Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA 5505 Ersteinrichtung

Frage Netzwerke Router & Routing

Mitglied: mcready

mcready (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 17:08 Uhr, 7926 Aufrufe, 4 Kommentare

Hallo *.*,

ich verzweifle gerade an der Ersteinrichtung meiner neuen Cisco ASA5505. Ich bin zwar schon jahrelang in der IT-Branche, habe mich aber noch nie mit Cisco-Geräten herumschlagen dürfen (aber der Wille ist da!).

Folgende Config mal vorab:

01.
Result of the command: "show startup-config" 
02.
  
03.
: Saved 
04.
: Written by enable_15 at 16:16:10.669 CEST Tue Feb 24 2009 
05.
06.
ASA Version 7.2(4)  
07.
08.
hostname asafw 
09.
domain-name domain.lan 
10.
enable password [...] encrypted 
11.
passwd [...] encrypted 
12.
names 
13.
14.
interface Vlan1 
15.
 nameif inside 
16.
 security-level 100 
17.
 ip address 10.10.10.253 255.255.255.0  
18.
19.
interface Vlan2 
20.
 description Vodafone DSL 
21.
 nameif outside 
22.
 security-level 0 
23.
 pppoe client vpdn group ISBC01D74 
24.
 ip address 88.79.xxx.xxx 255.255.255.255 pppoe  
25.
26.
interface Vlan3 
27.
 no forward interface Vlan1 
28.
 nameif dmz 
29.
 security-level 50 
30.
 ip address 192.168.2.1 255.255.255.0  
31.
32.
interface Ethernet0/0 
33.
 switchport access vlan 2 
34.
35.
interface Ethernet0/1 
36.
37.
interface Ethernet0/2 
38.
39.
interface Ethernet0/3 
40.
41.
interface Ethernet0/4 
42.
43.
interface Ethernet0/5 
44.
45.
interface Ethernet0/6 
46.
47.
interface Ethernet0/7 
48.
49.
ftp mode passive 
50.
clock timezone CEST 1 
51.
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 
52.
dns server-group DefaultDNS 
53.
 domain-name domain.lan 
54.
access-list outside_access_in remark udp/http 
55.
access-list outside_access_in extended permit udp any 10.10.10.0 255.255.255.0 eq www  
56.
access-list outside_access_in remark tcp/http 
57.
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq www  
58.
access-list outside_access_in remark tcp/pop3 
59.
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq pop3  
60.
access-list inside_access_in remark ip/all 
61.
access-list inside_access_in extended permit ip 10.10.10.0 255.255.255.0 88.79.177.0 255.255.255.0  
62.
access-list inside_access_in extended permit ip any any  
63.
pager lines 24 
64.
logging enable 
65.
logging asdm informational 
66.
logging from-address root@asafw.domain.lan 
67.
logging recipient-address ich@unsereemaildomain.de level errors 
68.
mtu inside 1500 
69.
mtu outside 1492 
70.
mtu dmz 1500 
71.
ip verify reverse-path interface outside 
72.
icmp unreachable rate-limit 1 burst-size 1 
73.
asdm image disk0:/asdm-524.bin 
74.
asdm history enable 
75.
arp timeout 14400 
76.
global (outside) 1 interface 
77.
nat (inside) 1 0.0.0.0 0.0.0.0 
78.
access-group inside_access_in in interface inside 
79.
access-group outside_access_in in interface outside 
80.
timeout xlate 3:00:00 
81.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
82.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
83.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
84.
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
85.
http server enable 
86.
http 10.10.10.0 255.255.255.0 inside 
87.
http 10.10.10.2 255.255.255.255 inside 
88.
no snmp-server location 
89.
no snmp-server contact 
90.
snmp-server enable traps snmp authentication linkup linkdown coldstart 
91.
telnet timeout 5 
92.
ssh timeout 5 
93.
console timeout 0 
94.
vpdn group ISBC01D74 request dialout pppoe 
95.
vpdn group ISBC01D74 localname dsl.vodafone/dsl_rhsvcm800:ib.vcm.de 
96.
vpdn group ISBC01D74 ppp authentication pap 
97.
vpdn username dsl.vodafone/dsl_rhsvcm800:ib.domain.de password [...] store-local 
98.
dhcpd auto_config outside 
99.
100.
  
101.
102.
class-map inspection_default 
103.
 match default-inspection-traffic 
104.
105.
106.
policy-map type inspect dns preset_dns_map 
107.
 parameters 
108.
  message-length maximum 512 
109.
policy-map global_policy 
110.
 class inspection_default 
111.
  inspect dns preset_dns_map  
112.
  inspect ftp  
113.
  inspect h323 h225  
114.
  inspect h323 ras  
115.
  inspect rsh  
116.
  inspect rtsp  
117.
  inspect esmtp  
118.
  inspect sqlnet  
119.
  inspect skinny  
120.
  inspect sunrpc  
121.
  inspect xdmcp  
122.
  inspect sip  
123.
  inspect netbios  
124.
  inspect tftp  
125.
126.
service-policy global_policy global 
127.
smtp-server 10.10.10.1 
128.
prompt hostname context  
129.
Cryptochecksum: ja, gibt es ;-)
Sorry, daß ich ein paar Angaben wie Paßwörter, Domänenname, eMail etc. unkenntlich machen mußte, die berufsbedingte Paranoia halt ...

Der betroffene Netzwerkabschnitt ist wie folgt aufgebaut:
Switch <---> ASA5505 <---> DSL-Modem

Wir haben eine feste IP beim Provider sowie einen lokalen DNS-Server (MS SBS2K3) mit IP 10.10.10.2.
Die DMZ ist erstmal zu vernachlässigen.

Ich vermute mal, daß ich einfach ein Problem mit der Cisco-Denkweise habe und deshalb keine Internetverbindung hinbekommen. Mit der aktuellen Config erhalte ich dafür aber lustige Fehlermeldungen wie
<quote>Failed to locate egress interface for [TCP/UDP/ICMP je nach Situation] from inside: 10.10.10.[diverse interne IPs] to [diverse externe IPs]</quote>

Natürlich habe ich kein gesteigertes Bedürfnis danach, erstmal alles aufzumachen und zu schauen, ob es dann funktioniert, dann bräuche ich ja keine Firewall

Kann mir jemand nen Wink mit dem Zaunpfahl (oder auch dem ganzen Lattenzaun) geben, warum ich keine Internetverbindung hinkriege?
Ach ja: Ich arbeite mit der Mausi-Mausi-Klicki-Klicki-Oberfläche, nicht mit der Shell.
Mitglied: spacyfreak
24.02.2009 um 19:52 Uhr
Kannst du von der ASA aus das Internet pingen, z. B. ping www.yahoo.de?

PIX wie ASA erfordern bei aktivierter NAT-Control stets eine NAT-Regel für jede Freischaltung.
Dieses "Sicherheitsfeature" kann man deaktivieren mit
no nat-control

Ansonsten bin ich auch nicth so der ASA Guru...
ich finde es gibt mittlerweile deutlich bedienbarere Firewall Lösungen wie Astaro ASG110.
Die können zudem noch viel mehr und sind idiotensicher konfigurierbar.
Bitte warten ..
Mitglied: mcready
25.02.2009 um 17:38 Uhr
Nein, weder auf den Host noch auf die IP. Werde mich mal morgen mit dem Thema NAT genauer auseinandersetzen müssen. Das scheint in dem Fall auch laut google die wahrscheinlichste Fehlerquelle zu sein.
Andere Firewalls ist schön und recht. Aber ich habe nunmal die und Cheffe wird nicht erfreut sein, wenn ich komme und sage, daß ~350€ abzuschreiben sind, wir nehmen dafür aber ein Modell für 700€. Das alte Leid ...
Bitte warten ..
Mitglied: spacyfreak
25.02.2009 um 20:40 Uhr
no nat-control

Diese Translaton-Philosophie von PIX und ASA ist ein wahrer Albtraum wenn man nicht so oft damit zu tun hat, vor allem in Enterprise Umgebungen führt das gerne zu radikalem Haarausfall in der Hinterngegend, bis hin zur totalen Arsch-Glatze, vor allem wenn schon 500 Regeln existieren und man auf die Kommandozeile angewiesen ist.

Ansonsten hast du ja schon in deiner konkreten Config eine globale NAT-Regel drinne, die das interne Netz nach aussen nattet bzw. die internen privaten IPs werden auf die öffentliche ge"pat"tet (Port Address Translation). Die nat (inside) 1 Regel kannst du u. U. auch verfeinern, bzs. das Netz eintragen das du wirklich natten willst, da so eben ALLES interne genattet wird. Wenn das so recht ist ist es ja gut.
Ansonsten hilft diese Anleitung eventuell weiter, das Chaos zu kompletieren (cisco halt... )
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Bitte warten ..
Mitglied: spacyfreak
25.02.2009 um 20:51 Uhr
show xlate
show conn

gugg dir mal die show befehle an mit

show ?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...