Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA5505 Zweites internes Netz auf selbem Interface erreichen, möglich?

Frage Netzwerke

Mitglied: mcgiga

mcgiga (Level 1) - Jetzt verbinden

31.05.2011, aktualisiert 18.10.2012, 4582 Aufrufe, 10 Kommentare

Hallo,

folgendes Problem stellt sich mir: es wird eine Cisco ASA5505 (security plus) eingesetzt. Auf Ethernet0/1 ist ein kleiner Switch angeschlossen. An diesem Switch hängt ein Endgerät im Netz 192.168.1.0 sowie ein weiteres Endgerät im Netz 192.168.2.0. Dem Switchport Ethernet0/1 ist als IP die 192.168.1.1 zugeordnet. Via VPN ist es problemlos möglich das Endgerät mit der 192.168.1.201 anzupingen. Das eigentliche Problem besteht darin, dass ich im Netz 192.168.2.0 keine Endgeräte erreichen kann. Selbst von der ASA ist dies über Ping nicht möglich.
Ist es technisch überhaupt möglich das 192.168.2.0-Netz über das selbe Interface Ethernet0/1 erreichbar zu machen?

Alternativ könnte ich auf Ethernet0/2 das 192.168.2.0-Netz einrichten und den Port ebenfalls mit dem vorhandenen Switch verbinden. Dann sollte von der ASA ein Endgerät im 192.168.2.0-Netz erreichbar sein, oder? Wie schaut es dann mit dem VPN Zugang aus, wie gelange ich in das 192.168.2.0-Netz, statt wie bisher in das 192.168.1.0-Netz?

Mit freundlichen Grüßen
mcgiga

Nachtrag: c3745ce666b46680199165363b637693 - Klicke auf das Bild, um es zu vergrößern

Eine Skizze zur Veranschaulichung, kein Cisco-komformer Netzwerkplan
Mitglied: Clijsters
31.05.2011 um 22:38 Uhr
Hallo zurück,

Um von dem 2er Netz das 1er Netz zu erreichen brauchst du einen Router, der im gleichen Subnet hängt.
Wenn die Subnets nicht physikalisch getrennt sin, was ja eder Fall ist, wenn ich das richtig interpretiere, genügt ein Routing-Eintrag auf dem Client, der dem Client sagt, dass er keinen Router braucht, um das andere Netz zuerreichen.

Auf Windows-Systemen gibt es den Route Add Befehl.
Die Syntax von Route zeigt dir die Commandline.
Ein Beispiel:
Route ADD 192.168.2.0 MASK 255.255.255.0 [IP des lokalen Rechners]
Das musst du probieren, sicher bin ich mir ehrlich gesagt nicht...

Gruß
Dominique
Bitte warten ..
Mitglied: mcgiga
31.05.2011 um 22:56 Uhr
Die zwei Endgeräte sind keine PCs, es handelt sich dabei um Steuerungscontroller. Sinn und Zweck soll es sein, die zwei Controller, jeder in einem eigenen Netz, über VPN zu erreichen. Jedoch klappt dies momentan nur mit dem 1.0-Netz. VPN an sich habe ich erst mal ausgeklammert, da ich das Ziel, also den Controller im 2.0-Netz, bisher auch nicht von der ASA aus erreichen kann.

Ich habe mal eine kleine Skizze zum Problem oben angefügt...
Bitte warten ..
Mitglied: Clijsters
31.05.2011 um 23:29 Uhr
Für die ASA gilt aber das Selbe.
Roter oder Routing-Eintrag. Die Einträge sehen (zumindest vom Inhalt) so aus, wie oben beschrieben.

Das ist nunmal (der fast einzige) Sinn eines Routers

UND: (aber da habe ich zu wenig Ahnung con SASs) vielleicht muss das Netz "freigegebn" werden? wirds vlt. noch zusätzlich geblockt?

Oder: ganz stumpf: Subnetzmaske anstelle von 255.255.255.0 machst du 255.255.0.0, wobei die Netze dann logisch betrachtet im selben Subnet sind...

Wenn die Subnetmask der VPN-Clients das aber trotzdem trennt (vorrausgesetzt sie sind (unwarscheinlicherweise) in den benannten 1er und 2er Netzen), kann Netz1 auch nur den Controller der diesem Netz zugeordnet ist ansprechen, bzw. andersherum.

Hoffe, das sind ein paar nützliche anreize


Gruß
Dominique
Bitte warten ..
Mitglied: mcgiga
31.05.2011 um 23:35 Uhr
Eine statische Route (192.168.2.0 mask 255.255.255.0 192.168.1.1) in der ASA bringt keine Veränderung. VPN-Benutzer1 erhält intern z.B. 192.168.1.11 und erreicht somit 192.168.1.201. VPN-Benutzer2 erhält intern z.B. 192.168.2.100, kann jedoch keine Endgeräte in diesem Netz erreichen.

Der Realtime Log Viewer bringt auch keine weiteren Erkenntnisse...
Bitte warten ..
Mitglied: Clijsters
31.05.2011 um 23:53 Uhr
Wie sieht es mit der Config der Controller aus?
brauchen die u.U. eine Route, um zu antworten?

Was macht die VPN-Konfiguration?
kannst du diese posten?
um was für VPN-Vlients handelt es sich?
Bitte warten ..
Mitglied: mcgiga
01.06.2011 um 00:02 Uhr
Die Controller lassen sich in Bezug auf Routen nicht konfigurieren.

Die VPN Konfiguration auf 192.168.1.0 funktioniert. Der Benutzer für 192.168.2.0 unterscheidet sich nur in der ihm zugewiesenen IP Adresse, welchem im 2.0-Netz liegt.
Es handelt sich um den Cisco VPN Client.
Ich denke jedoch, dass der VPN Zugang so lange nicht für 2.0 klappen wird, wie auch die Cisco selber die Endgeräte im 2.0-Netz nicht erreichen kann.

Unter Umständen ist es technisch auch nicht möglich an einem Interface Ethernet0/1 zwei Subnetze über einen Switch zu betreiben. Prinzipiell könnte ich dies über ein zweites VLAN realisieren auf Ethernet0/2. Jedoch stellt sich mir vorab die Frage, wie das Netz reagiert, wenn Ethernet0/1 und Ethernet0/2 beide mit dem Switch verbunden werden. Kommt es dann zu Kollisionen, da es kein Layer3 Switch ist?
Bitte warten ..
Mitglied: Yali0n
01.06.2011 um 09:01 Uhr
Guten Morgen!

Um das ganze Sauber zu machen, sollte die GW-IP des 192.168.1.x/24 als auch die 192.168.2.x/24 auf der ASA realisiert werden.

Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch benötigt wird.

Prinzipiell können auch beide separaten Nics auf einen unmanaged Switch wie oben beschrieben, rein technisch funktioniert dass auch - ist halt nicht schön und sollte wenn überhaupt nur temporär realisiert werden ...


Gruß
Yali0n
Bitte warten ..
Mitglied: aqui
01.06.2011, aktualisiert 18.10.2012
das kann man so nicht lösen, denn der Switch müsste ein Layer 3 Routing Switch sein der beide Netzwerke routen kann. Damit ist das dann ein Kinderspiel.
Alternativ kannst du das über VLAN und/oder einen externen Router lösen, das klappt dann auch.
So sähe sowas aus:

84013f9bdde799d7a8339228ce937318 - Klicke auf das Bild, um es zu vergrößern

Oder eben mit VLANs
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

(P.S.:Was bitte soll ein "Cisco-konformer" Plan sein ? Netzwerk Pläne sind niemals zu einem Hersteller konform...vergiss das ganz schnell ! )
Bitte warten ..
Mitglied: mcgiga
01.06.2011 um 14:22 Uhr
Zitat von Yali0n:

Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch
benötigt wird.

Die Variante mit Ethernet0/1 und Ethernet0/2 werde ich nachher über einen unmanaged Switch testen.

@aqui: "Cisco-konformer" Plan... dahinter stand ein Smiley... ironie an/aus
Bitte warten ..
Mitglied: aqui
01.06.2011, aktualisiert 18.10.2012
Ooops, hat ich doch glatt übersehen
Zu den 2 NIC Lösungen findest du hier noch weitere Infos:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
bzw. VLAN:
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
Allerdings macht dich ein kleiner 30 Euro Router wie der Mikrotik 750 unabhängig von PC Endgeräten oder Server mit 2 NICs. Damit fährst du also letztlich flexibler.
VLAN tagged Links supportet der Mikrotik ebenfalls ! Siehe obiges Tutorial.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
Konfiguration Cisco ASA5505 (7)

Frage von Yannosch zum Thema Router & Routing ...

Router & Routing
gelöst FritzBox VPN nur für internes Netz nutzen (15)

Frage von aif-get zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...