Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Cisco ASA 5505 Ersteinrichtung

Mitglied: mcready

mcready (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 17:08 Uhr, 8047 Aufrufe, 4 Kommentare

Hallo *.*,

ich verzweifle gerade an der Ersteinrichtung meiner neuen Cisco ASA5505. Ich bin zwar schon jahrelang in der IT-Branche, habe mich aber noch nie mit Cisco-Geräten herumschlagen dürfen (aber der Wille ist da!).

Folgende Config mal vorab:

01.
Result of the command: "show startup-config" 
02.
  
03.
: Saved 
04.
: Written by enable_15 at 16:16:10.669 CEST Tue Feb 24 2009 
05.
06.
ASA Version 7.2(4)  
07.
08.
hostname asafw 
09.
domain-name domain.lan 
10.
enable password [...] encrypted 
11.
passwd [...] encrypted 
12.
names 
13.
14.
interface Vlan1 
15.
 nameif inside 
16.
 security-level 100 
17.
 ip address 10.10.10.253 255.255.255.0  
18.
19.
interface Vlan2 
20.
 description Vodafone DSL 
21.
 nameif outside 
22.
 security-level 0 
23.
 pppoe client vpdn group ISBC01D74 
24.
 ip address 88.79.xxx.xxx 255.255.255.255 pppoe  
25.
26.
interface Vlan3 
27.
 no forward interface Vlan1 
28.
 nameif dmz 
29.
 security-level 50 
30.
 ip address 192.168.2.1 255.255.255.0  
31.
32.
interface Ethernet0/0 
33.
 switchport access vlan 2 
34.
35.
interface Ethernet0/1 
36.
37.
interface Ethernet0/2 
38.
39.
interface Ethernet0/3 
40.
41.
interface Ethernet0/4 
42.
43.
interface Ethernet0/5 
44.
45.
interface Ethernet0/6 
46.
47.
interface Ethernet0/7 
48.
49.
ftp mode passive 
50.
clock timezone CEST 1 
51.
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 
52.
dns server-group DefaultDNS 
53.
 domain-name domain.lan 
54.
access-list outside_access_in remark udp/http 
55.
access-list outside_access_in extended permit udp any 10.10.10.0 255.255.255.0 eq www  
56.
access-list outside_access_in remark tcp/http 
57.
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq www  
58.
access-list outside_access_in remark tcp/pop3 
59.
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq pop3  
60.
access-list inside_access_in remark ip/all 
61.
access-list inside_access_in extended permit ip 10.10.10.0 255.255.255.0 88.79.177.0 255.255.255.0  
62.
access-list inside_access_in extended permit ip any any  
63.
pager lines 24 
64.
logging enable 
65.
logging asdm informational 
66.
logging from-address root@asafw.domain.lan 
67.
logging recipient-address ich@unsereemaildomain.de level errors 
68.
mtu inside 1500 
69.
mtu outside 1492 
70.
mtu dmz 1500 
71.
ip verify reverse-path interface outside 
72.
icmp unreachable rate-limit 1 burst-size 1 
73.
asdm image disk0:/asdm-524.bin 
74.
asdm history enable 
75.
arp timeout 14400 
76.
global (outside) 1 interface 
77.
nat (inside) 1 0.0.0.0 0.0.0.0 
78.
access-group inside_access_in in interface inside 
79.
access-group outside_access_in in interface outside 
80.
timeout xlate 3:00:00 
81.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
82.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
83.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
84.
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
85.
http server enable 
86.
http 10.10.10.0 255.255.255.0 inside 
87.
http 10.10.10.2 255.255.255.255 inside 
88.
no snmp-server location 
89.
no snmp-server contact 
90.
snmp-server enable traps snmp authentication linkup linkdown coldstart 
91.
telnet timeout 5 
92.
ssh timeout 5 
93.
console timeout 0 
94.
vpdn group ISBC01D74 request dialout pppoe 
95.
vpdn group ISBC01D74 localname dsl.vodafone/dsl_rhsvcm800:ib.vcm.de 
96.
vpdn group ISBC01D74 ppp authentication pap 
97.
vpdn username dsl.vodafone/dsl_rhsvcm800:ib.domain.de password [...] store-local 
98.
dhcpd auto_config outside 
99.
100.
  
101.
102.
class-map inspection_default 
103.
 match default-inspection-traffic 
104.
105.
106.
policy-map type inspect dns preset_dns_map 
107.
 parameters 
108.
  message-length maximum 512 
109.
policy-map global_policy 
110.
 class inspection_default 
111.
  inspect dns preset_dns_map  
112.
  inspect ftp  
113.
  inspect h323 h225  
114.
  inspect h323 ras  
115.
  inspect rsh  
116.
  inspect rtsp  
117.
  inspect esmtp  
118.
  inspect sqlnet  
119.
  inspect skinny  
120.
  inspect sunrpc  
121.
  inspect xdmcp  
122.
  inspect sip  
123.
  inspect netbios  
124.
  inspect tftp  
125.
126.
service-policy global_policy global 
127.
smtp-server 10.10.10.1 
128.
prompt hostname context  
129.
Cryptochecksum: ja, gibt es ;-)
Sorry, daß ich ein paar Angaben wie Paßwörter, Domänenname, eMail etc. unkenntlich machen mußte, die berufsbedingte Paranoia halt ...

Der betroffene Netzwerkabschnitt ist wie folgt aufgebaut:
Switch <---> ASA5505 <---> DSL-Modem

Wir haben eine feste IP beim Provider sowie einen lokalen DNS-Server (MS SBS2K3) mit IP 10.10.10.2.
Die DMZ ist erstmal zu vernachlässigen.

Ich vermute mal, daß ich einfach ein Problem mit der Cisco-Denkweise habe und deshalb keine Internetverbindung hinbekommen. Mit der aktuellen Config erhalte ich dafür aber lustige Fehlermeldungen wie
<quote>Failed to locate egress interface for [TCP/UDP/ICMP je nach Situation] from inside: 10.10.10.[diverse interne IPs] to [diverse externe IPs]</quote>

Natürlich habe ich kein gesteigertes Bedürfnis danach, erstmal alles aufzumachen und zu schauen, ob es dann funktioniert, dann bräuche ich ja keine Firewall

Kann mir jemand nen Wink mit dem Zaunpfahl (oder auch dem ganzen Lattenzaun) geben, warum ich keine Internetverbindung hinkriege?
Ach ja: Ich arbeite mit der Mausi-Mausi-Klicki-Klicki-Oberfläche, nicht mit der Shell.
Mitglied: spacyfreak
24.02.2009 um 19:52 Uhr
Kannst du von der ASA aus das Internet pingen, z. B. ping www.yahoo.de?

PIX wie ASA erfordern bei aktivierter NAT-Control stets eine NAT-Regel für jede Freischaltung.
Dieses "Sicherheitsfeature" kann man deaktivieren mit
no nat-control

Ansonsten bin ich auch nicth so der ASA Guru...
ich finde es gibt mittlerweile deutlich bedienbarere Firewall Lösungen wie Astaro ASG110.
Die können zudem noch viel mehr und sind idiotensicher konfigurierbar.
Bitte warten ..
Mitglied: mcready
25.02.2009 um 17:38 Uhr
Nein, weder auf den Host noch auf die IP. Werde mich mal morgen mit dem Thema NAT genauer auseinandersetzen müssen. Das scheint in dem Fall auch laut google die wahrscheinlichste Fehlerquelle zu sein.
Andere Firewalls ist schön und recht. Aber ich habe nunmal die und Cheffe wird nicht erfreut sein, wenn ich komme und sage, daß ~350€ abzuschreiben sind, wir nehmen dafür aber ein Modell für 700€. Das alte Leid ...
Bitte warten ..
Mitglied: spacyfreak
25.02.2009 um 20:40 Uhr
no nat-control

Diese Translaton-Philosophie von PIX und ASA ist ein wahrer Albtraum wenn man nicht so oft damit zu tun hat, vor allem in Enterprise Umgebungen führt das gerne zu radikalem Haarausfall in der Hinterngegend, bis hin zur totalen Arsch-Glatze, vor allem wenn schon 500 Regeln existieren und man auf die Kommandozeile angewiesen ist.

Ansonsten hast du ja schon in deiner konkreten Config eine globale NAT-Regel drinne, die das interne Netz nach aussen nattet bzw. die internen privaten IPs werden auf die öffentliche ge"pat"tet (Port Address Translation). Die nat (inside) 1 Regel kannst du u. U. auch verfeinern, bzs. das Netz eintragen das du wirklich natten willst, da so eben ALLES interne genattet wird. Wenn das so recht ist ist es ja gut.
Ansonsten hilft diese Anleitung eventuell weiter, das Chaos zu kompletieren (cisco halt... )
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Bitte warten ..
Mitglied: spacyfreak
25.02.2009 um 20:51 Uhr
show xlate
show conn

gugg dir mal die show befehle an mit

show ?
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL
CISCO ASA 5505 hinter einer Fritzbox 7390
gelöst Frage von gmeurbDSL, VDSL10 Kommentare

Hallo, ich habe mal eine Frage zu obigem Thema. Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom ...

Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

LAN, WAN, Wireless
CISCO ASA 5505 hinter FRITZ.Box betreiben
gelöst Frage von TobiasNYCLAN, WAN, Wireless2 Kommentare

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren. Die ASA Ist ...

Firewall
Konfiguration von VLAN an einer ASA 5505
gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 8 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 15 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 19 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...