Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing Problem bei IPSec VPN mit Cisco ASA 5510

Frage Netzwerke Netzwerkgrundlagen

Mitglied: keksdieb

keksdieb (Level 1) - Jetzt verbinden

01.12.2012 um 10:50 Uhr, 2799 Aufrufe, 4 Kommentare

Moin moin zusammen,

Bin mal wieder beim Cisco Selbststudium und habe stehe direkt vor einem Problem mit der ASA 5510 (Ver. 8.4)

Die Einrichtung hat soweit ganz gut geklappt, allerdings muss ich mich erstmal ans ADSM gewöhnen.

Ich habe die grundlegenden Einstellungen gemacht (ohne den Install Wizard) und kann auch ins Internet.
Ich habe einen Remote Access IPSec VPN einrichten, der auch soweit funktioniert.
Die Anmeldung per Cisco VPN Client geht reibungslos, allerdings ist danach Schluss...

das interne Netz erreiche ich nicht, weil ich keine Route eingerichtet habe, das ist mir bewusst :o) ...

Nur hänge ich genau an dem Punkt:

Richte ich jetzt eine Route vom outside Interface ins Netzwerk ein oder vom VPN Netzwerk zum Internen Netzwerk?
Und welche IP ist das Gateway zum anderen Netzwerk...

Gleiches Beispiel auf einem Router (natürlich ohne VPN) bekomme ich umgesetzt.

Diese Network-Objects kannte ich vorher gar nicht und kann mich auch noch nicht so recht damit anfreunden...
Aber anscheinend sind genau diese Network-Objects das Problem...

Im FAQ auf der Cisco Seite habe ich rumgestöbert, finde aber nur Anleitungen und Erklärungen zur alten Version (8.3) genauso wie in meinem Fachbuch. Aber es hat sich zwischen den Versionen 8.3 und 8.4 einiges geändert,so das die Beispiele nicht umsetzbar sind.

Eventuell habt ihr ja ein Tipp für mich zum Thema oder könnt mir den Sinn und Zweck der Network-Objects erklären...

Vielen Dank

Gruß Keksdieb
Mitglied: transocean
01.12.2012 um 11:26 Uhr
Moin Keksdieb,

ich sitze hier auch gerade an einer neuen ASA 5505 und verzweifle an dem Teil. Ich bekomme einfach keine Verbindung vom Inside-Netzwerk ins Internet. Kannst Du mir verraten, wie Du die Internetverbindung der ASA hinbekommen hast?

Gruß

Uwe
Bitte warten ..
Mitglied: killtec
01.12.2012 um 11:34 Uhr
Hi,
zur ASA 5505 -> Per Default lässt die alles durch. Wichtig: zur Grundeinrichtung keinen Wizard nehmen!
Wegen der ASA5510 schaue ich am Montag in der Fa. mal nach, wir haben beide Produkte im Einsatz.
Was ich sagen kann ist. Du musst die Firewallregeln auf jeden Fall anpassen.

Gruß
Bitte warten ..
Mitglied: keksdieb
01.12.2012 um 12:29 Uhr
moin transocean,

die default route (0.0.0.0) muss auf dein outside interface zeigen.
Jedenfalls ist es bei der 5510 so ;)

Danach brauchst du noch NAT Regeln und Access Listen und es läuft...

Den Wizard sollte man nicht nutzen, da dieses Tool zwar alle Einstellungen macht, aber unter Umständen Einträge in "Eigenregie" durchführt, die später andere Probleme verursachen und dann als Neuling nicht mehr nachvollziehbar sind.
Bitte warten ..
Mitglied: keksdieb
03.12.2012 um 08:41 Uhr
So, das Wochenende ist in der ASA verbraucht und ich bin etwas schlauer

Für diejenigen, die es Wissen wollen:

die Network Objects dienen meiner Erkenntnis nach der Übersichtlichkeit.
Durch die Objects kann man mehrere Dienste / Host / Netzwerke an eine ACL und / oder NAT Regel binden.

Macht man es nach dem alten Schema, müsste man für jeden Dienst / Host / Server eine eigene Regel erstellen und einbinden.
Die Network-Objects (und auch die Gruppen) sollen die Konfiguration also vereinfachen und übersichtlicher gestalten.

Des weiteren ist das Security-Level entscheidend, den per se blockt die ASA jeden Traffic vom Interface mit dem kleineren Security-Level.
Bedeutet wenn das Outside-Interface das Level 0 und das Inside-Interface hat das Level 100 hat, kann Inside mit Outside kommunizieren, andersrum wird es allerdings ohne entsprechende ACL nichts.

Die Einrichtung des Remote-Access-VPN hat wie oben geschrieben auch geklappt. Allerdings funktioniert die Verbindung vom VPN Netzwerk zum Internen Netzwerk nicht. Eine ACL mit entsprechender ACE hab ich eingerichtet um den Traffic auf das interne Netz zu erlauben.

Hier mal die CFG der Testumgebung:
01.
: Saved 
02.
03.
ASA Version 8.4(2)  
04.
05.
hostname ASA5510 
06.
domain-name cisco.com 
07.
enable password ORBaOm/L1e3Kp2CQ encrypted 
08.
passwd duUn305d7xUiZ3RI encrypted 
09.
names 
10.
11.
interface Ethernet0/0 
12.
 nameif outside-int 
13.
 security-level 0 
14.
 ip address 89.246.248.147 255.255.255.248  
15.
16.
interface Ethernet0/1 
17.
 nameif inside-company 
18.
 security-level 100 
19.
 ip address 192.168.0.98 255.255.255.0  
20.
21.
interface Ethernet0/2 
22.
 nameif inside-dmz 
23.
 security-level 100 
24.
 ip address 10.42.201.1 255.255.255.0  
25.
26.
interface Ethernet0/3 
27.
 shutdown 
28.
 no nameif 
29.
 no security-level 
30.
 no ip address 
31.
32.
interface Management0/0 
33.
 nameif management 
34.
 security-level 100 
35.
 ip address 192.168.1.1 255.255.255.0  
36.
 management-only 
37.
38.
ftp mode passive 
39.
dns server-group DefaultDNS 
40.
 domain-name cisco.com 
41.
object network Network_Obj_vpn 
42.
 subnet 10.42.203.0 255.255.255.0 
43.
 description Netzwerk fŸr VPN 
44.
access-list 101 standard permit 192.168.0.0 255.255.255.0  
45.
pager lines 24 
46.
logging enable 
47.
logging asdm informational 
48.
mtu outside-int 1500 
49.
mtu inside-company 1500 
50.
mtu inside-customer 1500 
51.
mtu management 1500 
52.
ip local pool Test 10.42.203.51-10.42.203.60 mask 255.255.255.0 
53.
icmp unreachable rate-limit 1 burst-size 1 
54.
no asdm history enable 
55.
arp timeout 14400 
56.
nat (inside-company,outside-int) source static any any destination static Network_Obj_vpn Network_Obj_vpn no-proxy-arp route-lookup 
57.
58.
object network Network_Obj_vpn 
59.
 nat (any,outside-int) dynamic interface 
60.
route outside-int 0.0.0.0 0.0.0.0 89.246.248.145 1 
61.
timeout xlate 3:00:00 
62.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
63.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
64.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
65.
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute 
66.
timeout tcp-proxy-reassembly 0:01:00 
67.
timeout floating-conn 0:00:00 
68.
dynamic-access-policy-record DfltAccessPolicy 
69.
user-identity default-domain LOCAL 
70.
http server enable 
71.
http 192.168.1.0 255.255.255.0 management 
72.
http 192.168.0.0 255.255.255.0 inside-company 
73.
no snmp-server location 
74.
no snmp-server contact 
75.
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart 
76.
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac  
77.
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac  
78.
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac  
79.
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac  
80.
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac  
81.
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac  
82.
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac  
83.
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac  
84.
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac  
85.
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
86.
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 
87.
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 
88.
crypto map outside-int_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP 
89.
crypto map outside-int_map interface outside-int 
90.
crypto ikev1 enable outside-int 
91.
crypto ikev1 policy 10 
92.
 authentication pre-share 
93.
 encryption 3des 
94.
 hash sha 
95.
 group 2 
96.
 lifetime 86400 
97.
telnet 192.168.0.0 255.255.255.0 inside 
98.
telnet timeout 5 
99.
ssh timeout 5 
100.
console timeout 0 
101.
dhcpd address 192.168.1.2-192.168.1.254 management 
102.
dhcpd enable management 
103.
104.
threat-detection basic-threat 
105.
threat-detection statistics access-list 
106.
no threat-detection statistics tcp-intercept 
107.
webvpn 
108.
group-policy Test internal 
109.
group-policy Test attributes 
110.
 dns-server value 8.8.8.8 
111.
 vpn-tunnel-protocol ikev1  
112.
 split-tunnel-policy tunnelspecified 
113.
 split-tunnel-network-list value 101 
114.
 default-domain value cisco.com 
115.
group-policy Testuser internal 
116.
group-policy Testuser attributes 
117.
 dns-server value 8.8.8.8 
118.
 vpn-tunnel-protocol ikev1  
119.
 default-domain value cisco.com 
120.
username Testuser password Um.42rP83xVM6gZ. encrypted privilege 0 
121.
username Testuser attributes 
122.
 vpn-group-policy Test 
123.
 service-type remote-access 
124.
tunnel-group Test type remote-access 
125.
tunnel-group Test general-attributes 
126.
 address-pool Testpool 
127.
 default-group-policy Test 
128.
tunnel-group Test ipsec-attributes 
129.
 ikev1 pre-shared-key ***** 
130.
131.
class-map inspection_default 
132.
 match default-inspection-traffic 
133.
134.
135.
policy-map type inspect dns preset_dns_map 
136.
 parameters 
137.
  message-length maximum client auto 
138.
  message-length maximum 512 
139.
policy-map global_policy 
140.
 class inspection_default 
141.
  inspect dns preset_dns_map  
142.
  inspect ftp  
143.
  inspect h323 h225  
144.
  inspect h323 ras  
145.
  inspect rsh  
146.
  inspect rtsp  
147.
  inspect esmtp  
148.
  inspect sqlnet  
149.
  inspect skinny   
150.
  inspect sunrpc  
151.
  inspect xdmcp  
152.
  inspect sip   
153.
  inspect netbios  
154.
  inspect tftp  
155.
  inspect ip-options  
156.
157.
service-policy global_policy global 
158.
prompt hostname context  
159.
no call-home reporting anonymous 
160.
Cryptochecksum:cfd627d1aab7ec9964cc2385f37224c8 
161.
: end
Für einen Anfänger echt schwer zu durchschauen ;)

Gruß Keksdieb
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...