Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco ASA 5505 - kein VPN von INTERN nach EXTERN möglich

Frage Sicherheit Firewall

Mitglied: Maddox

Maddox (Level 1) - Jetzt verbinden

06.10.2010 um 13:30 Uhr, 7303 Aufrufe, 9 Kommentare

Hallo zusammen,

ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....

nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!

Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!


Kann mir evtl. jemand weiter helfen?

Vielen Dank!
Mitglied: brammer
06.10.2010 um 13:42 Uhr
Hallo,

wie wäre es mal mit einer hier geposteten anonymisierten Configuration ?

brammer
Bitte warten ..
Mitglied: Philipp711
06.10.2010 um 13:46 Uhr
Hi,

Wie schon im Post von "brammer" beschrieben wäre eine Config nicht schlecht....dann kann dir sicherlich weitergeholfen werden
Bitte warten ..
Mitglied: Maddox
06.10.2010 um 14:13 Uhr
wie lese ich am schnellsten die Config aus? Via Telnet finde ich nichts...
Bitte warten ..
Mitglied: aqui
06.10.2010 um 14:21 Uhr
"show conf" oder "write term" das weiss doch mittlerweile jeder !
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Bitte warten ..
Mitglied: Maddox
06.10.2010 um 14:38 Uhr
Ganz ruhig mein lieber

GRE ist auch frei gegeben....

ICh versuche mal die COnfig rauszukitzeln... aber danke für die helfenden Worte, ist immer schön, wenn mans besser weiss!
Bitte warten ..
Mitglied: Maddox
06.10.2010 um 14:55 Uhr
Also...im Anhang die Konfig.
ICh bin neu im Thema Firewalling und bedanke mich schonmal bei allen, die sich die Mühe machen, sich das mal durchzulesen!
Es ist momentan noch ne kleine Microsoft Testumegbung!


name 192.168.51.2 DC
name 192.168.51.3 EX
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.51.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object icmp
protocol-object icmp6
access-list outside_access_in extended permit
access-list outside_access_in extended permit
any 192.168.51.0 255.255.255.0
access-list outside_access_in extended permit
access-list inside_access_in extended permit i
access-list inside_access_in extended permit g
access-list inside_access_in extended permit i

access-list inside_access_in extended permit t
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm location 0.0.0.0 255.255.255.255 inside
asdm location DC 255.255.255.255 inside
asdm location EX 255.255.255.255 inside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp interface 443 EX 4
static (inside,outside) tcp interface https EX
static (inside,outside) tcp interface www EX w
static (inside,outside) udp interface 1723 DC
static (inside,outside) tcp interface pptp DC
static (inside,outside) tcp interface 47 DC 47
access-group inside_access_in in interface ins
access-group outside_access_in in interface ou
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:
timeout sip 0:30:00 sip_media 0:02:00 sip-invi
timeout sip-provisional-media 0:02:00 uauth 0:
http server enable
http 192.168.51.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication l
telnet timeout 5
ssh timeout 5
console timeout 0
Bitte warten ..
Mitglied: aqui
07.10.2010 um 14:30 Uhr
Mmmhhh, oben schreibst du das du GRE freigegebne hast !! Sieht man sich deine Konfig an stimmt das aber nicht denn du hast TCP 47 freigegeben. (static (inside,outside) tcp interface 47 DC 47)
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!
Bitte warten ..
Mitglied: brammer
07.10.2010 um 15:28 Uhr
Hallo,

access-list outside_access_in extended permit gre any host C.C.C.C

sowas benötigst du.

brammer
Bitte warten ..
Mitglied: Maddox
07.10.2010 um 17:08 Uhr
Also...

wer auch immer da jetzt unruhig war ist ja jetzt egal


PROBLEM SOLVED!!!!

Add PPTP inspection to the default policy-map using the default class-map.

pixfirewall(config)#policy-map global_policy

pixfirewall(config-pmap)#class inspection_default

pixfirewall(config-pmap-c)#inspect pptp


Wenn man die Zeilen über Telnet abschießt dann läufts ohne Probleme....

Danke für eure Hilfe
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

Netzwerke
Verbindung mit VPN-Verbindung nicht möglich (2)

Frage von Don-Santo zum Thema Netzwerke ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...