Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einrichtung einer Cisco ASA 5505 mit Dual ISP, PPPoE und PAT, Einrichtungsprobleme

Frage Netzwerke Router & Routing

Mitglied: 71818

71818 (Level 1)

12.11.2008, aktualisiert 18.11.2008, 18408 Aufrufe, 8 Kommentare

Hallo zusammen,

im Bereich Cisco bin ich recht neu und habe mir die letzten Tage versucht selbst zu Helfen, komme aber stellenweise nicht weiter.

Geplant ist eine Konfiguration mit

2 x ISP (16Mbit / Telekom / Statische IP / T-Com Modem)
1 x Internes Netzwerk (Class C 192.168.1.0 / 255.255.255.0)

Weiterleiten diverser Ports von außen nach innen(Später)
Verteilen verschiedener Dienste auf verschiedene DSL-Zugänge (Später)
VPN (Software-Client - Internet - ASA5505 - Internes Netzwerk, Später)



Die neuste ASA und ASDM-Version habe ich bereits eingespielt.

Unten stehend meine Konfiguration.

Warum kann ich vom Client aus keine Seiten öffnen? Was habe ich übersehen, was sollte ich noch bedenken?

Ist das Routing so überhaupt richtig?

Vielen Dank für eure Hilfe, Haferflocke



show running-config
Saved
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123132132 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Ethernet0/0
description WAN2
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin

ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 194.25.0.125
name-server 195.244.245.27

access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
pager lines 24

logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1500
mtu wan1 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 132.123.123.123
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute

dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0

vpdn group isp request dialout pppoe
vpdn group isp localname feste-ip4/123456789@t-online-com.de
vpdn group isp ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd address 192.168.1.6-192.168.1.254 inside
!

threat-detection basic-threat
threat-detection statistics access-list

class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end

ciscoasa(config)#
Mitglied: aqui
12.11.2008 um 15:32 Uhr
Bei dir fehlt das NAT outside kommando so das vermutlich gar kein NAT gemacht wird. Ferner sind die MTU Werte für die WAN/DSL Interface falsch, denn die dürfen wegen der Encapsulation nicht größer als 1492 max sein.
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...

Funktioniert die PPPoE Verbindung bzw. hast du mit "show int" mal gecheckt ob du eine IP per PPPoE bekommen hast also ob deine DSL Verbindung grundsätzlich funktioniert ??

Beispiele dazu findest du hier:

http://www.cisco.com/en/US/docs/security/asa/asa81/config/guide/pppoe.h ...
Bitte warten ..
Mitglied: 71818
12.11.2008 um 16:03 Uhr
Hallo aqui,

vielen Dank für den Hinweis mit dem MTU-Wert, ich habe das sofort geändert.

Die fehlende NAT-Regel habe ich hinzugefügt.

Die aktuelle "sho ru" sieht so aus:


ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 195.244.245.27
dns-group t-com_dns_server
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 80.*.*.*
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
route wan2 0.0.0.0 0.0.0.0 80.*.*.* 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/123456789@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
<--- More --->

inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end

ciscoasa(config)#


Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.

Eine Traceroute schlägt hingegen fehl.

Die IP auf WAN2 (erstmal zum Test, WAN1 kommt zum Schluß) wird über DHCP vom ISP vergeben. In der NAT Regel habe ich diese aber statisch eingetragen.

Ich habe die Firewall erstmal komplett geöffnet, eine Idee was ich falsch mache, scheint als verstehe ich die Grundsätze nicht ganz.
Bitte warten ..
Mitglied: aqui
12.11.2008 um 16:06 Uhr
"...Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.." ;

Was bedeutet das ??
Du kannst mit dem Packet Tracer z.B. mal
www.heise.de
pingen im Internet ??

Auf traceroute würd ich nicht viel geben, denn viele ISPs blocken ICMP Pakete auf Userports.

Wenn du www.heise.de pingen kannst funktioniert doch alles... ???!
Bitte warten ..
Mitglied: 71818
12.11.2008 um 16:55 Uhr
Hallo Aqui,

der Packet-Tracer bestätigt mir, dass es "theoretisch geht" und das simulierte Paket von Inside nach WAN2 durch NAT und ACL kommt.


"Traceroute" gibt hingegen aus "No route to host" aus, wobei doch der DNS korrekt eingetragen ist, oder?

Ein Ping von der ASA WAN2 zu einer externen IP-Adresse funktioniert!

Trotz der neuen MTU-Werte geht es nicht.
Bitte warten ..
Mitglied: aqui
13.11.2008 um 11:54 Uhr
"..wobei doch der DNS korrekt eingetragen ist, oder?.." ;

Trotzdem ist es besser erstmal mit
nackte n IPs zu pingen oder tracerouten um DNS Problemen aus dem Weg zu gehen.

Dein Fehler wird sein das das NAT/PAT nicht richtig rennt.

Cisco hat eine Menge an sinnvollen debug Kommandos. Du solltest z.B. einem
debug ip NAT
usw. usw. ausführen um zu sehen wo es kneift !
Bitte warten ..
Mitglied: 71818
13.11.2008 um 13:48 Uhr
Hallo Aqui,

vielen Dank für Deine Hilfe. Langsam werde ich etwas sicherer im Umgang mit der ASA.
Das NAT/PAT Problem ist gelöst. Die Nat-Regel war nicht sauber eingestellt.

Jetzt ist nur noch ein kleines Problem, die DNS-Namen werden nicht von der ASA aufgelöst. Gebe ich im Notebook (internes netzwerk)einen externen DNS-Server (Internet) an funktionert das auflösen reibungslos.
Auch der Traffic geht korrekt durch.

Normalerweise beziehen sich die Clients von einem DCHP-Server die DNS-Adresse eines AD-Servers welcher an den Router weiterleitet, der wiederrum sollte einen externen DNS-Server ansprechen.

Hier bin ich allerdings noch ein wenig am rätseln. Siehst Du eine Fehlkonfiguration in der Config unterhalb? Ich probiere weiterhin und poste sobald ich selbst etwas gefunden habe. Ich habe bereits ein paar T-Com DNS-Server ausprobiert, wie gesagt, in den Clients eingetragen funktionieren sie, in der ASA leider nicht.


Saved
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.70 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group DefaultDNS
name-server 194.25.2.129
domain-name default
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (wan2) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 dns
access-group inside_access_in in interface inside control-plane
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/12345689@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456
: end
asdm image disk0:/asdm-602.bin
no asdm history enable
Bitte warten ..
Mitglied: aqui
13.11.2008 um 16:21 Uhr
Die ASA ist kein DNS Server noch kann sie m.E. DNS Proxy spielen !
Du musst also in deinen lokalen DNS Server eine Weiterleitung auf einen DNS Server bei deinem ISP einstellen und NICHT auf die ASA !
Bitte warten ..
Mitglied: 71818
18.11.2008 um 12:05 Uhr
Danke Aqui,

mit etwas Geduld und den lesen der Tutorials von Cisco habe ich es dann geschaft.

Auf dem AD-Server habe ich die DNS-Server der Telekom eingetragen welche an via DHCP an die Clients gegeben werden.

Gruß

Haferflocke
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco ASA 5505 - SDSL Anschluss ohne PPPOE
gelöst Frage von MaddoxFirewall7 Kommentare

Hallo zusammen, ich stehe vor einem Rätsel und versuche es aktuell erstmal prophylaktisch zu klären. Wir beliefern einen Neukunden ...

DSL, VDSL
CISCO ASA 5505 hinter einer Fritzbox 7390
gelöst Frage von gmeurbDSL, VDSL10 Kommentare

Hallo, ich habe mal eine Frage zu obigem Thema. Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom ...

Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

LAN, WAN, Wireless
CISCO ASA 5505 hinter FRITZ.Box betreiben
gelöst Frage von TobiasNYCLAN, WAN, Wireless2 Kommentare

Ich bin gerade dabei eine ASA 5505 für den Betrieb hinter einer FRITZ.Box 7390 zu konfigurieren. Die ASA Ist ...

Neue Wissensbeiträge
DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 2 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 6 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...