Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst CISCO ASA 5505 hinter einer Fritzbox 7390

Mitglied: gmeurb

gmeurb (Level 1) - Jetzt verbinden

10.04.2014, aktualisiert 11.04.2014, 6218 Aufrufe, 10 Kommentare, 1 Danke

Hallo,

ich habe mal eine Frage zu obigem Thema.

Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom alten Provider im Weltnetz, hat unter anderem mit der IP des alten Providers eine VPN-Verbindung an unseren Hauptstandort

Neue Situation: Neuer Provider mit FritzBox 7390 und automatisch gezogener Konfiguration des Providers. Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.

Settings für den Internetzugang: "Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" sind neben den Speedeinstellungen und meinen Zugangsdaten angehackt

Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.

Mal davon abgesehen, dass ich diese Fritzbox eigentlich nicht will, dass Teil aber laut Provider zwingend erforderlich ist, wie baue ich denn einen neuen Tunnel über die Cisco ASA auf? Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?

Danke und Gruß
Gmeurb

Mitglied: aqui
LÖSUNG 10.04.2014, aktualisiert 11.04.2014
Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.
Username Passwort des PPPoE Dialins und per PPPoE dann das übliche IP Adresse, Maske, Gateway, DNS
Die automatische Konfig Übermittlung ist aus Sicherheitsgünden ein absolutes NoGo für Firmennetze, denn damit hat der Provider vollen Zugriff auf den Router und die Daten die dadrüber laufen. Das solltest du also schnellstens im Setup abschalten und den Provider anrufen damit der dir deine Login Daten übermittelt !
und meinen Zugangsdaten angehackt
Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?
Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.
Ja, das ist richtig ! Was du dann machst ist eine sog. Router Kaskade. Aus technischer Sicht ist das erheblich kontraproduktiv, denn nun machst du 2mal NAT (Adress Translation) was immer sehr negativ auf die Durchsatzperformance gesehen ist.
Zudem holt man sich dort zusätzliche Schwierigkeiten mit an Bord wenn man dann mit doppeltem Port Forwarding arbeiten muss was für dich zwingend ist, denn du willst ja sicher das die ASA weiterhin den VPN Tunnel bedient. Der kann aber das NAT der vorliegenden FB nicht überwinden ohne PFW.
Erheblich sinnvoller ist es die FB in den nur Modem betrieb zu schalten im Setup und sie nur als reines Modem an der ASA zu betreiben.
Damit entledigst du dich all dieser Probleme, musst die ASA nur umklemmen und die neuen Zugangsdaten eingeben und gut iss !
Die FB ist nicht zwingend erforderlich ! Ein Aberglaube mit dem die Provider unwissenden Kunden einen Zwangsrouter aufdrücken wollen um ihn zu gängeln !
Vergiss den Unsinn und frage nach den Zugangsdaten die rücken alle Provider nach Rückfrage raus auch wenn man etwas "lauter" werden muss. Damit kannst du dann jegliche andere Hardware vom Markt auch einsetzen !
Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?
Generell ja aber... Da die FB selber auch IPsec VPNs kann blockt sie diese Daten. Du musst also IPsec dort deaktivieren und die IPSec Ports UDP 500, UDP 4500 und ESP Protokoll an die ASA IP forwarden !
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 08:31 Uhr
Zitat von aqui:

Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In
der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?

Nun mach Dich mal nicht so über meine Grammatik her!

Also die beschriebenen Einstellungen sind alle auf der FritzBox so eingestellt! Wie gesagt, dass Teil hat sich diese Settings auch selbst gezogen und unter den Zugansdaten sind diese Einstellungen so vorgegeben, nebst meinen Logindaten und den Verbindungseinstellungen für Up- und Downstream! Das ist nun einmal so!
Ich habe die Zugangsdaten bekommen, also werde ich die ASA entsprechend anpassen und die gagelige FritzBox hoffentlich rausschmeissen können.
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 16:43 Uhr
hat sich diese Settings auch selbst gezogen
Ja das machen "Zwangsrouter" Provider gerne und nennt sich TR-069
http://de.wikipedia.org/wiki/TR-069
Das solltest du bei einem Firmenaccount aber in jedem Falle zwingend abschalten, denn der Provider hat so vollen Zugriff auf den Router und die Daten die darüber gehen. Du wirst hier also quasi entmündigt bei der Hoheit über das System !
Der Provider rückt in der Regel auch die Zugangsdaten raus bzw. hat das aufgrund deines Vertrages auch zu machen !
Relevant sind einzig nur die Login Daten ! Ansonsten ist DSL mässig nichts weiter einzustellen, denn das ist globaler Standard.
Da du die Zugangsdaten ja hast ist ja alles gut und du kannst die FB dann beruhigt entsorgen oder zum Verstauben ins Lager stellen.
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 10:05 Uhr
Also, die Fritzbox ist laut Provider nur eine Übergangslösung, da soll final für Businesskunden ein Cisco-Switch (Layer 1) hin. Der Provider benötigt zu Zwecken der Fehleranalyse angeblich ein Endgerät beim Kunden, deswegen der zusätzliche Switch. Mal schauen wann der kommt.
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 16:42 Uhr
zu Zwecken der Fehleranalyse angeblich ein Endgerät
Ha ha ha.... Ein Schelm wer Böses dabei denkt in Zeiten von NSA ! Für eine Firma untragbar.
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 12:43 Uhr
Der Provider hängt ja irgendwo immer irgendwo direkt in deinem Datenverkehr. Da spielt es sicherlich keine Rolle wo die da was sitzen haben.

Und ich habe ne Cisco-Hardware als Firewall, da mache ich mir um NSA ohnehin keine Gedanken mehr!
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 16:42 Uhr
Aber nicht auf dem CPE Device was in deiner Hoheit liegt. Das wäre identisch so als wenn du ihm das Admin Passwort für die ASA gibst. Machst du ja auch nicht.
Thema ist ja eh erledigt wenn die FB verschwindet...
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 16:44 Uhr
Da ahst Du Recht und für den Fall das der Provider irgendwie zu dämlich ist und die FritzBox bleibt, werde ich sicherlich mit Deinen Tipps etwas anfangen können!

Nochmals Danke!
Bitte warten ..
Mitglied: j.ilse
05.05.2014 um 18:03 Uhr
Ein Switch zur "Fehleranalyse" (besser formuliert waere gewesen "zur Ueberwachung, ob die Leitung verfuegbar ist") klingt logisch. Ohne ein solches (vom Provider gemanagetes) Geraet ist es dem Provider nicht moeglich, die Verfuegbarkeit wirklich sinnvoll zu ueberwachen (und bei Vertraegen, bei denen die Mindestverfuegbarkeit Teil des Vertrags ist, muss der Provider die Moeglichkeit haben, dass zu ueberwachen, Businessvertraege haben i.d.R. solche Klauseln drin). Die Ueberwachung der Leitungsverfuegbarkeit darf nicht von einem ggfs. vom Kunden verkonfigurierten Geraet abhaengen, also setzt der Provider einen Switch dazwischen, den er selbst ueberwachen kann und den der Kunde nicht umkonfigurieren kann. Der Uebergabepunkt fuer die Leitung ist dann der Ethernet-Port am Switch. So ungewoehnlich ist das wirklich nicht.
Bitte warten ..
Mitglied: aqui
06.05.2014 um 09:02 Uhr
Richtig, deshalb hat man ja immer hinter so einem Provider Equipment eigene Gerätschaften die einem die Hoheit über seine transportierten Daten wieder zurückgeben.
Im Privatbereich sieht diese Sache aber ganz anders aus...
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

LAN, WAN, Wireless

CISCO ASA 5505 hinter FRITZ.Box betreiben

gelöst Frage von TobiasNYCLAN, WAN, Wireless2 Kommentare

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren. Die ASA Ist ...

Firewall

Konfiguration von VLAN an einer ASA 5505

gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

Netzwerke

ASA 5505 Clientless SSL und RDP

gelöst Frage von JoeJoeNetzwerke3 Kommentare

Hallo zusammen, habe eine ASA5505 mit ASA Version 8.0(3) ASDM Version 6.4(9) Java 1.7.0_60-b90 Https sind im IE11 und ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 11 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 13 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 13 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...