Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA 5510 mehrere externe IP-Adressen und identische Ports

Mitglied: Dracoform

Dracoform (Level 1) - Jetzt verbinden

14.12.2012 um 12:22 Uhr, 3399 Aufrufe, 10 Kommentare

Hallo und vorweihnachtliche Grüße!

Ich habe das Glück(?) eine ASA mit einer recht kniffligen Konfiguration versehen zu dürfen.

Die Vorgabe ist folgende:

Die ASA stellt über entpsrechendes statisches Portforwarding die Verbindung zu einem Exchangeserver her (Ports 25 und 443 auf Ethernet0/1). Dies läuft über das normale outside interface mit einer externen IP Adresse (Ethernet0/0) und funktioniert wunderbar.

Ebenfalls über die ASA soll das VPN realisiert werden (WebVPN, bzw. AnyConnect). Anlaufpunkt hier soll bzw. muss eine zweite externe IP sein, damit sich die SSL Ports nicht gegenseitig stören.
Bei dem Versuch dem zusätzlichen VPNInterface auf Ethernet0/2 eine entsprechende Adresse zuzuweisen, meckert jedoch die ASA "ERROR: This address conflicts with interface Ethernet0/0
"

Gibt es hier eine art Standardlösung ohne eine 2. ASA aufbauen zu müssen?


Grüße,

Frank


Mitglied: wiesi200
14.12.2012 um 12:31 Uhr
Hallo,

normal hat man ja eine IP Range vom Provider. Und das läuft alles über über ein Interface. Oder hast du 2 DSL Anschlüsse?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 12:32 Uhr
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in der Regel für die "Public Servers" stehen.

D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.

Gruß
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 12:39 Uhr
So was ist jetzt ne 'Haupt' IP?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 13:01 Uhr
Hi,
ja, evtl. nen bisschen blöde ausgedrückt. Damit meinte ich die IP, die das outside-Interface hat.

Gruß
Bitte warten ..
Mitglied: Dracoform
14.12.2012 um 13:02 Uhr
Zitat von killtec:
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in
der Regel für die "Public Servers" stehen.

D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.

Ich wollte unserem Exchange ned wirklich eine eigene öffentliche IP geben ;) Das der hinter der ASA steht is schon gut so.

Ich habe vorhin gelernt, dann man das webvpn auch über 444 laufen lassen könnte, was zwar nicht wirklich das ursprüngliche Problem löst, aber zumindest ein quick fix wäre, wenn der Rest der Konfiguration funktioniert ;)
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 13:09 Uhr
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder mehrere Anschlüsse mit einer IP?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 13:27 Uhr
Hi,
wenn du aber schon per Port 25 und 443 von außen auf den Exchange zugreifst hat er ja über die ASA schon eine öffenltiche IP. Intern bleibt sowieso die private IP.

Gruß
Bitte warten ..
Mitglied: Dracoform
14.12.2012 um 13:45 Uhr
Zitat von wiesi200:
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder
mehrere Anschlüsse mit einer IP?

Von Provider haben wir eine Range bekommen. Sagen wir einfach mal 5.5.5.60 bis 5.5.5.80.
Das "normale" outside interface der asa ist historisch die 5.5.5.71 und ist für die weiterleitung des OWA Clients und die zustellung der Emails vom Provider zuständig.
die 5.5.5.70 war für das VPN gedacht.
Sollte nun anstelle von https://5.5.5.70 jemand https:/5.5.5.71:444 eintippen müssen um das webvpn zu starten ist dies nicht der Weltuntergang nur wäre es "sauber" natürlich schöner.

Grüße,


Frank
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 14:49 Uhr
Also dann würde ich das ganze so machen, wenn du's wirklich sauber haben willst.

Das mit dem zweiten Interface lassen.
Dann clientless VPN einschalten, das geht normal auf die Interface IP.
Jetzt Port 443 und 80 auf Interface Outside mit der IP einer der anderen IP adressen, am besten auf einen Reverse Proxy, in einer DMZ leiten. Hierzu eignet sich eine Anleitung hier von Dani recht gut.
Jetzt bei deinem Domain Hoster eine Subdomain z.b. home und vpn erstellen und den A-Record auf die Weitergeleitete IP setzen.
Dann noch bei StartSSL ein öffentliches Zertifikat beantragen (kostenlos) und das bei dem Reverse Proxy hinterlegen.

jetzt kannst du dein VPN mit https://vpn.domain.de aufrufen
OWA mit http://home.domain.de oder https:/home.domain.de und du kriegst beim OWA keinen Zertifikatsfehler.
Bitte warten ..
Mitglied: Dracoform
21.12.2012 um 12:23 Uhr
Herzlichen Danke für deine Ideen!
Leider kam ich erst heute dazu diese zu testen.
Ich habe allerdings an einer Stelle ein Verständnisproblem, bzw. mein VPN client
Wenn ich Ports 443 und 80 vom outside Interface weiterleite und dann ebenfalls mittels des Cisco Anyconnect gedönsrats versuche eine VPN Verbindung aufzubauen (ziel ist natürlich ebenfalls die Outside interface adresse, möchte er mir immer das Zertifikat des Exchangeservers anbieten, was natürlich schiefgehen muss.

Mittels

webvpn
port 444
enable outside

in der config versuche ich die Doppelbelegung zu umgehen, jedoch bekomme ich hier (wenn auch kein ExchangeZertifikat) auch über diesen Port keine Verbindung hin.

Habe ich ein Verständnisproblem oder hattest du etwas vorausgesetzt in der config was ich in meiner Unkenntnis einfach erfolgreich ignoriert habe?

Danke


Vorweihnachtliche Grüße,


Frank
Bitte warten ..
Ähnliche Inhalte
Firewall

Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen

Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

Firewall

Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA

gelöst Frage von tweishaarFirewall3 Kommentare

Hallo zusammen, folgendes Szenario: -> auf der Remote Site (Standort Office) wurde der ISP gewechselt -> nun habe ich ...

Windows Netzwerk

Mehrere Server mit einer externen IP Adresse

Frage von technikdealerWindows Netzwerk7 Kommentare

Hay Ihr. Ich hab da mal wieder ne Frage. Ich habe ein Exchange, ein Remotegateway und ein Sharepoint. Alle ...

MikroTik RouterOS

MikroTik und externe IP Adressen

gelöst Frage von Chris2272MikroTik RouterOS4 Kommentare

Hallo ;) Ich hab da eine große Bitte bzw. Frage an euch. Wir haben jetzt in der Firma eine ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs9 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Debian
Wie finde ich den betroffenen user
Frage von ProtectedDebian8 Kommentare

Hallo, Wie kann ich den User finden der dies verursacht hat? Betriebsystem ist Debian 7 your Server/Customer with the ...

Voice over IP
Vodafone IP Anlagenanschluss - TK-Anlage einrichten
Frage von BytedreherVoice over IP8 Kommentare

Moin Zusammen, wir hatten gestern bei uns die Umstellung auf den neuen IP Anschluss bei Vodafone. Vodafone IP Anlagenanschluss ...