Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA 5505 Ersteinrichtung

Mitglied: mcready

mcready (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 17:08 Uhr, 8092 Aufrufe, 4 Kommentare

Hallo *.*,

ich verzweifle gerade an der Ersteinrichtung meiner neuen Cisco ASA5505. Ich bin zwar schon jahrelang in der IT-Branche, habe mich aber noch nie mit Cisco-Geräten herumschlagen dürfen (aber der Wille ist da!).

Folgende Config mal vorab:

01.
Result of the command: "show startup-config" 
02.
  
03.
: Saved 
04.
: Written by enable_15 at 16:16:10.669 CEST Tue Feb 24 2009 
05.
06.
ASA Version 7.2(4)  
07.
08.
hostname asafw 
09.
domain-name domain.lan 
10.
enable password [...] encrypted 
11.
passwd [...] encrypted 
12.
names 
13.
14.
interface Vlan1 
15.
 nameif inside 
16.
 security-level 100 
17.
 ip address 10.10.10.253 255.255.255.0  
18.
19.
interface Vlan2 
20.
 description Vodafone DSL 
21.
 nameif outside 
22.
 security-level 0 
23.
 pppoe client vpdn group ISBC01D74 
24.
 ip address 88.79.xxx.xxx 255.255.255.255 pppoe  
25.
26.
interface Vlan3 
27.
 no forward interface Vlan1 
28.
 nameif dmz 
29.
 security-level 50 
30.
 ip address 192.168.2.1 255.255.255.0  
31.
32.
interface Ethernet0/0 
33.
 switchport access vlan 2 
34.
35.
interface Ethernet0/1 
36.
37.
interface Ethernet0/2 
38.
39.
interface Ethernet0/3 
40.
41.
interface Ethernet0/4 
42.
43.
interface Ethernet0/5 
44.
45.
interface Ethernet0/6 
46.
47.
interface Ethernet0/7 
48.
49.
ftp mode passive 
50.
clock timezone CEST 1 
51.
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 
52.
dns server-group DefaultDNS 
53.
 domain-name domain.lan 
54.
access-list outside_access_in remark udp/http 
55.
access-list outside_access_in extended permit udp any 10.10.10.0 255.255.255.0 eq www  
56.
access-list outside_access_in remark tcp/http 
57.
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq www  
58.
access-list outside_access_in remark tcp/pop3 
59.
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq pop3  
60.
access-list inside_access_in remark ip/all 
61.
access-list inside_access_in extended permit ip 10.10.10.0 255.255.255.0 88.79.177.0 255.255.255.0  
62.
access-list inside_access_in extended permit ip any any  
63.
pager lines 24 
64.
logging enable 
65.
logging asdm informational 
66.
logging from-address root@asafw.domain.lan 
67.
logging recipient-address ich@unsereemaildomain.de level errors 
68.
mtu inside 1500 
69.
mtu outside 1492 
70.
mtu dmz 1500 
71.
ip verify reverse-path interface outside 
72.
icmp unreachable rate-limit 1 burst-size 1 
73.
asdm image disk0:/asdm-524.bin 
74.
asdm history enable 
75.
arp timeout 14400 
76.
global (outside) 1 interface 
77.
nat (inside) 1 0.0.0.0 0.0.0.0 
78.
access-group inside_access_in in interface inside 
79.
access-group outside_access_in in interface outside 
80.
timeout xlate 3:00:00 
81.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
82.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
83.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
84.
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
85.
http server enable 
86.
http 10.10.10.0 255.255.255.0 inside 
87.
http 10.10.10.2 255.255.255.255 inside 
88.
no snmp-server location 
89.
no snmp-server contact 
90.
snmp-server enable traps snmp authentication linkup linkdown coldstart 
91.
telnet timeout 5 
92.
ssh timeout 5 
93.
console timeout 0 
94.
vpdn group ISBC01D74 request dialout pppoe 
95.
vpdn group ISBC01D74 localname dsl.vodafone/dsl_rhsvcm800:ib.vcm.de 
96.
vpdn group ISBC01D74 ppp authentication pap 
97.
vpdn username dsl.vodafone/dsl_rhsvcm800:ib.domain.de password [...] store-local 
98.
dhcpd auto_config outside 
99.
100.
  
101.
102.
class-map inspection_default 
103.
 match default-inspection-traffic 
104.
105.
106.
policy-map type inspect dns preset_dns_map 
107.
 parameters 
108.
  message-length maximum 512 
109.
policy-map global_policy 
110.
 class inspection_default 
111.
  inspect dns preset_dns_map  
112.
  inspect ftp  
113.
  inspect h323 h225  
114.
  inspect h323 ras  
115.
  inspect rsh  
116.
  inspect rtsp  
117.
  inspect esmtp  
118.
  inspect sqlnet  
119.
  inspect skinny  
120.
  inspect sunrpc  
121.
  inspect xdmcp  
122.
  inspect sip  
123.
  inspect netbios  
124.
  inspect tftp  
125.
126.
service-policy global_policy global 
127.
smtp-server 10.10.10.1 
128.
prompt hostname context  
129.
Cryptochecksum: ja, gibt es ;-)
Sorry, daß ich ein paar Angaben wie Paßwörter, Domänenname, eMail etc. unkenntlich machen mußte, die berufsbedingte Paranoia halt ...

Der betroffene Netzwerkabschnitt ist wie folgt aufgebaut:
Switch <---> ASA5505 <---> DSL-Modem

Wir haben eine feste IP beim Provider sowie einen lokalen DNS-Server (MS SBS2K3) mit IP 10.10.10.2.
Die DMZ ist erstmal zu vernachlässigen.

Ich vermute mal, daß ich einfach ein Problem mit der Cisco-Denkweise habe und deshalb keine Internetverbindung hinbekommen. Mit der aktuellen Config erhalte ich dafür aber lustige Fehlermeldungen wie
<quote>Failed to locate egress interface for [TCP/UDP/ICMP je nach Situation] from inside: 10.10.10.[diverse interne IPs] to [diverse externe IPs]</quote>

Natürlich habe ich kein gesteigertes Bedürfnis danach, erstmal alles aufzumachen und zu schauen, ob es dann funktioniert, dann bräuche ich ja keine Firewall

Kann mir jemand nen Wink mit dem Zaunpfahl (oder auch dem ganzen Lattenzaun) geben, warum ich keine Internetverbindung hinkriege?
Ach ja: Ich arbeite mit der Mausi-Mausi-Klicki-Klicki-Oberfläche, nicht mit der Shell.
Mitglied: spacyfreak
24.02.2009 um 19:52 Uhr
Kannst du von der ASA aus das Internet pingen, z. B. ping www.yahoo.de?

PIX wie ASA erfordern bei aktivierter NAT-Control stets eine NAT-Regel für jede Freischaltung.
Dieses "Sicherheitsfeature" kann man deaktivieren mit
no nat-control

Ansonsten bin ich auch nicth so der ASA Guru...
ich finde es gibt mittlerweile deutlich bedienbarere Firewall Lösungen wie Astaro ASG110.
Die können zudem noch viel mehr und sind idiotensicher konfigurierbar.
Bitte warten ..
Mitglied: mcready
25.02.2009 um 17:38 Uhr
Nein, weder auf den Host noch auf die IP. Werde mich mal morgen mit dem Thema NAT genauer auseinandersetzen müssen. Das scheint in dem Fall auch laut google die wahrscheinlichste Fehlerquelle zu sein.
Andere Firewalls ist schön und recht. Aber ich habe nunmal die und Cheffe wird nicht erfreut sein, wenn ich komme und sage, daß ~350€ abzuschreiben sind, wir nehmen dafür aber ein Modell für 700€. Das alte Leid ...
Bitte warten ..
Mitglied: spacyfreak
25.02.2009 um 20:40 Uhr
no nat-control

Diese Translaton-Philosophie von PIX und ASA ist ein wahrer Albtraum wenn man nicht so oft damit zu tun hat, vor allem in Enterprise Umgebungen führt das gerne zu radikalem Haarausfall in der Hinterngegend, bis hin zur totalen Arsch-Glatze, vor allem wenn schon 500 Regeln existieren und man auf die Kommandozeile angewiesen ist.

Ansonsten hast du ja schon in deiner konkreten Config eine globale NAT-Regel drinne, die das interne Netz nach aussen nattet bzw. die internen privaten IPs werden auf die öffentliche ge"pat"tet (Port Address Translation). Die nat (inside) 1 Regel kannst du u. U. auch verfeinern, bzs. das Netz eintragen das du wirklich natten willst, da so eben ALLES interne genattet wird. Wenn das so recht ist ist es ja gut.
Ansonsten hilft diese Anleitung eventuell weiter, das Chaos zu kompletieren (cisco halt... )
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Bitte warten ..
Mitglied: spacyfreak
25.02.2009 um 20:51 Uhr
show xlate
show conn

gugg dir mal die show befehle an mit

show ?
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

LAN, WAN, Wireless

CISCO ASA 5505 hinter FRITZ.Box betreiben

gelöst Frage von TobiasNYCLAN, WAN, Wireless2 Kommentare

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren. Die ASA Ist ...

Firewall

Konfiguration von VLAN an einer ASA 5505

gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

Netzwerke

ASA 5505 Clientless SSL und RDP

gelöst Frage von JoeJoeNetzwerke3 Kommentare

Hallo zusammen, habe eine ASA5505 mit ASA Version 8.0(3) ASDM Version 6.4(9) Java 1.7.0_60-b90 Https sind im IE11 und ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 12 StundenServer-Hardware3 Kommentare

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 21 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 2 TagenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung30 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
OU an eine Variable übergeben
gelöst Frage von oesi1989Batch & Shell22 Kommentare

Hallo, ich würde gerne alle OUs an eine Variable übergeben und danach einen Teil per .remove entfernen. Das Anzeigen ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing20 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...