egal was ich versuche.
Ich habe nun alles über die CLI gemacht.
Ich gehe nun folgendermaßen vor:
meine Schritte --------------------------------------
ena
conf t
config factory-default
nach Werkseinstellung
ena
-passwort
conf t
DHCP deaktivieren
no dhcpd enable inside
no dhcpd address 192.168.1.5-192.168.1.36 inside
// interne IP-Adresse vergeben
interface vlan 1
ip address 192.168.1.10 255.255.255.0
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq http
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq 1723
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-group outside_access_in in interface outside
memory write
Meine aktuelle Konfig:
Result of the command: "show config"
- Saved
- Written by enable_15 at 16:03:24.059 UTC Sun Mar 25 2012
: Call-home enabled from prompt by enable_15 at 16:01:31 UTC Mar 25 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq pptp
access-list outside_access_in extended permit tcp any interface outside eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:49195084232a1b08174375ae44bbd838
Was mache ich falsch? Ich habe nun auch die komplette CLI Doku für die ASA 5505 8.4 hier vorliegen, aber ich finde keinen Hebel an dem ich ansetzen kann.
Besten Dank
Stefan
Ein "DSL Modem" hat niemals einen IP Adresse sondern ist immer passiv !!
Dein "Modem" ist also vermutlich ein DSL Router, oder ??
Sieh dir einmal diese ASA Beispielsammlung an Konfigs an:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
Unter "Allow and Block the Traffic Through the Security Appliance" wirst du fündig !
Dein "Modem" ist also vermutlich ein DSL Router, oder ??
Sieh dir einmal diese ASA Beispielsammlung an Konfigs an:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
Unter "Allow and Block the Traffic Through the Security Appliance" wirst du fündig !
Servus,
mein DSL-Modem ist ein Netgear DGFV338
Ich schaue gleich mal rein, schon mal Danke für den Link!
Sers
Stefan
mein DSL-Modem ist ein Netgear DGFV338
Ich schaue gleich mal rein, schon mal Danke für den Link!
Sers
Stefan
Hi,
ich komme nicht weiter, habe mir das angeschaut und versucht das nachzu vollziehen. Bei vielen Beispielen geht das nicht, da ich die Version 8.4 habe?!
Hier ist die Konfig, evtl. mit einem Hinweis, wo ich ansetzen muss, bin schon am Verzweifeln, da ich gar nicht weiterkomme und das ist doch erst der Anfang...
Ich habe folgendes noch in der Kommandozeile hinzugefügt:
object-group service RDP tcp
port-object eq 3389
object-group service HTTP tcp
port-object eq 80
object-group service HTTPS tcp
port-object eq 443
access-list outside_access_in extended permit tcp host 192.168.10.10 host 192.168.10.59 object-group RDP
access-list outside_access_in extended permit tcp host 192.168.10.10 host 192.168.10.59 object-group HTTP
access-list outside_access_in extended permit tcp host 192.168.10.10 host 192.168.10.59 object-group HTTPS
static (inside,outside) 192.168.10.59 192.168.1.20 netmask 255.255.255.255
object network DSL-Modem
host 192.168.10.10
object network SBS2011
host 192.168.1.20
object network PORT-Outside
host 192.168.10.59
nat (inside,outside) source static PORT-Outside SBS2011
WARUM? sehe ich davon nix in der show config?
Result of the command: "show config"
: Call-home enabled from prompt by enable_15 at 16:01:31 UTC Mar 25 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq pptp
access-list outside_access_in extended permit tcp any interface outside eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:49195084232a1b08174375ae44bbd838
ich komme nicht weiter, habe mir das angeschaut und versucht das nachzu vollziehen. Bei vielen Beispielen geht das nicht, da ich die Version 8.4 habe?!
Hier ist die Konfig, evtl. mit einem Hinweis, wo ich ansetzen muss, bin schon am Verzweifeln, da ich gar nicht weiterkomme und das ist doch erst der Anfang...
Ich habe folgendes noch in der Kommandozeile hinzugefügt:
object-group service RDP tcp
port-object eq 3389
object-group service HTTP tcp
port-object eq 80
object-group service HTTPS tcp
port-object eq 443
access-list outside_access_in extended permit tcp host 192.168.10.10 host 192.168.10.59 object-group RDP
access-list outside_access_in extended permit tcp host 192.168.10.10 host 192.168.10.59 object-group HTTP
access-list outside_access_in extended permit tcp host 192.168.10.10 host 192.168.10.59 object-group HTTPS
static (inside,outside) 192.168.10.59 192.168.1.20 netmask 255.255.255.255
object network DSL-Modem
host 192.168.10.10
object network SBS2011
host 192.168.1.20
object network PORT-Outside
host 192.168.10.59
nat (inside,outside) source static PORT-Outside SBS2011
WARUM? sehe ich davon nix in der show config?
Result of the command: "show config"
- Saved
- Written by enable_15 at 16:03:24.059 UTC Sun Mar 25 2012
: Call-home enabled from prompt by enable_15 at 16:01:31 UTC Mar 25 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq pptp
access-list outside_access_in extended permit tcp any interface outside eq 3389
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:49195084232a1b08174375ae44bbd838
Da ich immer die Meldung bekomme, dass (outside) 192.168.10.59 nicht mit (inside) 192.168.1.10 per ACL geblockt ist, muss ich vorher noch was anderes konfigurieren?
hmmm,
lol, ich glaub wir sind zu doof zum lesen, wär der Gag, wenns das ist. ;)
leg doch mal testweise eine ACL an, die wie folgt aussieht.
access-list inside_access_out extended permit ip any any
access-group inside_access_out in interface inside
gruss lemming
lol, ich glaub wir sind zu doof zum lesen, wär der Gag, wenns das ist. ;)
leg doch mal testweise eine ACL an, die wie folgt aussieht.
access-list inside_access_out extended permit ip any any
access-group inside_access_out in interface inside
gruss lemming
Die ACL ist der richtige Weg ! Steht auch so oben in den Cisco Beispielkonfigs !
Werde es gleich testen, bin noch in der Arbeit. Gebe aber Bescheid, sobald ich das getestet habe.
Danke fürs nochmal draufschauen!
Danke fürs nochmal draufschauen!
Leider bin ich mit den Beispielkonfigs nicht zurecht gekommen, evtl. brauche ich da mehr Hintergrundwissen, das ich mir in den nächsten Wochen aneignen will.
Moin,
so musste ein wenig umbauen, andere Umgebung, Webserver ist nun die 192.168.1.5 (Ubuntu mit Apache) ASA hat intern die 192.168.1.1 (mit aktiviertem DHCP) die externe IP (59) ist geblieben.
Die Fehlermeldung ist geblieben, hatte gestern aber leider nicht viel Zeit mehr zu testen, musste erst die Umgebung zusammenbasteln...
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/49879 to outside:192.168.10.59/80
Hier meine aktuelle config:
ciscoasa(config)# show config
: Call-home enabled from prompt by enable_15 at 20:10:13 UTC Mar 26 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq pptp
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq 987
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq pptp
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq 3389
pager lines 24
logging enable
logging monitor errors
logging buffered debugging
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group inside_access_out in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.5 255.255.255.255 inside
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:f545f27ef8f1d3d3ecc2d9ef60d0f2d2
so musste ein wenig umbauen, andere Umgebung, Webserver ist nun die 192.168.1.5 (Ubuntu mit Apache) ASA hat intern die 192.168.1.1 (mit aktiviertem DHCP) die externe IP (59) ist geblieben.
Die Fehlermeldung ist geblieben, hatte gestern aber leider nicht viel Zeit mehr zu testen, musste erst die Umgebung zusammenbasteln...
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/49879 to outside:192.168.10.59/80
Hier meine aktuelle config:
ciscoasa(config)# show config
- Saved
- Written by enable_15 at 05:33:43.559 UTC Tue Mar 27 2012
: Call-home enabled from prompt by enable_15 at 20:10:13 UTC Mar 26 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit tcp any interface outside eq smtp
access-list outside_access_in extended permit tcp any interface outside eq www
access-list outside_access_in extended permit tcp any interface outside eq https
access-list outside_access_in extended permit tcp any interface outside eq 987
access-list outside_access_in extended permit tcp any interface outside eq pptp
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq 987
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq pptp
access-list outside_access_in extended permit tcp any host 192.168.1.5 eq 3389
pager lines 24
logging enable
logging monitor errors
logging buffered debugging
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group inside_access_out in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
308205ec 308204d4 a0030201 0202106e cc7aa5a7 032009b8 cebcf4e9 52d49130
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.5 255.255.255.255 inside
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:f545f27ef8f1d3d3ecc2d9ef60d0f2d2
Cisco hat seit Jahrzehnetne einen sehr leistungsfähigen Debugger !! Mit debug ? kannst du all die hilfreichen Befehle sehen mit dem du deine ACL debuggen kannst.
Aktivier das einmal dann siehst du in 5 Sekunden wo dein Problem ist !
Aktivier das einmal dann siehst du in 5 Sekunden wo dein Problem ist !
... wenn ich "debug acl" eingebe, dann erwartet die Eingabe weitere Optionen, ich finde dazu leider keine Hinweise, wie ich das mit dem Debug hinbekommen kann.
Welche Optionen gibt es, bzw. wo finde ich die? mit debug? bekomme ich kein "man pages" wie ich sie kenne.
Ich habe schon "logging console debug" aktiviert
Ergebnis:
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-609001: Built local-host outside:192.168.10.129
%ASA-7-609001: Built local-host identity:255.255.255.255
%ASA-6-302015: Built inbound UDP connection 110 for outside:192.168.10.129/68 (192.168.10.129/68) to identity:255.255.255.255/67 (255.255.255.255/67)
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
Leider bin ich nun so schlau wie zuvor
Denn die Meldung kenne ich schon.
.129 ist der Rechner von dem aus ich versuche per Browser auf die IP 192.168.10.59 (outside) zuzugreifen.
Servus
Stefan
Welche Optionen gibt es, bzw. wo finde ich die? mit debug? bekomme ich kein "man pages" wie ich sie kenne.
Ich habe schon "logging console debug" aktiviert
Ergebnis:
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50167 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50168 to outside:192.168.10.59/80
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-3-710003: TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-710005: TCP request discarded from 192.168.10.129/50171 to outside:192.168.10.59/80
%ASA-7-609001: Built local-host outside:192.168.10.129
%ASA-7-609001: Built local-host identity:255.255.255.255
%ASA-6-302015: Built inbound UDP connection 110 for outside:192.168.10.129/68 (192.168.10.129/68) to identity:255.255.255.255/67 (255.255.255.255/67)
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
%ASA-7-710005: UDP request discarded from 192.168.10.129/17500 to outside:255.255.255.255/17500
Leider bin ich nun so schlau wie zuvor
Denn die Meldung kenne ich schon.
.129 ist der Rechner von dem aus ich versuche per Browser auf die IP 192.168.10.59 (outside) zuzugreifen.
Servus
Stefan
hmmm, weitere eingaben kannst du dir mit ? ausgeben lassen (example: debug ip ? gibt alles unterpunkte für ip im debugmode aus.)
Ich greif mir morgen abend mal ne asa. , dann schaun wa mal.
Ich greif mir morgen abend mal ne asa. , dann schaun wa mal.
Na ja der debug Output ist ja mehr als eindeutig:
TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
Kannst ja sehen hinter dem / steht immer der TCP Port. 192.168.10.129 schickt also ein TCP 80 (HTTP) Paket an die 192.168.10.59 die in der ACL hängenbleibt.
Was verwunderlich ist, ist auch die Tatsache das Absender und Ziel im gleichen IP netzwerk sind, was auch auf einen fehlerhafte IP Adressierung schliessen lässt, denn inside und outside können ja kaum im gleichen IP Netz liegen.
Zudem schlägt noch die ACL zu...also hast du hier wohl mehrere Fehler in der Konfig !!
TCP access denied by ACL from 192.168.10.129/50171 to outside:192.168.10.59/80
Kannst ja sehen hinter dem / steht immer der TCP Port. 192.168.10.129 schickt also ein TCP 80 (HTTP) Paket an die 192.168.10.59 die in der ACL hängenbleibt.
Was verwunderlich ist, ist auch die Tatsache das Absender und Ziel im gleichen IP netzwerk sind, was auch auf einen fehlerhafte IP Adressierung schliessen lässt, denn inside und outside können ja kaum im gleichen IP Netz liegen.
Zudem schlägt noch die ACL zu...also hast du hier wohl mehrere Fehler in der Konfig !!
Hallo aqui, sorry war eihne Zeit nicht online.
Also die 192.168.10.129 ist ein Rechner im privaten Netz, die 192.168.10.59 ist die IP-Adresse von ASA outside, inside hat die IP 192.168.1.x.
Mein DSL Router steht im 192.168.10.x Netz mit der IP-Adresse 192.168.10.10
Ich habe eine feste IP-Adresse und Domaineinträge bei Schlundtechnologies, die auf meine externe IP verweisen, im DSL-Router habe ich eine Weiterleitung auf 192.168.10.59 eingetragen.
Soweit mal zur Umgebung.
Ich versuche mich mal an einer Skizze, evtl. bringt das was?
Vielen Dank schon mal für eure Mühe! und frohe Ostern evtl. finde ich ja das ASA-Ei?
Bis dann
Stefan
Also die 192.168.10.129 ist ein Rechner im privaten Netz, die 192.168.10.59 ist die IP-Adresse von ASA outside, inside hat die IP 192.168.1.x.
Mein DSL Router steht im 192.168.10.x Netz mit der IP-Adresse 192.168.10.10
Ich habe eine feste IP-Adresse und Domaineinträge bei Schlundtechnologies, die auf meine externe IP verweisen, im DSL-Router habe ich eine Weiterleitung auf 192.168.10.59 eingetragen.
Soweit mal zur Umgebung.
Ich versuche mich mal an einer Skizze, evtl. bringt das was?
Vielen Dank schon mal für eure Mühe! und frohe Ostern
evtl. finde ich ja das ASA-Ei?Bis dann
Stefan
Nachtrag:
Ich denke das Problem liegt daran, dass ich von 10.10 nicht auf 10.59 zugreifen kann, also vom DSL-Router zu outside.
Wenn ich dashinbekomme, dann komme ich sicherlich auch weiter, die Tipps oben sollten dann ja reichen!
Jetzt habe ich eine Grafik erstellt, kann die aber leider nicht hochladen ...?
Ciao
Stefan
Ich denke das Problem liegt daran, dass ich von 10.10 nicht auf 10.59 zugreifen kann, also vom DSL-Router zu outside.
Wenn ich dashinbekomme, dann komme ich sicherlich auch weiter, die Tipps oben sollten dann ja reichen!
Jetzt habe ich eine Grafik erstellt, kann die aber leider nicht hochladen ...?
Ciao
Stefan
Dir fehlt nur noch eine simple popelige Accessliste mit einem "permit" Statement....
Was die Grafik anbetrifft:
Was die Grafik anbetrifft:
- Auf "meine Beiträge" klicken
- Beitrag oben auswählen und "Bearbeiten" klicken
- "Bilder hochladen" anklicken
- Bild auswählen, hochladen und den dann erscheinenden Bilder URL mit einem Rechtsklick und cut and paste sichern
- In jeglichen Text hier Antworten usw. reinpasten. Sattt URL erscheint dann immer das Bild !
Hi aqui,
ich versuche mich schon seit Tagen mit der "pobeligen" Accessliste ... so trivial kann das nicht sein, oder es stimmt grundsätzlich was nicht an der ASA, oder vor dem Gerät.
Hier mal die Grafik:
Sehe gerade ich habe vergessen dass Port 1 bis 7 inside mit der 192.168.1.10 erreichaber sind. - Sorry
Ich setze nach jedem Versuch die ASA auf Werkseinstellungen und ich habe das mittlerweile schon 100 mal gemacht und habe alles durch was ich online finden konnte.
Hier meine Vorgehensweise:
ASA 5505 Konfiguration Dokumentation Basiseinrichtung
DEBUG Befehle
logging enable zeigt die Logeinträge in Echtzeit
no logging enable / ausschalten
ena
-passwort
conf t
config factory-default
reload save-config noconfirm
nach Werkseinstellung
ena
-passwort
conf t
DHCP deaktivieren
no dhcpd enable inside
no dhcpd address 192.168.1.5-192.168.1.36 inside
interface vlan 1
ip address 192.168.1.10 255.255.255.0
exit
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 987
access-group outside_access_in in interface outside
access-list inside_access_out extended permit ip any any
access-group inside_access_out in interface inside
wr
Hier meine aktuelle Config:
Result of the command: "show conf"
: Call-home enabled from prompt by enable_15 at 11:23:58 UTC Apr 7 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 987
access-list inside_access_out extended permit ip any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group inside_access_out in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:11e1abf0357d5777c425cea4cb8e5df1
Was fehlt denn nun genau?
Ich hatte - über das GUI - schon mal eingerichtet, dass any auf mit IP und tcp/udp Zugriff hat, dann sollte das Ding doch offen sein, wie ein Scheunentor?
Ich bin bald so weit, dass ich es aufgebe und die ASA weggebe, da sich für mich das logisch nicht erklären lässt... Letzte Rettung Forum :´-( Ich will es ja lernen...
Evtl. ist es auch wichtig, dass ich per Domain auf den Webserver zugriefen möchte? Domain ist bei schlundtechnologies konfiguriert und verweist auf die feste IP-Adresse.
Ciao
Stefan
ich versuche mich schon seit Tagen mit der "pobeligen" Accessliste ... so trivial kann das nicht sein, oder es stimmt grundsätzlich was nicht an der ASA, oder vor dem Gerät.
Hier mal die Grafik:
Sehe gerade ich habe vergessen dass Port 1 bis 7 inside mit der 192.168.1.10 erreichaber sind. - Sorry
Ich setze nach jedem Versuch die ASA auf Werkseinstellungen und ich habe das mittlerweile schon 100 mal gemacht und habe alles durch was ich online finden konnte.
Hier meine Vorgehensweise:
ASA 5505 Konfiguration Dokumentation Basiseinrichtung
DEBUG Befehle
logging enable zeigt die Logeinträge in Echtzeit
no logging enable / ausschalten
ena
-passwort
conf t
config factory-default
reload save-config noconfirm
nach Werkseinstellung
ena
-passwort
conf t
DHCP deaktivieren
no dhcpd enable inside
no dhcpd address 192.168.1.5-192.168.1.36 inside
interface vlan 1
ip address 192.168.1.10 255.255.255.0
exit
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 987
access-group outside_access_in in interface outside
access-list inside_access_out extended permit ip any any
access-group inside_access_out in interface inside
wr
Hier meine aktuelle Config:
Result of the command: "show conf"
- Saved
- Written by enable_15 at 11:33:20.089 UTC Sat Apr 7 2012
: Call-home enabled from prompt by enable_15 at 11:23:58 UTC Apr 7 2012
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password sHiWqBc2t1tdGm72 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 3389
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq www
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq https
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq smtp
access-list outside_access_in extended permit tcp any host 192.168.1.20 eq 987
access-list inside_access_out extended permit ip any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group inside_access_out in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
6c2527b9 deb78458 c61f381e a4c4cb66
quit
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous
Cryptochecksum:11e1abf0357d5777c425cea4cb8e5df1
Was fehlt denn nun genau?
Ich hatte - über das GUI - schon mal eingerichtet, dass any auf mit IP und tcp/udp Zugriff hat, dann sollte das Ding doch offen sein, wie ein Scheunentor?
Ich bin bald so weit, dass ich es aufgebe und die ASA weggebe, da sich für mich das logisch nicht erklären lässt... Letzte Rettung Forum :´-( Ich will es ja lernen...
Evtl. ist es auch wichtig, dass ich per Domain auf den Webserver zugriefen möchte? Domain ist bei schlundtechnologies konfiguriert und verweist auf die feste IP-Adresse.
Ciao
Stefan
