Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA 5510 mehrere externe IP-Adressen und identische Ports

Frage Sicherheit Firewall

Mitglied: Dracoform

Dracoform (Level 1) - Jetzt verbinden

14.12.2012 um 12:22 Uhr, 3368 Aufrufe, 10 Kommentare

Hallo und vorweihnachtliche Grüße!

Ich habe das Glück(?) eine ASA mit einer recht kniffligen Konfiguration versehen zu dürfen.

Die Vorgabe ist folgende:

Die ASA stellt über entpsrechendes statisches Portforwarding die Verbindung zu einem Exchangeserver her (Ports 25 und 443 auf Ethernet0/1). Dies läuft über das normale outside interface mit einer externen IP Adresse (Ethernet0/0) und funktioniert wunderbar.

Ebenfalls über die ASA soll das VPN realisiert werden (WebVPN, bzw. AnyConnect). Anlaufpunkt hier soll bzw. muss eine zweite externe IP sein, damit sich die SSL Ports nicht gegenseitig stören.
Bei dem Versuch dem zusätzlichen VPNInterface auf Ethernet0/2 eine entsprechende Adresse zuzuweisen, meckert jedoch die ASA "ERROR: This address conflicts with interface Ethernet0/0
"

Gibt es hier eine art Standardlösung ohne eine 2. ASA aufbauen zu müssen?


Grüße,

Frank


Mitglied: wiesi200
14.12.2012 um 12:31 Uhr
Hallo,

normal hat man ja eine IP Range vom Provider. Und das läuft alles über über ein Interface. Oder hast du 2 DSL Anschlüsse?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 12:32 Uhr
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in der Regel für die "Public Servers" stehen.

D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.

Gruß
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 12:39 Uhr
So was ist jetzt ne 'Haupt' IP?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 13:01 Uhr
Hi,
ja, evtl. nen bisschen blöde ausgedrückt. Damit meinte ich die IP, die das outside-Interface hat.

Gruß
Bitte warten ..
Mitglied: Dracoform
14.12.2012 um 13:02 Uhr
Zitat von killtec:
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in
der Regel für die "Public Servers" stehen.

D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.

Ich wollte unserem Exchange ned wirklich eine eigene öffentliche IP geben ;) Das der hinter der ASA steht is schon gut so.

Ich habe vorhin gelernt, dann man das webvpn auch über 444 laufen lassen könnte, was zwar nicht wirklich das ursprüngliche Problem löst, aber zumindest ein quick fix wäre, wenn der Rest der Konfiguration funktioniert ;)
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 13:09 Uhr
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder mehrere Anschlüsse mit einer IP?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 13:27 Uhr
Hi,
wenn du aber schon per Port 25 und 443 von außen auf den Exchange zugreifst hat er ja über die ASA schon eine öffenltiche IP. Intern bleibt sowieso die private IP.

Gruß
Bitte warten ..
Mitglied: Dracoform
14.12.2012 um 13:45 Uhr
Zitat von wiesi200:
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder
mehrere Anschlüsse mit einer IP?

Von Provider haben wir eine Range bekommen. Sagen wir einfach mal 5.5.5.60 bis 5.5.5.80.
Das "normale" outside interface der asa ist historisch die 5.5.5.71 und ist für die weiterleitung des OWA Clients und die zustellung der Emails vom Provider zuständig.
die 5.5.5.70 war für das VPN gedacht.
Sollte nun anstelle von https://5.5.5.70 jemand https:/5.5.5.71:444 eintippen müssen um das webvpn zu starten ist dies nicht der Weltuntergang nur wäre es "sauber" natürlich schöner.

Grüße,


Frank
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 14:49 Uhr
Also dann würde ich das ganze so machen, wenn du's wirklich sauber haben willst.

Das mit dem zweiten Interface lassen.
Dann clientless VPN einschalten, das geht normal auf die Interface IP.
Jetzt Port 443 und 80 auf Interface Outside mit der IP einer der anderen IP adressen, am besten auf einen Reverse Proxy, in einer DMZ leiten. Hierzu eignet sich eine Anleitung hier von Dani recht gut.
Jetzt bei deinem Domain Hoster eine Subdomain z.b. home und vpn erstellen und den A-Record auf die Weitergeleitete IP setzen.
Dann noch bei StartSSL ein öffentliches Zertifikat beantragen (kostenlos) und das bei dem Reverse Proxy hinterlegen.

jetzt kannst du dein VPN mit https://vpn.domain.de aufrufen
OWA mit http://home.domain.de oder https:/home.domain.de und du kriegst beim OWA keinen Zertifikatsfehler.
Bitte warten ..
Mitglied: Dracoform
21.12.2012 um 12:23 Uhr
Herzlichen Danke für deine Ideen!
Leider kam ich erst heute dazu diese zu testen.
Ich habe allerdings an einer Stelle ein Verständnisproblem, bzw. mein VPN client
Wenn ich Ports 443 und 80 vom outside Interface weiterleite und dann ebenfalls mittels des Cisco Anyconnect gedönsrats versuche eine VPN Verbindung aufzubauen (ziel ist natürlich ebenfalls die Outside interface adresse, möchte er mir immer das Zertifikat des Exchangeservers anbieten, was natürlich schiefgehen muss.

Mittels

webvpn
port 444
enable outside

in der config versuche ich die Doppelbelegung zu umgehen, jedoch bekomme ich hier (wenn auch kein ExchangeZertifikat) auch über diesen Port keine Verbindung hin.

Habe ich ein Verständnisproblem oder hattest du etwas vorausgesetzt in der config was ich in meiner Unkenntnis einfach erfolgreich ignoriert habe?

Danke


Vorweihnachtliche Grüße,


Frank
Bitte warten ..
Ähnliche Inhalte
Firewall
Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen
Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

Firewall
Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA
gelöst Frage von tweishaarFirewall3 Kommentare

Hallo zusammen, folgendes Szenario: -> auf der Remote Site (Standort Office) wurde der ISP gewechselt -> nun habe ich ...

Windows Netzwerk
Mehrere Server mit einer externen IP Adresse
Frage von technikdealerWindows Netzwerk7 Kommentare

Hay Ihr. Ich hab da mal wieder ne Frage. Ich habe ein Exchange, ein Remotegateway und ein Sharepoint. Alle ...

MikroTik RouterOS
MikroTik und externe IP Adressen
gelöst Frage von Chris2272MikroTik RouterOS4 Kommentare

Hallo ;) Ich hab da eine große Bitte bzw. Frage an euch. Wir haben jetzt in der Firma eine ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 51 MinutenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...