Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

CISCO ASA 5505 hinter einer Fritzbox 7390

Frage Netzwerke DSL, VDSL

Mitglied: gmeurb

gmeurb (Level 1) - Jetzt verbinden

10.04.2014, aktualisiert 11.04.2014, 5123 Aufrufe, 10 Kommentare, 1 Danke

Hallo,

ich habe mal eine Frage zu obigem Thema.

Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom alten Provider im Weltnetz, hat unter anderem mit der IP des alten Providers eine VPN-Verbindung an unseren Hauptstandort

Neue Situation: Neuer Provider mit FritzBox 7390 und automatisch gezogener Konfiguration des Providers. Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.

Settings für den Internetzugang: "Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" sind neben den Speedeinstellungen und meinen Zugangsdaten angehackt

Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.

Mal davon abgesehen, dass ich diese Fritzbox eigentlich nicht will, dass Teil aber laut Provider zwingend erforderlich ist, wie baue ich denn einen neuen Tunnel über die Cisco ASA auf? Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?

Danke und Gruß
Gmeurb

Mitglied: aqui
LÖSUNG 10.04.2014, aktualisiert 11.04.2014
Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.
Username Passwort des PPPoE Dialins und per PPPoE dann das übliche IP Adresse, Maske, Gateway, DNS
Die automatische Konfig Übermittlung ist aus Sicherheitsgünden ein absolutes NoGo für Firmennetze, denn damit hat der Provider vollen Zugriff auf den Router und die Daten die dadrüber laufen. Das solltest du also schnellstens im Setup abschalten und den Provider anrufen damit der dir deine Login Daten übermittelt !
und meinen Zugangsdaten angehackt
Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?
Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.
Ja, das ist richtig ! Was du dann machst ist eine sog. Router Kaskade. Aus technischer Sicht ist das erheblich kontraproduktiv, denn nun machst du 2mal NAT (Adress Translation) was immer sehr negativ auf die Durchsatzperformance gesehen ist.
Zudem holt man sich dort zusätzliche Schwierigkeiten mit an Bord wenn man dann mit doppeltem Port Forwarding arbeiten muss was für dich zwingend ist, denn du willst ja sicher das die ASA weiterhin den VPN Tunnel bedient. Der kann aber das NAT der vorliegenden FB nicht überwinden ohne PFW.
Erheblich sinnvoller ist es die FB in den nur Modem betrieb zu schalten im Setup und sie nur als reines Modem an der ASA zu betreiben.
Damit entledigst du dich all dieser Probleme, musst die ASA nur umklemmen und die neuen Zugangsdaten eingeben und gut iss !
Die FB ist nicht zwingend erforderlich ! Ein Aberglaube mit dem die Provider unwissenden Kunden einen Zwangsrouter aufdrücken wollen um ihn zu gängeln !
Vergiss den Unsinn und frage nach den Zugangsdaten die rücken alle Provider nach Rückfrage raus auch wenn man etwas "lauter" werden muss. Damit kannst du dann jegliche andere Hardware vom Markt auch einsetzen !
Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?
Generell ja aber... Da die FB selber auch IPsec VPNs kann blockt sie diese Daten. Du musst also IPsec dort deaktivieren und die IPSec Ports UDP 500, UDP 4500 und ESP Protokoll an die ASA IP forwarden !
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 08:31 Uhr
Zitat von aqui:

Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In
der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?

Nun mach Dich mal nicht so über meine Grammatik her!

Also die beschriebenen Einstellungen sind alle auf der FritzBox so eingestellt! Wie gesagt, dass Teil hat sich diese Settings auch selbst gezogen und unter den Zugansdaten sind diese Einstellungen so vorgegeben, nebst meinen Logindaten und den Verbindungseinstellungen für Up- und Downstream! Das ist nun einmal so!
Ich habe die Zugangsdaten bekommen, also werde ich die ASA entsprechend anpassen und die gagelige FritzBox hoffentlich rausschmeissen können.
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 16:43 Uhr
hat sich diese Settings auch selbst gezogen
Ja das machen "Zwangsrouter" Provider gerne und nennt sich TR-069
http://de.wikipedia.org/wiki/TR-069
Das solltest du bei einem Firmenaccount aber in jedem Falle zwingend abschalten, denn der Provider hat so vollen Zugriff auf den Router und die Daten die darüber gehen. Du wirst hier also quasi entmündigt bei der Hoheit über das System !
Der Provider rückt in der Regel auch die Zugangsdaten raus bzw. hat das aufgrund deines Vertrages auch zu machen !
Relevant sind einzig nur die Login Daten ! Ansonsten ist DSL mässig nichts weiter einzustellen, denn das ist globaler Standard.
Da du die Zugangsdaten ja hast ist ja alles gut und du kannst die FB dann beruhigt entsorgen oder zum Verstauben ins Lager stellen.
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 10:05 Uhr
Also, die Fritzbox ist laut Provider nur eine Übergangslösung, da soll final für Businesskunden ein Cisco-Switch (Layer 1) hin. Der Provider benötigt zu Zwecken der Fehleranalyse angeblich ein Endgerät beim Kunden, deswegen der zusätzliche Switch. Mal schauen wann der kommt.
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 16:42 Uhr
zu Zwecken der Fehleranalyse angeblich ein Endgerät
Ha ha ha.... Ein Schelm wer Böses dabei denkt in Zeiten von NSA ! Für eine Firma untragbar.
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 12:43 Uhr
Der Provider hängt ja irgendwo immer irgendwo direkt in deinem Datenverkehr. Da spielt es sicherlich keine Rolle wo die da was sitzen haben.

Und ich habe ne Cisco-Hardware als Firewall, da mache ich mir um NSA ohnehin keine Gedanken mehr!
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert um 16:42 Uhr
Aber nicht auf dem CPE Device was in deiner Hoheit liegt. Das wäre identisch so als wenn du ihm das Admin Passwort für die ASA gibst. Machst du ja auch nicht.
Thema ist ja eh erledigt wenn die FB verschwindet...
Bitte warten ..
Mitglied: gmeurb
11.04.2014 um 16:44 Uhr
Da ahst Du Recht und für den Fall das der Provider irgendwie zu dämlich ist und die FritzBox bleibt, werde ich sicherlich mit Deinen Tipps etwas anfangen können!

Nochmals Danke!
Bitte warten ..
Mitglied: j.ilse
05.05.2014 um 18:03 Uhr
Ein Switch zur "Fehleranalyse" (besser formuliert waere gewesen "zur Ueberwachung, ob die Leitung verfuegbar ist") klingt logisch. Ohne ein solches (vom Provider gemanagetes) Geraet ist es dem Provider nicht moeglich, die Verfuegbarkeit wirklich sinnvoll zu ueberwachen (und bei Vertraegen, bei denen die Mindestverfuegbarkeit Teil des Vertrags ist, muss der Provider die Moeglichkeit haben, dass zu ueberwachen, Businessvertraege haben i.d.R. solche Klauseln drin). Die Ueberwachung der Leitungsverfuegbarkeit darf nicht von einem ggfs. vom Kunden verkonfigurierten Geraet abhaengen, also setzt der Provider einen Switch dazwischen, den er selbst ueberwachen kann und den der Kunde nicht umkonfigurieren kann. Der Uebergabepunkt fuer die Leitung ist dann der Ethernet-Port am Switch. So ungewoehnlich ist das wirklich nicht.
Bitte warten ..
Mitglied: aqui
06.05.2014 um 09:02 Uhr
Richtig, deshalb hat man ja immer hinter so einem Provider Equipment eigene Gerätschaften die einem die Hoheit über seine transportierten Daten wieder zurückgeben.
Im Privatbereich sieht diese Sache aber ganz anders aus...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Problem - Router cisco 2821 hinter Fritzbox mit WLAN (23)

Frage von Cyberurmel zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Ubiquiti Unifi APs an Fritzbox 7390 (8)

Frage von Tapira zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...