Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

CISCO ASA 5510 Routingproblem

Frage Netzwerke Router & Routing

Mitglied: Irrfahrer

Irrfahrer (Level 1) - Jetzt verbinden

03.05.2010 um 16:28 Uhr, 7831 Aufrufe, 11 Kommentare

Guten Tag,
ich habe nun schon einige Zeit im Internet recherchiert, aber keine Antwort auf meine Frage gefunden.
Nun hoffe ich, dass es hier einen Spezialisten gibt, welcher mir helfen kann.

Guten Tag,

folgende Ausgangskonfiguration:

Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.

Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?
Mitglied: aqui
03.05.2010 um 16:35 Uhr
Ja, klar...sonst wärs ja kein Cisco

Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Bitte warten ..
Mitglied: Irrfahrer
03.05.2010 um 16:46 Uhr
Vielen Dank für die schnelle Antwort. Ich glaube ich habe mich zu ungenau ausgedrückt, sorry. Vielleicht sollte ich es anders beschreiben. Ich habe im LAN(Inside) bei den Clients die ASA als Standardgateway eingetragen und möchte das die ASA die IP 192.168.0.0 255.255.0.0 nach Outside weiterschickt und alle übrigen IP an einen anderen Router im LAN.
Bitte warten ..
Mitglied: aqui
03.05.2010 um 16:58 Uhr
OK, auch das ist im Handumdrehen in 2 Minuten eingerichtet:

ip route 192.168.0.0 255.255.0.0 <gateway_ip_im_outside segment>
ip route 0.0.0.0 0.0.0.0 <ip_anderer_Router_im_LAN>

Fertisch...
Bitte warten ..
Mitglied: Irrfahrer
03.05.2010 um 17:05 Uhr
Ich werde das heute Abend mal testen. Vielen Dank.
Bitte warten ..
Mitglied: aqui
03.05.2010 um 17:42 Uhr
Immer gerne wieder....

Wenns funktioniert bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: Irrfahrer
06.05.2010 um 11:12 Uhr
Hat nicht funktioniert., wobei ich vermute, dass es an der vorhandenen Konfigurations des Cisco und/oder meinem Basiswissen Cisco liegt. Ich habe für nächste Woche einen Cisco-Spezi bestellt.
Bitte warten ..
Mitglied: aqui
06.05.2010 um 22:18 Uhr
Mmmhhh..wenn du mal ein "show ip route" gepostet hättest hättest du dir den Sezi sparen können
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Bitte warten ..
Mitglied: Irrfahrer
07.05.2010 um 08:30 Uhr
Guten Morgen Aqui,

schön das Du nicht an mir verzweifelst .

Ein sh route ergibt das:

C Lan 255.255.255.0 is directly connected, inside
S 212.227.15.183 255.255.255.255 [1/0] via Testrouter, inside
C CC-Outside 255.255.255.248 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via <externe IP>, outside

Ich habe hier als Test die SMTP-IP von 1&1 genommen, unsere externe IP habe ich durch <externe IP> ersetzt. Tracertroute und Ping funktionieren auf der ASA mit der IP 212.227.15.183, soll heissen, die Pakete werden über den Testrouter geschickt. Wenn ich von einer IP im LAN eine ping auf die 212.227.15.183 mache, dann steht im Log der ASA, dass der Ping geblockt wurde, weil keine acl-inside dafür vorhanden ist. Habe schon verschiedene acl-inside probiert, hat aber alles nichts gebracht. Wahrscheinlich gehe ich dort falsch an die Sache heran ?!
Bitte warten ..
Mitglied: aqui
07.05.2010 um 21:18 Uhr
Ja, vermutlich ! Generell ist deine Router richtig, zum Test reicht ertsmal diese Hostroute.
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)

permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255

Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183

Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
Bitte warten ..
Mitglied: nooneelsebutme
10.05.2010 um 11:24 Uhr
Hallo,

sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.

Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.

Gruß

EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :

same-security-traffic permit intra-interface

Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.

Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.
Bitte warten ..
Mitglied: Irrfahrer
10.05.2010 um 16:26 Uhr
Hallo,

es hat endlich funktioniert.

"same-security-traffic permit intra-interface " war eingetragen, hatte ich aber in meinem Eingangsposting bereits erwähnt .

Ein besonderer Dank an Aqui, der sich die ganzen Tage mit mir rumgeschlagen hat. Habe es nach Deinen Hinweisen immer weiter eingegrenzt, zum Schluss hat noch ein NAT exempt auf die externe IP gefehlt und dann funktionierte es wunderbar.

Viele Grüße
Irrfahrer
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA (3)

Frage von tweishaar zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...