Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst CISCO ASA 5510 Routingproblem

Mitglied: Irrfahrer

Irrfahrer (Level 1) - Jetzt verbinden

03.05.2010 um 16:28 Uhr, 8111 Aufrufe, 11 Kommentare

Guten Tag,
ich habe nun schon einige Zeit im Internet recherchiert, aber keine Antwort auf meine Frage gefunden.
Nun hoffe ich, dass es hier einen Spezialisten gibt, welcher mir helfen kann.

Guten Tag,

folgende Ausgangskonfiguration:

Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.

Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?
Mitglied: aqui
03.05.2010 um 16:35 Uhr
Ja, klar...sonst wärs ja kein Cisco

Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Bitte warten ..
Mitglied: Irrfahrer
03.05.2010 um 16:46 Uhr
Vielen Dank für die schnelle Antwort. Ich glaube ich habe mich zu ungenau ausgedrückt, sorry. Vielleicht sollte ich es anders beschreiben. Ich habe im LAN(Inside) bei den Clients die ASA als Standardgateway eingetragen und möchte das die ASA die IP 192.168.0.0 255.255.0.0 nach Outside weiterschickt und alle übrigen IP an einen anderen Router im LAN.
Bitte warten ..
Mitglied: aqui
03.05.2010 um 16:58 Uhr
OK, auch das ist im Handumdrehen in 2 Minuten eingerichtet:

ip route 192.168.0.0 255.255.0.0 <gateway_ip_im_outside segment>
ip route 0.0.0.0 0.0.0.0 <ip_anderer_Router_im_LAN>

Fertisch...
Bitte warten ..
Mitglied: Irrfahrer
03.05.2010 um 17:05 Uhr
Ich werde das heute Abend mal testen. Vielen Dank.
Bitte warten ..
Mitglied: aqui
03.05.2010 um 17:42 Uhr
Immer gerne wieder....

Wenns funktioniert bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Irrfahrer
06.05.2010 um 11:12 Uhr
Hat nicht funktioniert., wobei ich vermute, dass es an der vorhandenen Konfigurations des Cisco und/oder meinem Basiswissen Cisco liegt. Ich habe für nächste Woche einen Cisco-Spezi bestellt.
Bitte warten ..
Mitglied: aqui
06.05.2010 um 22:18 Uhr
Mmmhhh..wenn du mal ein "show ip route" gepostet hättest hättest du dir den Sezi sparen können
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Bitte warten ..
Mitglied: Irrfahrer
07.05.2010 um 08:30 Uhr
Guten Morgen Aqui,

schön das Du nicht an mir verzweifelst .

Ein sh route ergibt das:

C Lan 255.255.255.0 is directly connected, inside
S 212.227.15.183 255.255.255.255 [1/0] via Testrouter, inside
C CC-Outside 255.255.255.248 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via <externe IP>, outside

Ich habe hier als Test die SMTP-IP von 1&1 genommen, unsere externe IP habe ich durch <externe IP> ersetzt. Tracertroute und Ping funktionieren auf der ASA mit der IP 212.227.15.183, soll heissen, die Pakete werden über den Testrouter geschickt. Wenn ich von einer IP im LAN eine ping auf die 212.227.15.183 mache, dann steht im Log der ASA, dass der Ping geblockt wurde, weil keine acl-inside dafür vorhanden ist. Habe schon verschiedene acl-inside probiert, hat aber alles nichts gebracht. Wahrscheinlich gehe ich dort falsch an die Sache heran ?!
Bitte warten ..
Mitglied: aqui
07.05.2010 um 21:18 Uhr
Ja, vermutlich ! Generell ist deine Router richtig, zum Test reicht ertsmal diese Hostroute.
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)

permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255

Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183

Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
Bitte warten ..
Mitglied: nooneelsebutme
10.05.2010 um 11:24 Uhr
Hallo,

sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.

Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.

Gruß

EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :

same-security-traffic permit intra-interface

Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.

Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.
Bitte warten ..
Mitglied: Irrfahrer
10.05.2010 um 16:26 Uhr
Hallo,

es hat endlich funktioniert.

"same-security-traffic permit intra-interface " war eingetragen, hatte ich aber in meinem Eingangsposting bereits erwähnt .

Ein besonderer Dank an Aqui, der sich die ganzen Tage mit mir rumgeschlagen hat. Habe es nach Deinen Hinweisen immer weiter eingegrenzt, zum Schluss hat noch ein NAT exempt auf die externe IP gefehlt und dann funktionierte es wunderbar.

Viele Grüße
Irrfahrer
Bitte warten ..
Ähnliche Inhalte
Firewall

Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen

Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

LAN, WAN, Wireless

Cisco ASA hinter Router mit NAT

gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing

Cisco Asa VPN Fragen

Frage von brooksRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

LAN, WAN, Wireless

Cisco ASA Passwort Reset

Anleitung von YannoschLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 15 StundenHumor (lol)3 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 1 TagMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...