Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA5505 Zweites internes Netz auf selbem Interface erreichen, möglich?

Frage Netzwerke

Mitglied: mcgiga

mcgiga (Level 1) - Jetzt verbinden

31.05.2011, aktualisiert 18.10.2012, 4732 Aufrufe, 10 Kommentare

Hallo,

folgendes Problem stellt sich mir: es wird eine Cisco ASA5505 (security plus) eingesetzt. Auf Ethernet0/1 ist ein kleiner Switch angeschlossen. An diesem Switch hängt ein Endgerät im Netz 192.168.1.0 sowie ein weiteres Endgerät im Netz 192.168.2.0. Dem Switchport Ethernet0/1 ist als IP die 192.168.1.1 zugeordnet. Via VPN ist es problemlos möglich das Endgerät mit der 192.168.1.201 anzupingen. Das eigentliche Problem besteht darin, dass ich im Netz 192.168.2.0 keine Endgeräte erreichen kann. Selbst von der ASA ist dies über Ping nicht möglich.
Ist es technisch überhaupt möglich das 192.168.2.0-Netz über das selbe Interface Ethernet0/1 erreichbar zu machen?

Alternativ könnte ich auf Ethernet0/2 das 192.168.2.0-Netz einrichten und den Port ebenfalls mit dem vorhandenen Switch verbinden. Dann sollte von der ASA ein Endgerät im 192.168.2.0-Netz erreichbar sein, oder? Wie schaut es dann mit dem VPN Zugang aus, wie gelange ich in das 192.168.2.0-Netz, statt wie bisher in das 192.168.1.0-Netz?

mfg
mcgiga

Nachtrag: c3745ce666b46680199165363b637693 - Klicke auf das Bild, um es zu vergrößern

Eine Skizze zur Veranschaulichung, kein Cisco-komformer Netzwerkplan
Mitglied: Clijsters
31.05.2011 um 22:38 Uhr
Hallo zurück,

Um von dem 2er Netz das 1er Netz zu erreichen brauchst du einen Router, der im gleichen Subnet hängt.
Wenn die Subnets nicht physikalisch getrennt sin, was ja eder Fall ist, wenn ich das richtig interpretiere, genügt ein Routing-Eintrag auf dem Client, der dem Client sagt, dass er keinen Router braucht, um das andere Netz zuerreichen.

Auf Windows-Systemen gibt es den Route Add Befehl.
Die Syntax von Route zeigt dir die Commandline.
Ein Beispiel:
Route ADD 192.168.2.0 MASK 255.255.255.0 [IP des lokalen Rechners]
Das musst du probieren, sicher bin ich mir ehrlich gesagt nicht...

Gruß
Dominique
Bitte warten ..
Mitglied: mcgiga
31.05.2011 um 22:56 Uhr
Die zwei Endgeräte sind keine PCs, es handelt sich dabei um Steuerungscontroller. Sinn und Zweck soll es sein, die zwei Controller, jeder in einem eigenen Netz, über VPN zu erreichen. Jedoch klappt dies momentan nur mit dem 1.0-Netz. VPN an sich habe ich erst mal ausgeklammert, da ich das Ziel, also den Controller im 2.0-Netz, bisher auch nicht von der ASA aus erreichen kann.

Ich habe mal eine kleine Skizze zum Problem oben angefügt...
Bitte warten ..
Mitglied: Clijsters
31.05.2011 um 23:29 Uhr
Für die ASA gilt aber das Selbe.
Roter oder Routing-Eintrag. Die Einträge sehen (zumindest vom Inhalt) so aus, wie oben beschrieben.

Das ist nunmal (der fast einzige) Sinn eines Routers

UND: (aber da habe ich zu wenig Ahnung con SASs) vielleicht muss das Netz "freigegebn" werden? wirds vlt. noch zusätzlich geblockt?

Oder: ganz stumpf: Subnetzmaske anstelle von 255.255.255.0 machst du 255.255.0.0, wobei die Netze dann logisch betrachtet im selben Subnet sind...

Wenn die Subnetmask der VPN-Clients das aber trotzdem trennt (vorrausgesetzt sie sind (unwarscheinlicherweise) in den benannten 1er und 2er Netzen), kann Netz1 auch nur den Controller der diesem Netz zugeordnet ist ansprechen, bzw. andersherum.

Hoffe, das sind ein paar nützliche anreize


Gruß
Dominique
Bitte warten ..
Mitglied: mcgiga
31.05.2011 um 23:35 Uhr
Eine statische Route (192.168.2.0 mask 255.255.255.0 192.168.1.1) in der ASA bringt keine Veränderung. VPN-Benutzer1 erhält intern z.B. 192.168.1.11 und erreicht somit 192.168.1.201. VPN-Benutzer2 erhält intern z.B. 192.168.2.100, kann jedoch keine Endgeräte in diesem Netz erreichen.

Der Realtime Log Viewer bringt auch keine weiteren Erkenntnisse...
Bitte warten ..
Mitglied: Clijsters
31.05.2011 um 23:53 Uhr
Wie sieht es mit der Config der Controller aus?
brauchen die u.U. eine Route, um zu antworten?

Was macht die VPN-Konfiguration?
kannst du diese posten?
um was für VPN-Vlients handelt es sich?
Bitte warten ..
Mitglied: mcgiga
01.06.2011 um 00:02 Uhr
Die Controller lassen sich in Bezug auf Routen nicht konfigurieren.

Die VPN Konfiguration auf 192.168.1.0 funktioniert. Der Benutzer für 192.168.2.0 unterscheidet sich nur in der ihm zugewiesenen IP Adresse, welchem im 2.0-Netz liegt.
Es handelt sich um den Cisco VPN Client.
Ich denke jedoch, dass der VPN Zugang so lange nicht für 2.0 klappen wird, wie auch die Cisco selber die Endgeräte im 2.0-Netz nicht erreichen kann.

Unter Umständen ist es technisch auch nicht möglich an einem Interface Ethernet0/1 zwei Subnetze über einen Switch zu betreiben. Prinzipiell könnte ich dies über ein zweites VLAN realisieren auf Ethernet0/2. Jedoch stellt sich mir vorab die Frage, wie das Netz reagiert, wenn Ethernet0/1 und Ethernet0/2 beide mit dem Switch verbunden werden. Kommt es dann zu Kollisionen, da es kein Layer3 Switch ist?
Bitte warten ..
Mitglied: Yali0n
01.06.2011 um 09:01 Uhr
Guten Morgen!

Um das ganze Sauber zu machen, sollte die GW-IP des 192.168.1.x/24 als auch die 192.168.2.x/24 auf der ASA realisiert werden.

Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch benötigt wird.

Prinzipiell können auch beide separaten Nics auf einen unmanaged Switch wie oben beschrieben, rein technisch funktioniert dass auch - ist halt nicht schön und sollte wenn überhaupt nur temporär realisiert werden ...


Gruß
Yali0n
Bitte warten ..
Mitglied: aqui
01.06.2011, aktualisiert 18.10.2012
das kann man so nicht lösen, denn der Switch müsste ein Layer 3 Routing Switch sein der beide Netzwerke routen kann. Damit ist das dann ein Kinderspiel.
Alternativ kannst du das über VLAN und/oder einen externen Router lösen, das klappt dann auch.
So sähe sowas aus:

84013f9bdde799d7a8339228ce937318 - Klicke auf das Bild, um es zu vergrößern

Oder eben mit VLANs
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

(P.S.:Was bitte soll ein "Cisco-konformer" Plan sein ? Netzwerk Pläne sind niemals zu einem Hersteller konform...vergiss das ganz schnell ! )
Bitte warten ..
Mitglied: mcgiga
01.06.2011 um 14:22 Uhr
Zitat von Yali0n:

Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch
benötigt wird.

Die Variante mit Ethernet0/1 und Ethernet0/2 werde ich nachher über einen unmanaged Switch testen.

@aqui: "Cisco-konformer" Plan... dahinter stand ein Smiley... ironie an/aus
Bitte warten ..
Mitglied: aqui
01.06.2011, aktualisiert 18.10.2012
Ooops, hat ich doch glatt übersehen
Zu den 2 NIC Lösungen findest du hier noch weitere Infos:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
bzw. VLAN:
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
Allerdings macht dich ein kleiner 30 Euro Router wie der Mikrotik 750 unabhängig von PC Endgeräten oder Server mit 2 NICs. Damit fährst du also letztlich flexibler.
VLAN tagged Links supportet der Mikrotik ebenfalls ! Siehe obiges Tutorial.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Konfiguration Cisco ASA5505
Frage von YannoschRouter & Routing7 Kommentare

Guten Tag zusammen, bin gerade dabei eine Cisco ASA5505 für den Heimgebrauch zu konfigurieren. Möchte auch ein VPN mit ...

Firewall
Cisco ASA5505 das letzte Problem.
gelöst Frage von YannoschFirewall9 Kommentare

Hallo zusammen, ich hoffe ihr hattet ein schönes WE. Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft ...

LAN, WAN, Wireless
SiteToSiteVPN PaloAlto und Cisco ASA5505
Frage von YannoschLAN, WAN, Wireless5 Kommentare

Hallo zusammen, folgende Konstellation: Standort 1: Palo Alto PA-200 Firewall mit End-to-Site Client-VPN Verbindung mit Global Protect Agent Davor: ...

DSL, VDSL
Cisco ASA5505 und VOIP
Frage von JoeJoeDSL, VDSL2 Kommentare

Hallo, wie bekannt stellt die Telekom stellt demnächst von Mehrgeräteanschluss auf VOIP um. Das "alte" Sytem mit ASA5505 mit ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...