May 02, 2017

1653

Cisco ASA5505 das letzte Problem.

Hallo zusammen, ich hoffe ihr hattet ein schönes WE.

Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft wie gewünscht über den ShrewSoftVPN-Client.
Allerdings habe ich immernoch das Problem mit meinem Netzwerkdrucker.

Seit dem Umstellen auf die ASA funktioniert das Scan-to-Mail und auch das Fax-to-Mail nicht mehr.
Meine erste Vermutung war das DNS. Also eine statische IP beim SMTP-Server vergeben und es funktionierte ... 2 Mal.

Jetzt leider seit fast einer Woche gar nicht mehr... ich weiß echt nicht mehr was ich noch testen kann.
Was ich bisher getestet habe mit folgender Config:

ASA Version 8.2(5) 
!
hostname ciscoasa
enable password sdfgsdfghgfdh encrypted
passwd dfghdfghfghdfgh encrypted
names
name 192.168.0.21 PrinterMFP
name 192.168.0.35 COM description TestHost
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp setroute 
!
interface Vlan5
 no nameif
 security-level 50
 ip address 192.168.5.1 255.255.255.0 
!
!
time-range RA_VPN
 periodic daily 0:00 to 23:59
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
 name-server 212.7.160.2         // <--- Provider DNS1
 name-server 212.7.160.3         // <--- Provider DNS2
object-group service SMTPOffice365 tcp
 port-object eq 587
access-list RA_VPN_access extended permit ip any any 
access-list RA_VPN_access extended permit ip any 192.168.0.0 255.255.255.0 
access-list RA_VPN_access extended permit ip any host 192.168.0.133 
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool VPN_Pool 192.168.0.240-192.168.0.245 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 1
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.0.5-COM inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy RA_VPN1 internal
group-policy RA_VPN1 attributes
 dns-server value 8.8.8.8 4.2.2.2        //<--- Erstmal Testweise
 vpn-access-hours value RA_VPN
 vpn-filter value RA_VPN_access
 vpn-tunnel-protocol IPSec 
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-access-hours value RA_VPN
 vpn-filter value RA_VPN_access
username X1 password XXXXXXXXXXXXX encrypted privilege 0
username X1 attributes
 vpn-group-policy RA_VPN1
username X2 password XXXXXXXXXXXXX encrypted privilege 0
username X2 attributes
 vpn-group-policy RA_VPN1
username X3 password XXXXXXXXXXXXX encrypted privilege 0
username X3 attributes
 vpn-group-policy RA_VPN1
username X4 password XXXXXXXXXXXXX encrypted privilege 0
username X4 attributes
 vpn-group-policy RA_VPN1
username X5 password XXXXXXXXXXXXX encrypted privilege 0
username X5 attributes
 vpn-group-policy RA_VPN1
tunnel-group RA_VPN1 type remote-access
tunnel-group RA_VPN1 general-attributes
 address-pool VPN_Pool
 default-group-policy RA_VPN1
tunnel-group RA_VPN1 ipsec-attributes
 pre-shared-key XXXXX
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
no call-home reporting anonymous
Cryptochecksum:XXXXXXXXXXXXXXXXXXXXXXXX

SMTP Regel hinzugefügt

Any Any TCP Port 587 [SMTP Port von Office365]

Verschiedene DNS Server getestet.

Statische IP Adresse eines Office365 SMTP-Server genommen [Hat zwei mal funktioniert]

Verschiedene Postfächer getestet [bezgl. Authentifizierung].

Statische DNS Server auf dem Gerät selbst hinterlegt.

Alles bisher ohne Ergebnis.

Hat sonst noch jemand eine Idee? Ich weiß langsam echt nicht mehr weiter... hier sind schon alle genervt weil in die SCAN Freigabe gescannt werden soll. ..

liebe Grüße und einen guten Start in die Woche.

Yannosch

Please also mark the comments that contributed to the solution of the article

Content-Key: 336650

Url: https://administrator.de/contentid/336650

Printed on: April 20, 2024 at 03:04 o'clock

9 Comments

Latest comment

Gehe doch einmal strategisch vor....
Stecke statt des Druckers mal einen Test Laptop in den Druckerport mit gleicher IP Adresse, Gateway und DNS Adresse. (Drucker natürlich ausgestöpselt lassen.)
Ebenfalls sollte ein Mail Client wie Thunderbird etc. installiert sein mit exakt den Mailserver Adressen und TCP Ports wie beim Drucker.
Ideal wäre noch ein Wireshark Sniffer auf dem Laptop
Dann gehtst du strategisch vor und machst Folgendes:

Ping um die IP Connectivity generell zu testen
nslookup <mail_server_name> oder dig <mail_server> um die richtige DNS Konfig und Verhalten zu testen. Falls es hier schon zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
Klappt DNS fehlerfrei, dann Test Mails versenden. Auch hier wieder: Falls es zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
Auch kannst du dann von dem Laptop die Scan Freigabe ansprechen und Testdateien dahin kopieren und auch das wieder protokollieren sollte es kneifen.

Damit machst du mit dem Laptop dann exakt genau das was auch der Drucker macht, hast aber erheblich mehr Diagnose Möglichkeiten um dem Fehler grundlegend auf die Spur zu kommen.
Kommt man aber eigentlich auch von selber drauf

Hi Yannosh,
wie schon letztes von mir angefragt: Was steht in den Logs ?
In deiner Konfiguration kann ich erkennen, daß du Logging nicht ausreichend konfiguriert hast um den Verkehr zwischen dem Drucker und dem Office365 SMTP-Server zu loggen.
Ein Ansatz könnte noch sein: disable mal "inspect esmtp" in der policy rule.

Hat sonst noch jemand eine Idee?

Ja. Mag hart klingen:
Verwende eine Firewall die du beherrscht. Die Cisco ASA hat ihre Besonderheiten, die nicht "mal so eben" zu beherrschen sind.

Gruß
CH

@aqui

Danke für deine Geduld!
Werde ich gleich Testen & mich dann nochmal hier melden.

@ChriBo

Zitat von @ChriBo:

Hi Yannosh,
wie schon letztes von mir angefragt: Was steht in den Logs ?
In deiner Konfiguration kann ich erkennen, daß du Logging nicht ausreichend konfiguriert hast um den Verkehr zwischen dem Drucker und dem Office365 SMTP-Server zu loggen.

Hier wäre der Ansatz ggf. auf Quellen zu verweisen die erklären wie das Logging in diesem Fall richtig einzustellen ist.

Ein Ansatz könnte noch sein: disable mal "inspect esmtp" in der policy rule.

Werde ich gleich auch einmal Testen! Danke.

Hat sonst noch jemand eine Idee?

Ja. Mag hart klingen:
Verwende eine Firewall die du beherrscht. Die Cisco ASA hat ihre Besonderheiten, die nicht "mal so eben" zu beherrschen sind.

Mag hart klingen, aber genau wegen solcher Vorgehensweisen bleibt man stehen. Warum soll ich mir eine Firewall hinstellen die nochmal Geld kostet & bei der ich nix lerne?

Das ist ein Forum um Hilfestellung zu bieten & zu bekommen - so wie ich anderen Leuten hier versuche weiterzuhelfen erwarte ich es auch von anderen. SO funktioniert so ein Forum. Eine komprimierte Aussage wie "arbeite eben mit dem was du verstehst" halte ich eher für kontraproduktiv.

Gruß
CH

Gruß
YA

Zitat von @aqui:

Gehe doch einmal strategisch vor....
Stecke statt des Druckers mal einen Test Laptop in den Druckerport mit gleicher IP Adresse, Gateway und DNS Adresse. (Drucker natürlich ausgestöpselt lassen.)

Habe ich gemacht. Alles statisch konfiguriert & so sah es aus:

Habe aus jucks den Haken bei "Einstellungen beim Beenden überprüfen" gesetzt.
Folgendes sagte mir das Diagnose-Tool:

Der DNS-Server antwortet nicht. Wie ich vermutet hatte weil es mit der statischen IP ja kurz funktionierte.

Ebenfalls sollte ein Mail Client wie Thunderbird etc. installiert sein mit exakt den Mailserver Adressen und TCP Ports wie beim Drucker.

Ist drauf.

Ideal wäre noch ein Wireshark Sniffer auf dem Laptop

Ist auch drauf.

Dann gehtst du strategisch vor und machst Folgendes:

Ping um die IP Connectivity generell zu testen

Intern ja, extern nein ...

* nslookup <mail_server_name> oder dig <mail_server> um die richtige DNS Konfig und Verhalten zu testen. Falls es hier schon zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.

Klappt DNS fehlerfrei, dann Test Mails versenden. Auch hier wieder: Falls es zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
Auch kannst du dann von dem Laptop die Scan Freigabe ansprechen und Testdateien dahin kopieren und auch das wieder protokollieren sollte es kneifen.

Fazit: Mit der Konfig

Komme ich nicht ins Internet.
IP Konnektivität lokal ja, darüber hinaus nein.

Bin mit meinem Wissen jetzt allmälich am Ende.

EDIT: Habe nach dem Testen wieder alles so eingestellt wie es vorher war. [siehe Bild]...

Allerdings habe ich ab DIESEM Moment sogar mit der vorherigen Konfig kein Internet mehr ...
@aqui ... hast du da eine Idee ??
Oder sonst irgend jemand ? .... ich drehe hier durch..

Macht mir der DNS Server meines Providers diese Probleme oder ist es eine falsche Einstellung der Cisco?

Liebe Grüße

Hallo,

Zitat von @Yannosch:
Der DNS-Server antwortet nicht. Wie ich vermutet hatte weil es mit der statischen IP ja kurz funktionierte.

Scheint das dein Netzwerk total aus der Spur ist. Du wirst wohl mehr als einen Konfigurationsfehler in deinen Systemen haben.

C:\Users\meiereier>ping 212.7.160.9

Ping wird ausgeführt für 212.7.160.9 mit 32 Bytes Daten:
Antwort von 212.7.160.9: Bytes=32 Zeit=39ms TTL=52
Antwort von 212.7.160.9: Bytes=32 Zeit=32ms TTL=52
Antwort von 212.7.160.9: Bytes=32 Zeit=41ms TTL=52
Antwort von 212.7.160.9: Bytes=32 Zeit=39ms TTL=52

Ping-Statistik für 212.7.160.9:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 32ms, Maximum = 41ms, Mittelwert = 37ms

C:\Users\meiereier>ping 212.7.160.2

Ping wird ausgeführt für 212.7.160.2 mit 32 Bytes Daten:
Antwort von 212.7.160.2: Bytes=32 Zeit=47ms TTL=52
Antwort von 212.7.160.2: Bytes=32 Zeit=38ms TTL=52
Antwort von 212.7.160.2: Bytes=32 Zeit=41ms TTL=52
Antwort von 212.7.160.2: Bytes=32 Zeit=47ms TTL=52

Ping-Statistik für 212.7.160.2:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 38ms, Maximum = 47ms, Mittelwert = 43ms

C:\Users\meiereier>nslookup smtp.office365.com
Server:  KLEIN.DBASTA.Local
Address:  192.168.255.1

Nicht autorisierende Antwort:
Name:    outlook-emeaeast2.office365.com
Addresses:  2603:1026:4:b3::2
          2603:1026:4:51::2
          2603:1026:4:9f::2
          2603:1026:7:3c::2
          2603:1026:300:ce::2
          2603:1026:301:29::2
          2603:1026:300:78::2
          2603:1026:3:78::2
          2603:1026:3:b6::2
          40.101.50.2
          40.101.46.34
          40.101.43.178
          40.101.45.242
          40.101.126.114
          40.101.55.194
          40.101.76.130
          40.96.24.146
          40.101.48.66
Aliases:  smtp.office365.com
          smtp.outlook.office365.com
          outlook.office365.com
          lb.geo.office365.com
          outlook.office365.com.glbdns2.microsoft.com

Gruß,
Peter

Hi Pjordorf ...

Kann gut möglich sein, wobei da eigentlich nicht viel Netzwerk ist.

Bei einem Rechner wo alles passt, sprich DNS Auflösung bekomme ich die selben positiven Ergebnisse bei den CMD Befehlen..

Nur leider ist es bei manchen WLAN Clients oder bei Rechner mit geänderten Adaptereinstellungen eben so Problematisch ....

Dann sieht ipconfig /all auch richtig aus - DNS-SERVER usw passt auch nur halt eben die Namensauflösung klappt dann trotzdem nicht.

Alsob die DNS Requests nicht ankommen würden ... Weiß nur nicht wo ich noch etwas einstellen soll ... Mal klappt es , mal wieder nicht.

Gruß Yannosch

Schau:

C:\Users\admin>nslookup smtp.office365.com
Server:  ns2.ktk.de
Address:  212.7.160.2

Nicht autorisierende Antwort:
Name:    outlook-emeaeast.office365.com
Addresses:  2603:1026:6:28::2
          2603:1026:300:b5::2
          2603:1026:3:a3::2
          2603:1026:203:2b::2
          2603:1026:7:3d::2
          2603:1026:301:2b::2
          2603:1026:7:66::2
          2603:1026:300:b3::2
          2603:1026:6:15::2
          40.101.126.130
          40.101.127.82
          40.101.76.162
          40.101.54.114
          40.101.125.210
          40.101.72.114
          40.101.54.178
          40.101.49.82
          40.101.9.202
Aliases:  smtp.office365.com
          smtp.outlook.office365.com
          outlook.office365.com
          outlook.ha-geo.office365.com
          outlook.ha.office365.com
          outlook.office365.com.g.office365.com

Nur Pingen geht eben nicht ... ICMP ist auch auf der Firewall noch nicht permittet...

Neues Beispiel:

Habe ein Handy mit unserem AP verbunden.
Bekomme per DHCP der ASA auch die 0.17 zugewiesen.
ASA ist erreichbar. Gateway [ASA] und DNS-Server [vom Provider] wurden auch an das Device übermittelt.
Leider ist jedoch keine Internetkonnektivität möglich.

Hier Sitze ich nun an einem Rechner, ebenfalls per DHCP die Daten von der ASA bekommen - jedoch keine Probleme ansonsten komplett identisch mit dem Handy eingerichet... wtf?

Was kann das sein?

EDIT: Kann es evtl. etwas mit NAT zu tun haben? Ich habe hier ja ein Thompson Kabelmodem davor - wo die Konfigurationsmöglichkeiten leider nur sehr begrenzt sind ... kann ja sein dass das Modem auch NATed ... dann habe ich ja ein Double NAT welches die DNS Querys behindern kann....

Any Thoughts?

Normal nutzt man ja einen DNS Proxy..aber das ist jetzt erstmal nur kosmetisch solange dein DNS Server bzw. dessen IP auch de facto zu dem Provider gehört was wir jetzt mal annehmen.
Es muss einen Unterschied zwischen den Frames vom Telefon und PC geben. Auch wenn die im gleichen IP netz sind. Das solltest du mit dem Wireshark nochmals ganz genau ansehen.
Was genau meinst du auch mit "Internet Kennektivität" ???

Kann das Geräte einfach nur keine DNS Namen auflösen ?
Oder kann das Gerät auch keinerlei nachte Internet IP Adressen pingen wie z.B. 8.8.8.8 ?

Leider wieder etwas oberflächlich ??
Was passiert bei einem Traceroute auf die 8.8.8.8 vom Telefon. Siehst du dort ICMP Replies von den einzelnen Hops ?
Analog beim PC ?

Kann es evtl. etwas mit NAT zu tun haben?

Könnte !
Das kommt aber auf dein NAT und die ACL am NAT Interface an um das beantworten zu können. Die Cisco Firewall arbeitet mit einer CBAC ACL wie auch im Router_mit_Firewalloption

Das Thompson Modem ist ja wie du sagst ein reines NUR Modem. Es routet nicht und macht keinerlei NAT. Es ist nichts anderes als ein dummer Pegelwandler von DOCSIS auf Ethernet.
Ein reines Modem hat absolut gar nichts mit Layer 3 IP Forwarding zu tun sofern es wirklich ein reines Modem ist und KEIN Router !!!
Aber du sagst ja selber das es ein reines Modem ist also glauben wir dir das auch mal.
Ob es das ist kann man übrigens sofort an der IP Adresse am WAN (Modem) Port der ASA sehen mit show ip int brief dort sollte eine öffentliche IP Adresse des Prividers zu sehen sein ein KEINE private RFC 1918 IP Adresse !!
Wenn doch ist es ein Indiz das die Thompson Gurke ein Router ist und KEIN Modem und dann sind die Karten wieder neu gemischt, da du dann ja mit einer NAT Router Kaskade arbeitest.
Sowas klärt man oder weiss man aber auch als Netzwerker der natürlich seine Infrastruktur kennt...oder wenigstens kennen sollte !

German solved Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment