5
Kein TFTP möglich mit Cisco ASA 5505
Finde keine Anleitung wie ich eine neue Cisco ASA über TFTP anspreche.
Das Gerät hat die Standardkonfiguration, wie im gelieferten Zustand.
Es steht in allen Anleitungen, dass TFTP standardmässig aktiviert und zugänglich ist.
Aber ich kann über mein Hyperterminal-Verbindung die Konfiguration nicht auf TFTP-Server ablegen, und umgekehrt auch nicht.
Die Fehlermeldung war, dass keine Route eingetragen ist. Die habe ich dann eingetragen. Jetzt kommt immer Timeout.
Der Router ist nicht einmal über Cisco ASDM ansprechbar.
Oder mache Konfigurationfehler?
Vlan1
inside
ip address 192.168.1.1
Vlan2
outside
ip address dhcp setroute
ethernet0/0
switchport access vlan2
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
dhcp address 192.168.1.2 -192.168.1.129 inside
dhcp enable inside
Meinem Rechner habe ich die IP 192.168.1.50 zugewiesen
Muss ich Gateway eintragen, wenn ja welche (192.168.1.1)?
Kann mir bitte jemand helfen. Bin voll am verzweifeln.
Es steht in allen Anleitungen, dass TFTP standardmässig aktiviert und zugänglich ist.
Aber ich kann über mein Hyperterminal-Verbindung die Konfiguration nicht auf TFTP-Server ablegen, und umgekehrt auch nicht.
Die Fehlermeldung war, dass keine Route eingetragen ist. Die habe ich dann eingetragen. Jetzt kommt immer Timeout.
Der Router ist nicht einmal über Cisco ASDM ansprechbar.
Oder mache Konfigurationfehler?
Vlan1
inside
ip address 192.168.1.1
Vlan2
outside
ip address dhcp setroute
ethernet0/0
switchport access vlan2
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
dhcp address 192.168.1.2 -192.168.1.129 inside
dhcp enable inside
Meinem Rechner habe ich die IP 192.168.1.50 zugewiesen
Muss ich Gateway eintragen, wenn ja welche (192.168.1.1)?
Kann mir bitte jemand helfen. Bin voll am verzweifeln.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146121
Url: https://administrator.de/contentid/146121
Printed on: April 25, 2024 at 21:04 o'clock
5 Comments
Latest comment
Deine Beschreibung ist ziemlich oberflächlich so das eine qualifizierte Antwort bzw. Hilfe schwer ist.
Du warst ja nichtmal in der Lage zu beschreiben WO (IP Netz) sich dein TFTP Server befindet, geschweige denn welche TFTP SW/BS du dafür einsetzt
Hier ein paar wichtige Dinge vorab:
Beachtest du all diese Punkte funktioniert der TFTP Zugriff auf Anhieb !!!
Du warst ja nichtmal in der Lage zu beschreiben WO (IP Netz) sich dein TFTP Server befindet, geschweige denn welche TFTP SW/BS du dafür einsetzt
Hier ein paar wichtige Dinge vorab:
- TFTP Server Linux: Diesen musst du erst in der Systemkonfig aktivieren ! Ferner musst du die Sicherungsdatei erst anlegen mit einem touch kommando im TFTP Verzeichnis z.B. touch asa-sicherung.txt. Dann musst du auch checken das du mit chmod die richten Dateirechte auf dieser Datei hast !
- TFTP Server unter Winblows: Am besten verwendest du hier den allseits bekannt Pumpkin : http://kin.klever.net/pumpkin/binaries
- Nach der Installation von "Pumpkin" gehst du auf "Options" wählst dein Verzeichnis aus wo die Sicherungsdatei hinsoll und klickst unter "Give all Files" und "Take all Files" an....fertich
- Der TFTP Server sollte von der ASA pingbar also erreichbar sein ! Im Zweifelsfall nimmst du ihn erstmal ins local Interface, denn dort gibt es keine aktiven Accesslisten.
- Achtung bei der Linux oder Windows internen Firewall !! Kommt der TFTP Traffic aus einem anderen IP netz als das lokale IP Netz dieser Geräte, dann musst du zwangsweise die Windows Firewall im Bereich anpassen indem du auf den TFTP Dienst gehst und dort den Bereich auf "Alle Computer inkl. Internet" klickst !! Andernfalls blockt die lokale Firewall den TFTP Zugriff !
- Hast du ihn hinter dem Outside interface musst du ggf. die Outside ACLs anpassen damit die TFTP Pakete (UDP Port 69) durchgehen. Der Debugger auf dem Cisco (debug xyz Kommando !) leistet hier sehr wertvolle Dienste in der Fehleranalyse !
Beachtest du all diese Punkte funktioniert der TFTP Zugriff auf Anhieb !!!
Entschuldige bitte, habs in Eile geschrieben, daher habe ich wohl einige Details nicht erwähnt bzw. halbwegs erwähnt.
Ich dachte man geht automatisch davon aus, dass ich von der lokalen IP-Netz rede. Mit "meinem Rechner" meinte ich gleichzeitig den TFTP-Server.
Ich habe den ASA lokal an meinem Rechner angeschlossen (direkter LAN-Anschluss, auch mit einem Switch getestet) und gleichzeitig über die Konsole angemeldet.
Somit wären die Zugriffsrechte auf jeden Fall gegeben.
Betriebssystem ist Windows und ich habe 2 verschiedene TFTP-Sever verwendet. Normalerweise funktioniert es mit Cisco-TFTP-Server problemlos, aber nachdem es nicht ging habe ich es auch mit TFTPD32 probiert. Die Firewalls waren ganz ausgeschaltet.
Was ganz eigenartig ist, dass sich der TFTP-Server nicht einmal anpingen lässt, obwohl es im selben Netz ist und im ASA keine Zugriffsbeschränkungen gibt.
Ich dachte man geht automatisch davon aus, dass ich von der lokalen IP-Netz rede. Mit "meinem Rechner" meinte ich gleichzeitig den TFTP-Server.
Ich habe den ASA lokal an meinem Rechner angeschlossen (direkter LAN-Anschluss, auch mit einem Switch getestet) und gleichzeitig über die Konsole angemeldet.
Somit wären die Zugriffsrechte auf jeden Fall gegeben.
Betriebssystem ist Windows und ich habe 2 verschiedene TFTP-Sever verwendet. Normalerweise funktioniert es mit Cisco-TFTP-Server problemlos, aber nachdem es nicht ging habe ich es auch mit TFTPD32 probiert. Die Firewalls waren ganz ausgeschaltet.
Was ganz eigenartig ist, dass sich der TFTP-Server nicht einmal anpingen lässt, obwohl es im selben Netz ist und im ASA keine Zugriffsbeschränkungen gibt.
Das ist schon ein sehr schlechtes Zeichen ! Es bedeutet keine IP Connectivity !
Hast du in der Win Firewall ICMP (Ping) freigegeben ?? In den erweiterten Eigenschaften unter ICMP den Haken bei "Auf eingehende Echo Pakete antworten" setzen !
Der o.a. Pumpkin TFTP Server für Windows zeigt dir eingehende TFTP Requests an. So kannst du bequem checken ob die ASA überhaupt TFTP Requests aussendet !
Auf alle Fälle muss der TFTP Server pingbar sein...logisch !
Hast du in der Win Firewall ICMP (Ping) freigegeben ?? In den erweiterten Eigenschaften unter ICMP den Haken bei "Auf eingehende Echo Pakete antworten" setzen !
Der o.a. Pumpkin TFTP Server für Windows zeigt dir eingehende TFTP Requests an. So kannst du bequem checken ob die ASA überhaupt TFTP Requests aussendet !
Auf alle Fälle muss der TFTP Server pingbar sein...logisch !
Auf ICMP-Freigabe im Win Firewall habe ich nicht geachtet. Ist es standardmäßig aus?
Ich habe jetzt die Geräte nicht da. Muss nächste Woche mal bei Gelegenheit wieder im Büro vorbei schauen und deine Tipps anwenden.
Vielen Dank vorerst
Ich habe jetzt die Geräte nicht da. Muss nächste Woche mal bei Gelegenheit wieder im Büro vorbei schauen und deine Tipps anwenden.
Vielen Dank vorerst
Ja, oft ist das deaktiviert ! Besser also kontrollieren !
