11
CISCO ASA 5510 Routingproblem
Guten Tag,
ich habe nun schon einige Zeit im Internet recherchiert, aber keine Antwort auf meine Frage gefunden.
Nun hoffe ich, dass es hier einen Spezialisten gibt, welcher mir helfen kann.
Guten Tag,
folgende Ausgangskonfiguration:
Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.
Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?
folgende Ausgangskonfiguration:
Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.
Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 142003
Url: https://administrator.de/contentid/142003
Printed on: April 19, 2024 at 23:04 o'clock
11 Comments
Latest comment
Ja, klar...sonst wärs ja kein Cisco 
Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Vielen Dank für die schnelle Antwort. Ich glaube ich habe mich zu ungenau ausgedrückt, sorry. Vielleicht sollte ich es anders beschreiben. Ich habe im LAN(Inside) bei den Clients die ASA als Standardgateway eingetragen und möchte das die ASA die IP 192.168.0.0 255.255.0.0 nach Outside weiterschickt und alle übrigen IP an einen anderen Router im LAN.
OK, auch das ist im Handumdrehen in 2 Minuten eingerichtet:
ip route 192.168.0.0 255.255.0.0 <gateway_ip_im_outside segment>
ip route 0.0.0.0 0.0.0.0 <ip_anderer_Router_im_LAN>
Fertisch...
ip route 192.168.0.0 255.255.0.0 <gateway_ip_im_outside segment>
ip route 0.0.0.0 0.0.0.0 <ip_anderer_Router_im_LAN>
Fertisch...
Ich werde das heute Abend mal testen. Vielen Dank.
Hat nicht funktioniert., wobei ich vermute, dass es an der vorhandenen Konfigurations des Cisco und/oder meinem Basiswissen Cisco liegt. Ich habe für nächste Woche einen Cisco-Spezi bestellt.
Mmmhhh..wenn du mal ein "show ip route" gepostet hättest hättest du dir den Sezi sparen können 
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Guten Morgen Aqui,
schön das Du nicht an mir verzweifelst.
Ein sh route ergibt das:
C Lan 255.255.255.0 is directly connected, inside
S 212.227.15.183 255.255.255.255 [1/0] via Testrouter, inside
C CC-Outside 255.255.255.248 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via <externe IP>, outside
Ich habe hier als Test die SMTP-IP von 1&1 genommen, unsere externe IP habe ich durch <externe IP> ersetzt. Tracertroute und Ping funktionieren auf der ASA mit der IP 212.227.15.183, soll heissen, die Pakete werden über den Testrouter geschickt. Wenn ich von einer IP im LAN eine ping auf die 212.227.15.183 mache, dann steht im Log der ASA, dass der Ping geblockt wurde, weil keine acl-inside dafür vorhanden ist. Habe schon verschiedene acl-inside probiert, hat aber alles nichts gebracht. Wahrscheinlich gehe ich dort falsch an die Sache heran ?!
schön das Du nicht an mir verzweifelst
.Ein sh route ergibt das:
C Lan 255.255.255.0 is directly connected, inside
S 212.227.15.183 255.255.255.255 [1/0] via Testrouter, inside
C CC-Outside 255.255.255.248 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via <externe IP>, outside
Ich habe hier als Test die SMTP-IP von 1&1 genommen, unsere externe IP habe ich durch <externe IP> ersetzt. Tracertroute und Ping funktionieren auf der ASA mit der IP 212.227.15.183, soll heissen, die Pakete werden über den Testrouter geschickt. Wenn ich von einer IP im LAN eine ping auf die 212.227.15.183 mache, dann steht im Log der ASA, dass der Ping geblockt wurde, weil keine acl-inside dafür vorhanden ist. Habe schon verschiedene acl-inside probiert, hat aber alles nichts gebracht. Wahrscheinlich gehe ich dort falsch an die Sache heran ?!
Ja, vermutlich ! Generell ist deine Router richtig, zum Test reicht ertsmal diese Hostroute.
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)
permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255
Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183
Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)
permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255
Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183
Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
Hallo,
sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.
Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.
Gruß
EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :
same-security-traffic permit intra-interface
Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.
Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.
sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.
Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.
Gruß
EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :
same-security-traffic permit intra-interface
Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.
Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.
Hallo,
es hat endlich funktioniert.
"same-security-traffic permit intra-interface " war eingetragen, hatte ich aber in meinem Eingangsposting bereits erwähnt.
Ein besonderer Dank an Aqui, der sich die ganzen Tage mit mir rumgeschlagen hat. Habe es nach Deinen Hinweisen immer weiter eingegrenzt, zum Schluss hat noch ein NAT exempt auf die externe IP gefehlt und dann funktionierte es wunderbar.
Viele Grüße
Irrfahrer
es hat endlich funktioniert.
"same-security-traffic permit intra-interface " war eingetragen, hatte ich aber in meinem Eingangsposting bereits erwähnt
.Ein besonderer Dank an Aqui, der sich die ganzen Tage mit mir rumgeschlagen hat. Habe es nach Deinen Hinweisen immer weiter eingegrenzt, zum Schluss hat noch ein NAT exempt auf die externe IP gefehlt und dann funktionierte es wunderbar.
Viele Grüße
Irrfahrer
