Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme beim einrichten der Cisco ASA 5505

Mitglied: Alphaman

Alphaman (Level 1) - Jetzt verbinden

01.12.2007, aktualisiert 25.01.2008, 24053 Aufrufe, 9 Kommentare

Hi Leute,

ich habe eine Cisco ASA 5505 und habe kleine Probleme bei der Einrichtung der Box. Die Internet Daten haben ich bereits eingetragen und von der Console der Box kann ich z.B. google.de pingen. Wenn ich aber an einen Client gehe dann kann ich weder eine IP noch eine Domain pingen.

Bei den Security Regeln habe ich bis jetzt die Standardregeln belassen die sagen das alles raus darf aber nichts rein.

Wenn ich eine Regel testweise erstelle das alles vom Internet ins Interne Netz darf dann kann ich pingen.
Wie kann ich die Box einstellen das Anfragen die vom Internen Netz gestellt worden sind auch von aussen wieder durchgelassen werden. Alle unbekannten Eingänge sollen weiterhin geblockt werden.

Kann mir jemand bei der Konfiguration helfen bitte. Evtl. habt ihr auch Links zu Beispielkonfigurationen. Ich habe leider im Internet nichts passenden gefunden.

Dickes Danke schon mal.

Gruß,
Alphaman
Mitglied: Rafiki
01.12.2007 um 18:10 Uhr
Einige Beispiele finden sich auf der Cisco Webseite unter:
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_configu ...
-> Configuration Examples

Wenn deine Access list bereits richtig ist, dann fehlt häufig noch das entsprechende NAT.
du legst fest was inside und was outside ist.
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 2 192.168.1.1

Weitere Erklärung in dem Beispiel: (Link siehe Oben)
  1. PIX/ASA 7.x NAT and PAT Statements

Dann prüfe am besten mit nslookup ob deine Konfiguration OK ist.
Beispiel: nslookup www.1und1.de 195.20.244.5

Ping muss nicht immer funktionieren, leicht vergisst man es auch die ping Antwort zuzulassen (icmp-reply).

Wenn du damit immer noch Schwierigkeiten hast, dann bereinige deine Konfig bitte um die Passworte und öffentliche IP Adressen und poste die Konfig hier als Kommentar.

Gruß Rafiki
Bitte warten ..
Mitglied: Alphaman
03.12.2007 um 12:56 Uhr
Hallo Rafiki,

ich komme irgendwie nicht klar mit der ASA. Ich habe Sie nochmal zurückgesetzt und von vorne begonnen. Ich habe im Wizard alle Informationen eingeben. Den DNS Server habe ich per Hand eingetragen. Der DNS Proxy sollte an intern/DMZ ebenfalls aktiv sein, aber es will nicht so klappen.

Wenn ich im PC den DNS Server vom ISP eintrage dann kann er z.B. 1und1.de auflösen, aber wenn ich die Box angebe geht es nicht... Das die Box unbedingt DNS Proxy spielt ist nicht sooo wichtig, aber ich kann auch keine Webseite oder so aufrufen.

Später soll die ASA HTTP/HTTPS/SMTP an einen Server im internen Netz durchlassen. Externe Benutzer sollen dann auch per VPN Client auf die ASA und sich mit dem internen Netz verbinden können. Die Benutzer werden intern von der ASA verwaltet und nicht per AAA Server. Wäre zwar nice to have, aber davon habe ich noch weniger Ahnung wie man das einrichtet. Ich hänge ja schon an den Grundeinstellungen.

Hier die Konfig von mir. Interne/Externe IP Adressen, usw. wurden geändert. Es wäre echt Super wenn Du mir helfen könntes bei der ASA zu konfigurieren... Dickes Danke schon mal.

Konfig der ASA 5505:
Saved
Written by enable_15 at 02:29:49.049 UTC Mon Dec 3 2007
!
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name Firma.local
enable password 1234567890 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 123.123.123.121 255.255.255.248
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
no ip address
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 1234567890 encrypted
ftp mode passive
dns domain-lookup outside
dns domain-lookup inside
dns domain-lookup dmz
dns server-group DefaultDNS
name-server 123.123.123.111
name-server 123.123.123.112
domain-name Firma.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 123.123.123.120 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.2-192.168.1.129 inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e00205767b5b7114c9de637f6ee68e5
: end
Bitte warten ..
Mitglied: Alphaman
04.12.2007 um 14:03 Uhr
Hi,

ich habe mir die ASA nochmal angeschaut und komischerweise will jetzt das Internet funktionieren. Ich habe zwar jetzt als DNS Server den DNS Server vom ISP angegeben aber das ist schon OK so.

Jetzt habe ich mit dem nächsten Problem zu kämpfen. Ich bekomme es nicht hin das z.B. der SMTP Dienst auf einen bestimmten Server geleitet wird. Wir haben zwar mehrere externe IP Adressen, wollen aber nur einen davon verwenden. Daher wollte alles von einer externen IP Adresse auf den Mailserver gelenkt werden.

Ich habe bereits eine Security Policy angelegt die besagt das von dem Outside Interface von allen Adressen im Internet auf die IP Adresse des Mailservers geht. Dabei aber nur das Protokoll tcp/smtp durchgelassen.

Leider will das nicht klappen. Kann mir jemand sagen wo der Fehler evtl. liegt. Ich bin langsam mit den Nerven am ende....

Dickes Danke schon mal.

Gruß,
Alphaman
Bitte warten ..
Mitglied: Rafiki
04.12.2007 um 21:20 Uhr
Wahrscheinlich fehlt dir noch der entsprechende NAT Eintrag.

Beispiel:
static (dmz,outside) 192.168.200.14 123.123.123.122 netmask 255.255.255.255

Wobei 123.123.123.122 eine der freien IP Adressen ist die euch der ISP zugewiesen hat.
192.168.200.14 ist die IP Adresse von dem Emailserver im DMZ Bereich.

Beachte bitte, dass die Parameter dmz,outside und die dazugehörigen IP Addressen in der Reihenfolge vertauscht sind! Ich will damit sagen, das erst dmz dann outside da steht, gefolgt von der IP Adresse für outside und der für die dmz. Mit der Netmask 255.255.255.255 wird dann festgelegt das wir nur über eine IP Adresse reden die übersetzt werden soll.

Gruß Rafiki

PS: Beachte eine persönliche Nachricht an dich.
Bitte warten ..
Mitglied: Alphaman
05.12.2007 um 13:55 Uhr
Hallo Rafiki,

danke für das Angebot. Würde darauf zurückkommen, aber ich habe es hinbekommen.

Ich habe in der Static NAT einen Fehler gemacht. Ich habe dort die öffentliche IP Adresse des Ports von der ASA angeben und das klappt nicht.

Beispiel:

static (inside,outside) 123.123.123.121 129.168.1.2 netmask 255.255.255.255

123.123.123.121 ist die öffentliche IP Adresse (WAN IP)

Wenn ich aber folgendes schreibe:

static (inside,outside) interface 129.168.1.2 netmask 255.255.255.255

Dann klappt es einwandfrei. Mit dem Befehl "interface" gebe ich ja auch nur das Outgoing interface an und deren IP. Weiss nicht warum das erste nicht klappt.

Weisst Du es evtl., wenn ja, dann wäre es nett wenn du es noch erklären könntest für mich und die Nachwelt. Danke.

Gruß,
Alphaman
Bitte warten ..
Mitglied: Alphaman
05.12.2007 um 18:01 Uhr
Hi,

nachtrag, ich musste bei dem Static Eintrag dies auf gewisse Protokolle beschrenken da sonst alles zum internen Port geleitet wird, inkl. der VPN Anfrage. Somit ging das VPN nicht mehr.

Jetzt geht aber alles und ich bin glücklich. Danke noch mals für eine Hilfe.

Gruß,
Alphaman
Bitte warten ..
Mitglied: Rafiki
05.12.2007 um 20:17 Uhr
Du hast dein outside interface so konfiguriert als hätte euch euer Internet Provider ein kleines subnetz bereitgestellt:
interface Vlan2
nameif outside
security-level 0
ip address 123.123.123.121 255.255.255.248

Deshalb dachte ich mir wäre es gut für den email server eine der anderen, noch freien?, IP Adressen zu verwenden und eben nicht die Interface Adresse.
Aber so wie du es gelöst hast funktioniert es ja nun auch.

gruß Rafiki
Bitte warten ..
Mitglied: mathschut
24.01.2008 um 18:33 Uhr
Hallo habe mal eine Frage. Ich habe seit heute auch einen Cisco ASA 5505 zu hause. Ich habe jetzt folgendes vor. Ich habe ein DSL-Modem 2 Rechner und einen Webserver den ich Internet veröffentlichen will.
Nun folgendes Problem:
Ich habe erst mal klein angefangen. Ich habe bei PPoE meine 1und1 Zugangsdaten eingetragen und habe den Rest der config so gelassen. Ich habe zwei Ports konfiguriert 0: PPoE (DSL-Modem)
Port 1: Laptop 192.168.1.2

Router hat 192.168.1.1

Nun geht garnichts ich kann nicht Pingen und erst recht keine Seite öffnen. Was muss ich machen damit ich mit dem Laptop ins Internt kommen?

Ich danke für Antworten!!!

Mathias
Bitte warten ..
Mitglied: Alphaman
25.01.2008 um 08:44 Uhr
Sorry, mit PPPoE habe ich die Box noch nicht konfiguriert. Hm, geh doch mal direkt auf die Box und mach mal von dort aus einen Ping. Wenn das nicht geht dann ist evtl. kein DNS Server angeben oder die Route stimmt nicht.

Leider habe ich keine Ahnung wie man die Route bei einer dynamischen IP konfiguriert bei der ASA.

Gruß,
Alphaman
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

LAN, WAN, Wireless

CISCO ASA 5505 hinter FRITZ.Box betreiben

gelöst Frage von TobiasNYCLAN, WAN, Wireless2 Kommentare

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren. Die ASA Ist ...

Router & Routing

Ist doppeltes Routing mit einer asa 5505 möglich?

gelöst Frage von luchs3Router & Routing8 Kommentare

Hallo, Laut meinem ISP brauche ich folgende Konfiguration: Ich bräuchte für mein Privates Netz eigentlich zwei Router, da die ...

Router & Routing

Cisco ASA HTTPS und HTTP Portfreigabe einrichten

Frage von Herbrich19Router & Routing1 Kommentar

Hallo, Ich habe mein System auf eine Cisco ASA Umgestellt. Nun möchte ich gerne eine Port Freigabe einrichten die ...

Neue Wissensbeiträge
Windows Netzwerk
Windows Admin Center - Sagt was ihr braucht!
Tipp von Juanito vor 1 TagWindows Netzwerk12 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Verschlüsselung & Zertifikate

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Tipp von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort. MBAM ist ein Enterprise-Benefit und somit ...

Netzwerkprotokolle
IPv6 Konfiguration von Site-Site-VPN ohne feste IP
Anleitung von lcer00 vor 2 TagenNetzwerkprotokolle1 Kommentar

Hallo zusammen, vor einiger Zeit hatte ich hier eine Frage zu dem Thema gepostet: Da war noch etwas offen. ...

Verschlüsselung & Zertifikate
Nutzung von Bitlocker in virtuellen Maschinen
Tipp von DerWoWusste vor 3 TagenVerschlüsselung & Zertifikate3 Kommentare

Vorbetrachtung: Wen sollte das interessieren? Wer virtuelle Maschinen zum Test auf seiner lokalen Festplatte speichert, wird diese nur selten ...

Heiß diskutierte Inhalte
Viren und Trojaner
Viren zu Testzwecken gesucht
Frage von ElHuttiViren und Trojaner20 Kommentare

Hallo, Ich suche zum rumtrollen auf einem alten PC Viren, die: - Keine Komponenten beschädigen - Keine Auswirkungen auf ...

Voice over IP
Andere Rufnummer bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom anzeigen
Frage von vafk18Voice over IP18 Kommentare

Ich möchte bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom meine Handynummer hinterlegen, damit ich Rückrufe jederzeit empfangen kann. Derzeit ...

Monitoring
Empfehlung für Server-Monitoring gesucht
Frage von LordGurkeMonitoring16 Kommentare

Moin, wir sehen uns momentan ein wenig nach einer Alternative zu unserem jetzigen Server-Monitoring um. Getestet habe ich bisher ...

Microsoft Office
Lizenzierung
Frage von opc123Microsoft Office15 Kommentare

Hallo, eventuell ein oft bekanntes Thema. Office 365 ist mir zu teuer, da wir als Bildungsträger andere Konditionen beim ...