Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einrichtung einer Cisco ASA 5505 mit Dual ISP, PPPoE und PAT, Einrichtungsprobleme

Frage Netzwerke Router & Routing

Mitglied: 71818

71818 (Level 1)

12.11.2008, aktualisiert 18.11.2008, 15661 Aufrufe, 8 Kommentare

Hallo zusammen,

im Bereich Cisco bin ich recht neu und habe mir die letzten Tage versucht selbst zu Helfen, komme aber stellenweise nicht weiter.

Geplant ist eine Konfiguration mit

2 x ISP (16Mbit / Telekom / Statische IP / T-Com Modem)
1 x Internes Netzwerk (Class C 192.168.1.0 / 255.255.255.0)

Weiterleiten diverser Ports von außen nach innen(Später)
Verteilen verschiedener Dienste auf verschiedene DSL-Zugänge (Später)
VPN (Software-Client - Internet - ASA5505 - Internes Netzwerk, Später)



Die neuste ASA und ASDM-Version habe ich bereits eingespielt.

Unten stehend meine Konfiguration.

Warum kann ich vom Client aus keine Seiten öffnen? Was habe ich übersehen, was sollte ich noch bedenken?

Ist das Routing so überhaupt richtig?

Vielen Dank für eure Hilfe, Haferflocke



show running-config
Saved
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123132132 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp
ip address pppoe
!
interface Ethernet0/0
description WAN2
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin

ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 194.25.0.125
name-server 195.244.245.27

access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list 100 extended permit tcp 192.168.1.0 255.255.255.0 any eq ftp
pager lines 24

logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1500
mtu wan1 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 132.123.123.123
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute

dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0

vpdn group isp request dialout pppoe
vpdn group isp localname feste-ip4/123456789@t-online-com.de
vpdn group isp ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd address 192.168.1.6-192.168.1.254 inside
!

threat-detection basic-threat
threat-detection statistics access-list

class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end

ciscoasa(config)#
Mitglied: aqui
12.11.2008 um 15:32 Uhr
Bei dir fehlt das NAT outside kommando so das vermutlich gar kein NAT gemacht wird. Ferner sind die MTU Werte für die WAN/DSL Interface falsch, denn die dürfen wegen der Encapsulation nicht größer als 1492 max sein.
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...

Funktioniert die PPPoE Verbindung bzw. hast du mit "show int" mal gecheckt ob du eine IP per PPPoE bekommen hast also ob deine DSL Verbindung grundsätzlich funktioniert ??

Beispiele dazu findest du hier:

http://www.cisco.com/en/US/docs/security/asa/asa81/config/guide/pppoe.h ...
Bitte warten ..
Mitglied: 71818
12.11.2008 um 16:03 Uhr
Hallo aqui,

vielen Dank für den Hinweis mit dem MTU-Wert, ich habe das sofort geändert.

Die fehlende NAT-Regel habe ich hinzugefügt.

Die aktuelle "sho ru" sieht so aus:


ASA Version 8.0(2)
!
hostname ciscoasa
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.5 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group t-com_dns_server
name-server 195.244.245.27
dns-group t-com_dns_server
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (wan2) 1 interface
global (wan2) 1 80.*.*.*
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 100 in interface inside
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
route wan2 0.0.0.0 0.0.0.0 80.*.*.* 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/123456789@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
<--- More --->

inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456789
: end

ciscoasa(config)#


Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.

Eine Traceroute schlägt hingegen fehl.

Die IP auf WAN2 (erstmal zum Test, WAN1 kommt zum Schluß) wird über DHCP vom ISP vergeben. In der NAT Regel habe ich diese aber statisch eingetragen.

Ich habe die Firewall erstmal komplett geöffnet, eine Idee was ich falsch mache, scheint als verstehe ich die Grundsätze nicht ganz.
Bitte warten ..
Mitglied: aqui
12.11.2008 um 16:06 Uhr
"...Mit dem Packet-Tracer bekomme ich eine Erfolgsmeldung.." ;

Was bedeutet das ??
Du kannst mit dem Packet Tracer z.B. mal
www.heise.de
pingen im Internet ??

Auf traceroute würd ich nicht viel geben, denn viele ISPs blocken ICMP Pakete auf Userports.

Wenn du www.heise.de pingen kannst funktioniert doch alles... ???!
Bitte warten ..
Mitglied: 71818
12.11.2008 um 16:55 Uhr
Hallo Aqui,

der Packet-Tracer bestätigt mir, dass es "theoretisch geht" und das simulierte Paket von Inside nach WAN2 durch NAT und ACL kommt.


"Traceroute" gibt hingegen aus "No route to host" aus, wobei doch der DNS korrekt eingetragen ist, oder?

Ein Ping von der ASA WAN2 zu einer externen IP-Adresse funktioniert!

Trotz der neuen MTU-Werte geht es nicht.
Bitte warten ..
Mitglied: aqui
13.11.2008 um 11:54 Uhr
"..wobei doch der DNS korrekt eingetragen ist, oder?.." ;

Trotzdem ist es besser erstmal mit
nackte n IPs zu pingen oder tracerouten um DNS Problemen aus dem Weg zu gehen.

Dein Fehler wird sein das das NAT/PAT nicht richtig rennt.

Cisco hat eine Menge an sinnvollen debug Kommandos. Du solltest z.B. einem
debug ip NAT
usw. usw. ausführen um zu sehen wo es kneift !
Bitte warten ..
Mitglied: 71818
13.11.2008 um 13:48 Uhr
Hallo Aqui,

vielen Dank für Deine Hilfe. Langsam werde ich etwas sicherer im Umgang mit der ASA.
Das NAT/PAT Problem ist gelöst. Die Nat-Regel war nicht sauber eingestellt.

Jetzt ist nur noch ein kleines Problem, die DNS-Namen werden nicht von der ASA aufgelöst. Gebe ich im Notebook (internes netzwerk)einen externen DNS-Server (Internet) an funktionert das auflösen reibungslos.
Auch der Traffic geht korrekt durch.

Normalerweise beziehen sich die Clients von einem DCHP-Server die DNS-Adresse eines AD-Servers welcher an den Router weiterleitet, der wiederrum sollte einen externen DNS-Server ansprechen.

Hier bin ich allerdings noch ein wenig am rätseln. Siehst Du eine Fehlkonfiguration in der Config unterhalb? Ich probiere weiterhin und poste sobald ich selbst etwas gefunden habe. Ich habe bereits ein paar T-Com DNS-Server ausprobiert, wie gesagt, in den Clients eingetragen funktionieren sie, in der ASA leider nicht.


Saved
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default
enable password 123456789 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.70 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif wan2
security-level 0
pppoe client vpdn group isp2
ip address pppoe setroute
ospf cost 10
!
interface Vlan12
nameif wan1
security-level 0
pppoe client vpdn group isp1
ip address pppoe setroute
ospf cost 10
!
interface Ethernet0/0
description WAN2 Zugang zu Telekom
switchport access vlan 12
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 123456789 encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup inside
dns domain-lookup wan2
dns server-group DefaultDNS
name-server 194.25.2.129
domain-name default
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list 100 extended permit ip any any
access-list wan2_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging buffered errors
logging asdm informational
mtu inside 1500
mtu wan2 1492
mtu wan1 1492
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
nat-control
global (wan2) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 dns
access-group inside_access_in in interface inside control-plane
access-group inside_access_out out interface inside
access-group wan2_access_in in interface wan2
access-group 100 out interface wan2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group isp2 request dialout pppoe
vpdn group isp2 localname feste-ip5/12345689@t-online-com.de
vpdn group isp2 ppp authentication pap
vpdn group isp1 request dialout pppoe
vpdn group isp1 localname feste-ip4/123456789@t-online-com.de
vpdn group isp1 ppp authentication pap
vpdn username feste-ip5/123456789@t-online-com.de password * store-local
vpdn username feste-ip4/123456789@t-online-com.de password * store-local
dhcpd auto_config wan2
!
dhcpd dns 195.244.245.27 interface inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:123456
: end
asdm image disk0:/asdm-602.bin
no asdm history enable
Bitte warten ..
Mitglied: aqui
13.11.2008 um 16:21 Uhr
Die ASA ist kein DNS Server noch kann sie m.E. DNS Proxy spielen !
Du musst also in deinen lokalen DNS Server eine Weiterleitung auf einen DNS Server bei deinem ISP einstellen und NICHT auf die ASA !
Bitte warten ..
Mitglied: 71818
18.11.2008 um 12:05 Uhr
Danke Aqui,

mit etwas Geduld und den lesen der Tutorials von Cisco habe ich es dann geschaft.

Auf dem AD-Server habe ich die DNS-Server der Telekom eingetragen welche an via DHCP an die Clients gegeben werden.

Gruß

Haferflocke
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...