14
Routing Problem ASA5510
Hallo alle zusammen, wir haben eine ASA5510. Jetzt haben wir statische Routen eingerichtet.
CoreSwitche Netzwerk mit VLAN 10,20 …. Daran ist die ASA5510 angeschlossen mit einer IP-Adresse (Port Ethernet 0/0) 29.140.1.4 und der VPN-Client ist mir der IP 192.168.1.1 konfiguriert – STATISCHE IP. Auf den CoreSwitchen ist die statische Route eingestellt "route 192.168.1.1 255.255.255.0 29.140.1.4". In der ASA wird der ganze Verkehr mit 29.0.0.0 an das Gateway 29.140.1.1 (Virtuelles VLAN Gateway der Coreswitche) geschickt.
Pingen von der ASA ins Netz kann ich. Aber nicht vom Client ins Netzwerk. Weiß einer was auf der ASA eingestellt werden muss??
VPN-Client --DSL---- SHDSL----ASA5510----Coreswitch1&Coreswitch2
Vielen Dank für die Hilfe
CoreSwitche Netzwerk mit VLAN 10,20 …. Daran ist die ASA5510 angeschlossen mit einer IP-Adresse (Port Ethernet 0/0) 29.140.1.4 und der VPN-Client ist mir der IP 192.168.1.1 konfiguriert – STATISCHE IP. Auf den CoreSwitchen ist die statische Route eingestellt "route 192.168.1.1 255.255.255.0 29.140.1.4". In der ASA wird der ganze Verkehr mit 29.0.0.0 an das Gateway 29.140.1.1 (Virtuelles VLAN Gateway der Coreswitche) geschickt.
Pingen von der ASA ins Netz kann ich. Aber nicht vom Client ins Netzwerk. Weiß einer was auf der ASA eingestellt werden muss??
VPN-Client --DSL---- SHDSL----ASA5510----Coreswitch1&Coreswitch2
Vielen Dank für die Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 54442
Url: https://administrator.de/contentid/54442
Printed on: April 19, 2024 at 00:04 o'clock
14 Comments
Latest comment
Hallo,
der Route-Eintrag ist fehlerhaft -> "route 192.168.1.1 255.255.255.0 29.140.1.4"
Die Subnetmask ist für ein Class C - Netzwerk und wird mit Subnetzbeginn
definiert werden -> "route 192.168.1.0 255.255.255.0 29.140.1.4"
-
Glaube aber das hier nur Host-routing gewünscht ist und deshalb
muss der Eintrag im router wie folgt definiert werden
"route 192.168.1.1 255.255.255.255 29.140.1.4"
!!! Vor der Korrektur muss der fehlerhafte Eintrag entfernt werden.
Gruß
Reinhard
der Route-Eintrag ist fehlerhaft -> "route 192.168.1.1 255.255.255.0 29.140.1.4"
Die Subnetmask ist für ein Class C - Netzwerk und wird mit Subnetzbeginn
definiert werden -> "route 192.168.1.0 255.255.255.0 29.140.1.4"
-
Glaube aber das hier nur Host-routing gewünscht ist und deshalb
muss der Eintrag im router wie folgt definiert werden
"route 192.168.1.1 255.255.255.255 29.140.1.4"
!!! Vor der Korrektur muss der fehlerhafte Eintrag entfernt werden.
Gruß
Reinhard
Danke erstmal, route 192.168.1.0 255.255.255.0 29.140.1.4 hab ich eingetragen. Leider noch kein Erfolg noch eine Idee?? Routing?
Danke erstmal, route 192.168.1.0 255.255.255.0 29.140.1.4 hab ich eingetragen. Leider noch kein Erfolg noch eine Idee?? Routing?
Danke erstmal, route 192.168.1.0 255.255.255.0 29.140.1.4 hab ich eingetragen. Leider noch kein Erfolg noch eine Idee?? Routing?
Sind die UDP-Ports für ping im ASA freigeschalten (policy)?
Ist NAT / PAT konfiguriert oder ist ein Interface (inside, outside) mit ACLs gesichert?
Diagnose: Vom VPN-Client mit tracert ip-addr bzw. pathping ip-addr und auch
vom Intranet-Netzwerk in Richtung VPN-Client durchführen.
Gruß
Reinhard
Ist NAT / PAT konfiguriert oder ist ein Interface (inside, outside) mit ACLs gesichert?
Diagnose: Vom VPN-Client mit tracert ip-addr bzw. pathping ip-addr und auch
vom Intranet-Netzwerk in Richtung VPN-Client durchführen.
Gruß
Reinhard
In den Punkten NAT/PAT und Security Policy sind noch die Standardeinstellungen drin.
In den Security Policy sind alle Schnittstellen:
Schnittstelle -------- Source - Destination - Service - Action
SHDSL --------------- ANY ---- ANY ------------ IP -------- DENY
zum internen Netz --- ANY ----- ANY ------ ---- IP ------ - DENY
ETC...
Ist das Standartmäßig alles blockiert? Ein Kollege meinte das Standartmäßig alles freigeschaltet ist.
NAT brauche ich soweit ich weiß nicht, da die IP ja direkt im Netz ist über die ASA5510. Oder sehe ich das falsch?
In den Security Policy sind alle Schnittstellen:
Schnittstelle -------- Source - Destination - Service - Action
SHDSL --------------- ANY ---- ANY ------------ IP -------- DENY
zum internen Netz --- ANY ----- ANY ------ ---- IP ------ - DENY
ETC...
Ist das Standartmäßig alles blockiert? Ein Kollege meinte das Standartmäßig alles freigeschaltet ist.
NAT brauche ich soweit ich weiß nicht, da die IP ja direkt im Netz ist über die ASA5510. Oder sehe ich das falsch?
Bei Action ist die Policy auf DENY (verweigern) gesetzt - jeglicher Datenverkehr wird
blockiert.
Frage zum VPN-Client: Wie ist das Routing definiert ( Standard gateway)
blockiert.
Frage zum VPN-Client: Wie ist das Routing definiert ( Standard gateway)
Im nachfolgendem Link sind einige Info's zur PIX/ASA
http://www.cisco.com/en/US/customer/products/ps6120/products_configurat ...
http://www.cisco.com/en/US/customer/products/ps6120/products_configurat ...
Sorry, das war der falsche Link.
Nachfolgend der Link euch weiter helfen wird.
http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/products ...
Nachfolgend der Link euch weiter helfen wird.
http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/products ...
Leider ist das Problem noch nicht gelöst
Leider ist das Problem noch nicht gelöst
Mit dem Packettracer (in der ASA ASDM blockt der immer) wenn ich einen IP test mache.
Hab zwar alles (IP, ICMP..) auf any any es geht aber immer noch nicht.
Für die Nutzung bzw den Zugang braucht man ein Account.
Hab zwar alles (IP, ICMP..) auf any any es geht aber immer noch nicht.
Für die Nutzung bzw den Zugang braucht man ein Account.
Mit dem Packettracer (in der ASA ASDM blockt der immer) wenn ich einen IP test mache.
Hab zwar alles (IP, ICMP..) auf any any es geht aber immer noch nicht.
Für die Nutzung bzw den Zugang braucht man ein Account.
Als Gateway steht die IP-Adresse vom Client selbst drin. Ist wohl normal!?
Hab zwar alles (IP, ICMP..) auf any any es geht aber immer noch nicht.
Für die Nutzung bzw den Zugang braucht man ein Account.
Als Gateway steht die IP-Adresse vom Client selbst drin. Ist wohl normal!?
Ich würde die beiden pdf-Files per mail übermitteln
reinhard.gangl@t-online.de
reinhard.gangl@t-online.de
