Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Probleme ASA 5505 Internet Access

Frage Netzwerke Router & Routing

Mitglied: underline

underline (Level 1) - Jetzt verbinden

16.08.2008, aktualisiert 21.08.2008, 6280 Aufrufe, 7 Kommentare

Wir haben mehrere Geschäftstellen mit Cisco ASA 5505. Alle haben das selbe Problem, wenn das Security Gateway eine ASA 5510 in der Hauptgeschäftsstelle ausfällt, besteht bei keiner ASA 5505 ein HTTP Access.
Skype und andere Dienste funktionieren aber weiter einwandfrei. Anbei eine Beispielkonfiguration von einer Geschäftsstellen ASA 5505.
01.
: Saved 
02.
03.
ASA Version 7.2(3)  
04.
05.
hostname ciscoasa 
06.
domain-name default.domain.invalid 
07.
enable password password 
08.
names 
09.
10.
interface Vlan1 
11.
 nameif inside 
12.
 security-level 100 
13.
 ip address 10.50.6.1 255.255.255.0  
14.
15.
interface Vlan2 
16.
 nameif outside 
17.
 security-level 0 
18.
 ip address "ISP IP" 255.255.255.224  
19.
20.
interface Ethernet0/0 
21.
 switchport access vlan 2 
22.
23.
interface Ethernet0/1 
24.
25.
interface Ethernet0/2 
26.
27.
interface Ethernet0/3 
28.
29.
interface Ethernet0/4 
30.
31.
interface Ethernet0/5 
32.
33.
interface Ethernet0/6 
34.
35.
interface Ethernet0/7 
36.
37.
passwd password encrypted 
38.
ftp mode passive 
39.
dns server-group DefaultDNS 
40.
 domain-name default.domain.invalid 
41.
access-list outside_20_cryptomap extended permit ip 10.50.6.0 255.255.255.0 10.10.0.0 255.255.0.0  
42.
access-list outside_20_cryptomap extended permit ip 10.50.6.0 255.255.255.0 192.168.1.0 255.255.255.0  
43.
access-list outside_20_cryptomap extended permit ip 10.50.6.0 255.255.255.0 10.0.0.0 255.255.0.0  
44.
access-list inside_nat0_outbound extended permit ip 10.50.6.0 255.255.255.0 10.10.0.0 255.255.0.0  
45.
access-list inside_nat0_outbound extended permit ip 10.50.6.0 255.255.255.0 192.168.1.0 255.255.255.0  
46.
access-list inside_nat0_outbound extended permit ip 10.50.6.0 255.255.255.0 10.0.0.0 255.255.0.0  
47.
pager lines 24 
48.
logging asdm informational 
49.
mtu inside 1500 
50.
mtu outside 1500 
51.
icmp unreachable rate-limit 1 burst-size 1 
52.
asdm image disk0:/asdm-523.bin 
53.
no asdm history enable 
54.
arp timeout 14400 
55.
global (outside) 1 interface 
56.
nat (inside) 0 access-list inside_nat0_outbound 
57.
nat (inside) 1 0.0.0.0 0.0.0.0 
58.
route outside 0.0.0.0 0.0.0.0 "ISP Gateway" 1 
59.
timeout xlate 3:00:00 
60.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
61.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
62.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
63.
timeout uauth 0:05:00 absolute 
64.
http server enable 
65.
http 10.10.0.2 255.255.255.255 outside 
66.
http 10.50.6.0 255.255.255.0 inside 
67.
http redirect inside 80 
68.
http redirect outside 80 
69.
no snmp-server location 
70.
no snmp-server contact 
71.
snmp-server enable traps snmp authentication linkup linkdown coldstart 
72.
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
73.
crypto map outside_map 20 match address outside_20_cryptomap 
74.
crypto map outside_map 20 set pfs  
75.
crypto map outside_map 20 set peer "ASA 5510 IP"  
76.
crypto map outside_map 20 set transform-set ESP-3DES-SHA 
77.
crypto map outside_map interface outside 
78.
crypto isakmp enable outside 
79.
crypto isakmp policy 10 
80.
 authentication pre-share 
81.
 encryption 3des 
82.
 hash sha 
83.
 group 2 
84.
 lifetime 86400 
85.
telnet timeout 5 
86.
ssh timeout 5 
87.
console timeout 0 
88.
dhcpd auto_config outside 
89.
90.
dhcpd address 10.50.6.2-10.50.6.33 inside 
91.
dhcpd dns 10.10.0.10 10.10.0.20 interface inside 
92.
dhcpd wins 10.10.0.10 interface inside 
93.
dhcpd domain xyz.xyz interface inside 
94.
dhcpd enable inside 
95.
96.
dhcpd dns ISP DNS SERVER interface outside 
97.
98.
 
99.
100.
class-map inspection_default 
101.
 match default-inspection-traffic 
102.
103.
104.
policy-map type inspect dns preset_dns_map 
105.
 parameters 
106.
  message-length maximum 512 
107.
policy-map global_policy 
108.
 class inspection_default 
109.
  inspect dns preset_dns_map  
110.
  inspect ftp  
111.
  inspect h323 h225  
112.
  inspect h323 ras  
113.
  inspect rsh  
114.
  inspect rtsp  
115.
  inspect esmtp  
116.
  inspect sqlnet  
117.
  inspect skinny  
118.
  inspect sunrpc  
119.
  inspect xdmcp  
120.
  inspect sip  
121.
  inspect netbios  
122.
  inspect tftp  
123.
124.
service-policy global_policy global 
125.
tunnel-group "ASA 5510 IP" type ipsec-l2l 
126.
tunnel-group "ASA 5510 IP" ipsec-attributes 
127.
 pre-shared-key * 
128.
prompt hostname context  
129.
Cryptochecksum:e1179a3c94ef77fba926cc57f021f8a3 
130.
: end 
131.
asdm image disk0:/asdm-523.bin 
132.
no asdm history enable
Ich bin am verzweifeln ... bitte um Hilfe
Mitglied: spacyfreak
16.08.2008 um 11:27 Uhr
Eine Möglichkeit (Spekulation):

Die Clients in der niederlassung benutzen einen http proxy, der in der zentrale angesiedelt ist.
Wenn das Gateway ausfällt bricht der Tunnel weg, und der Proxy ist nicht erreichbar.

Grübel.
Bitte warten ..
Mitglied: underline
16.08.2008 um 11:35 Uhr
Nein, die Niederlassungen benutzen keinen Proxy. Das komische ist ja, das Skype usw noch funktionieren. Nur http funktioniert nicht mehr.
Bitte warten ..
Mitglied: spacyfreak
16.08.2008 um 11:41 Uhr
An der config erkenn ich nix ungewöhnliches auf den ersten blick.
Wie wärs mit policy-tracer, debug usw? Grübel grübel..
Bitte warten ..
Mitglied: underline
16.08.2008 um 12:01 Uhr
Kann es eventuell an den DNS Servern "inside" liegen ?

Da wenn ja unsere interen DNS Server 10.10.0.10 u. 10.10.0.20 nicht verfügbar sind, wenn das Security Gateway ausfällt, löst ja kein DNS Server mehr auf.
Hab ja die externen DNS Server am "Outside" konfiguriert.

Bloss so ne Idee ...
Bitte warten ..
Mitglied: spacyfreak
16.08.2008 um 14:07 Uhr
Guter Ansatz mit dem DNS.
kannst ja mal probieren per ip adresse ne webseite an´zusteuern.
Wenns klappt auch wenn das gw weg ist dann liegts sicher am dns.
Bitte warten ..
Mitglied: underline
17.08.2008 um 19:21 Uhr
Werde ich gleich morgen mal testen lassen. Danke erstmal
Bitte warten ..
Mitglied: underline
21.08.2008 um 20:07 Uhr
Ja, es waren die DNS Server für das Inside Interface. Habe nun einen ISP DNS und einen Internen DNS Server eingetragen und siehe da, jetzt funktioniert es wie es soll.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Switche und Hubs
gelöst Heftige Probleme mit dem Internet (7)

Frage von TECrew zum Thema Switche und Hubs ...

Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

Netzwerkgrundlagen
PFSense kein Internet Zugang (3)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Batch & Shell
CMD cURL Access Token parsen (2)

Frage von maddig zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...