Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA 5510 mehrere externe IP-Adressen und identische Ports

Frage Sicherheit Firewall

Mitglied: Dracoform

Dracoform (Level 1) - Jetzt verbinden

14.12.2012 um 12:22 Uhr, 3242 Aufrufe, 10 Kommentare

Hallo und vorweihnachtliche Grüße!

Ich habe das Glück(?) eine ASA mit einer recht kniffligen Konfiguration versehen zu dürfen.

Die Vorgabe ist folgende:

Die ASA stellt über entpsrechendes statisches Portforwarding die Verbindung zu einem Exchangeserver her (Ports 25 und 443 auf Ethernet0/1). Dies läuft über das normale outside interface mit einer externen IP Adresse (Ethernet0/0) und funktioniert wunderbar.

Ebenfalls über die ASA soll das VPN realisiert werden (WebVPN, bzw. AnyConnect). Anlaufpunkt hier soll bzw. muss eine zweite externe IP sein, damit sich die SSL Ports nicht gegenseitig stören.
Bei dem Versuch dem zusätzlichen VPNInterface auf Ethernet0/2 eine entsprechende Adresse zuzuweisen, meckert jedoch die ASA "ERROR: This address conflicts with interface Ethernet0/0
"

Gibt es hier eine art Standardlösung ohne eine 2. ASA aufbauen zu müssen?


Grüße,

Frank


Mitglied: wiesi200
14.12.2012 um 12:31 Uhr
Hallo,

normal hat man ja eine IP Range vom Provider. Und das läuft alles über über ein Interface. Oder hast du 2 DSL Anschlüsse?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 12:32 Uhr
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in der Regel für die "Public Servers" stehen.

D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.

Gruß
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 12:39 Uhr
So was ist jetzt ne 'Haupt' IP?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 13:01 Uhr
Hi,
ja, evtl. nen bisschen blöde ausgedrückt. Damit meinte ich die IP, die das outside-Interface hat.

Gruß
Bitte warten ..
Mitglied: Dracoform
14.12.2012 um 13:02 Uhr
Zitat von killtec:
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in
der Regel für die "Public Servers" stehen.

D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.

Ich wollte unserem Exchange ned wirklich eine eigene öffentliche IP geben ;) Das der hinter der ASA steht is schon gut so.

Ich habe vorhin gelernt, dann man das webvpn auch über 444 laufen lassen könnte, was zwar nicht wirklich das ursprüngliche Problem löst, aber zumindest ein quick fix wäre, wenn der Rest der Konfiguration funktioniert ;)
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 13:09 Uhr
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder mehrere Anschlüsse mit einer IP?
Bitte warten ..
Mitglied: killtec
14.12.2012 um 13:27 Uhr
Hi,
wenn du aber schon per Port 25 und 443 von außen auf den Exchange zugreifst hat er ja über die ASA schon eine öffenltiche IP. Intern bleibt sowieso die private IP.

Gruß
Bitte warten ..
Mitglied: Dracoform
14.12.2012 um 13:45 Uhr
Zitat von wiesi200:
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder
mehrere Anschlüsse mit einer IP?

Von Provider haben wir eine Range bekommen. Sagen wir einfach mal 5.5.5.60 bis 5.5.5.80.
Das "normale" outside interface der asa ist historisch die 5.5.5.71 und ist für die weiterleitung des OWA Clients und die zustellung der Emails vom Provider zuständig.
die 5.5.5.70 war für das VPN gedacht.
Sollte nun anstelle von https://5.5.5.70 jemand https:/5.5.5.71:444 eintippen müssen um das webvpn zu starten ist dies nicht der Weltuntergang nur wäre es "sauber" natürlich schöner.

Grüße,


Frank
Bitte warten ..
Mitglied: wiesi200
14.12.2012 um 14:49 Uhr
Also dann würde ich das ganze so machen, wenn du's wirklich sauber haben willst.

Das mit dem zweiten Interface lassen.
Dann clientless VPN einschalten, das geht normal auf die Interface IP.
Jetzt Port 443 und 80 auf Interface Outside mit der IP einer der anderen IP adressen, am besten auf einen Reverse Proxy, in einer DMZ leiten. Hierzu eignet sich eine Anleitung hier von Dani recht gut.
Jetzt bei deinem Domain Hoster eine Subdomain z.b. home und vpn erstellen und den A-Record auf die Weitergeleitete IP setzen.
Dann noch bei StartSSL ein öffentliches Zertifikat beantragen (kostenlos) und das bei dem Reverse Proxy hinterlegen.

jetzt kannst du dein VPN mit https://vpn.domain.de aufrufen
OWA mit http://home.domain.de oder https:/home.domain.de und du kriegst beim OWA keinen Zertifikatsfehler.
Bitte warten ..
Mitglied: Dracoform
21.12.2012 um 12:23 Uhr
Herzlichen Danke für deine Ideen!
Leider kam ich erst heute dazu diese zu testen.
Ich habe allerdings an einer Stelle ein Verständnisproblem, bzw. mein VPN client
Wenn ich Ports 443 und 80 vom outside Interface weiterleite und dann ebenfalls mittels des Cisco Anyconnect gedönsrats versuche eine VPN Verbindung aufzubauen (ziel ist natürlich ebenfalls die Outside interface adresse, möchte er mir immer das Zertifikat des Exchangeservers anbieten, was natürlich schiefgehen muss.

Mittels

webvpn
port 444
enable outside

in der config versuche ich die Doppelbelegung zu umgehen, jedoch bekomme ich hier (wenn auch kein ExchangeZertifikat) auch über diesen Port keine Verbindung hin.

Habe ich ein Verständnisproblem oder hattest du etwas vorausgesetzt in der config was ich in meiner Unkenntnis einfach erfolgreich ignoriert habe?

Danke


Vorweihnachtliche Grüße,


Frank
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Zwei verschiedene Externe IP Adressen über ein Netzwerk? (8)

Frage von aif-get zum Thema Router & Routing ...

Firewall
gelöst Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA (3)

Frage von tweishaar zum Thema Firewall ...

Batch & Shell
gelöst Batch um mehrere IP-Adressen via Ping auf Erreichbarkeit zu prüfen (5)

Frage von Galindiesel zum Thema Batch & Shell ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...