10
Zugriff auf SQL Server in separiertem Netzsegment hinter Cisco ASA
Hallo,
ich habe folgendes Problem.
Es gibt zwei Netzsegmente die nicht geroutet sind
10.1.1.0/24 (Security Level 99)
10.1.2.0/24 (Security Level 0)
Zwischen den beiden Netzen hängt eine kleine ASA. Die ASA macht auf der IP 10.1.1.100 eine NAT auf die 10.1.2.50 zum RDP Zugriff auf eine andere Maschine. Das funktioniert.
Auf der "RDP-Maschine" läuft ein SQL Express. Zielsetzung ist es von einem Client im Netz 10.1.1.0/24 auf den SQL in 10.1.2.50/24 zuzugreifen.
Meine ACL 10.1.1.0/24 => 10.1.2.50, UDP 1434 bekommt Hits.
Ich habe auch eine NAT Rule welche die Ports 1433 und 1434 überleitet.
Vielleicht weiß einer von Euch Rat wie ich weiter machen kann....
Danke!
Viele Grüße
ich habe folgendes Problem.
Es gibt zwei Netzsegmente die nicht geroutet sind
10.1.1.0/24 (Security Level 99)
10.1.2.0/24 (Security Level 0)
Zwischen den beiden Netzen hängt eine kleine ASA. Die ASA macht auf der IP 10.1.1.100 eine NAT auf die 10.1.2.50 zum RDP Zugriff auf eine andere Maschine. Das funktioniert.
Auf der "RDP-Maschine" läuft ein SQL Express. Zielsetzung ist es von einem Client im Netz 10.1.1.0/24 auf den SQL in 10.1.2.50/24 zuzugreifen.
Meine ACL 10.1.1.0/24 => 10.1.2.50, UDP 1434 bekommt Hits.
Ich habe auch eine NAT Rule welche die Ports 1433 und 1434 überleitet.
Vielleicht weiß einer von Euch Rat wie ich weiter machen kann....
Danke!
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 273226
Url: https://administrator.de/contentid/273226
Printed on: April 24, 2024 at 14:04 o'clock
10 Comments
Latest comment
Hallo,
schau mal nach, ob im der Port auf dem SQL Server stimmt. Ich bin der Meinung, dass der SQL Express einen anderen Port haben kann.
Gruß
Neomatic
schau mal nach, ob im der Port auf dem SQL Server stimmt. Ich bin der Meinung, dass der SQL Express einen anderen Port haben kann.
Gruß
Neomatic
Hallo,
Was isn das für ein Tier?
Gruß,
Peter
Was isn das für ein Tier?
Die ASA macht auf der IP 10.1.1.100 eine NAT auf die 10.1.2.50
Also NAT zwischen 2 einzelne IPs? Nicht zwischen Netze, keine Subnetzmasken vorhanden, keine Ports genutzt, oder was müssen wir uns vorstellen?von einem Client im Netz 10.1.1.0/24
Ist dies der gleiche der auch schon RDP macht?Meine ACL 10.1.1.0/24 => 10.1.2.50
Netz auf einer IP?bekommt Hits.
Häh?!?Ich habe auch eine NAT Rule welche die Ports 1433 und 1434 überleitet.
Überleitet?!? Überleitet in was oder wohin oder welche Zeitebene oder welches Universum - oder wovon meinst du hier zu reden?Gruß,
Peter
Hallo Neomatic,
der SQL Express (2012) wartet auf der 1433.
Viele Grüße
der SQL Express (2012) wartet auf der 1433.
Viele Grüße
OK.
Ich kenne mich mit der Cisco ASA nicht aus, aber wie Pjordorf schon geschrieben hat:
ACL 10.1.1.0/24 => 10.1.2.50
Ein ganzes Netz auf eine IP routen? Oder sollte die Regel folgendermaßen lauten:
ACL 10.1.1.0/24 => 10.1.2.0/24
Gruß
Neomatic
Ich kenne mich mit der Cisco ASA nicht aus, aber wie Pjordorf schon geschrieben hat:
ACL 10.1.1.0/24 => 10.1.2.50
Ein ganzes Netz auf eine IP routen? Oder sollte die Regel folgendermaßen lauten:
ACL 10.1.1.0/24 => 10.1.2.0/24
Gruß
Neomatic
Hallo Peter,
Danke für Deine Antwort!
Es handelt sich um eine kleine Cisco ASA die von einem Dienstleister hingestellt wurde. Nun darf ich damit ein bisschen spielen weil sie nicht mehr wirklich in Betrieb ist.
Es wird lediglich eine IP genattet. Gehen wir im Beispiel einfach von /24er Netzmasken auf beiden Seiten aus. Port RDP = TCP 3389.
Netz natürlich nicht auf einer IP. Aber das Subnetz 10.1.1.0/24 ist in der ACL auf die 10.1.2.50/24 (Subnetz = 10.1.250.0/24) freigeschaltet.
Hits = Treffer, damit meine ich den Zähler in der Firewall der aussagt, dass die Regel genutzt wurde.
"Überleitung" war blöd ausgedrückt, es ist eher eine Weiterleitung in der NAT Rule.
Danke & Viele Grüße
P.S.: Ja, der Client der die Verbindung zum SQL aufbauen soll kann variieren, im Beispiel isses der der RDP macht.
Danke für Deine Antwort!
Es handelt sich um eine kleine Cisco ASA die von einem Dienstleister hingestellt wurde. Nun darf ich damit ein bisschen spielen weil sie nicht mehr wirklich in Betrieb ist.
Es wird lediglich eine IP genattet. Gehen wir im Beispiel einfach von /24er Netzmasken auf beiden Seiten aus. Port RDP = TCP 3389.
Netz natürlich nicht auf einer IP. Aber das Subnetz 10.1.1.0/24 ist in der ACL auf die 10.1.2.50/24 (Subnetz = 10.1.250.0/24) freigeschaltet.
Hits = Treffer, damit meine ich den Zähler in der Firewall der aussagt, dass die Regel genutzt wurde.
"Überleitung" war blöd ausgedrückt, es ist eher eine Weiterleitung in der NAT Rule.
Danke & Viele Grüße
P.S.: Ja, der Client der die Verbindung zum SQL aufbauen soll kann variieren, im Beispiel isses der der RDP macht.
@Neomatic
die beiden Netze sind nicht geoutet, dann wäre es einfacher....
Ich habe nur das NAT dazwischen....
die beiden Netze sind nicht geoutet, dann wäre es einfacher....
Ich habe nur das NAT dazwischen....
Portkonfiguration in der Firewall stimmt auch?
Firewall zum Test komplett deaktiviert
Hmmm.... was sagt das Log?
Aber der Zugriff von einem Rechner aus dem selben Netz wie der SQL Server funktioniert?
Aber der Zugriff von einem Rechner aus dem selben Netz wie der SQL Server funktioniert?
Hallo,
Warum NATtest du bzw. warum Routest du nicht? Was hindert dich?
Gruß,
Peter
Warum NATtest du bzw. warum Routest du nicht? Was hindert dich?
Ich habe nur das NAT dazwischen....
Portforwarding einmal von any IP auf Ziel IP 10.1.2.50 TCP 1433 und einmal von any IP auf Ziel IP 10.1.2.50 UDP 1434 (Oder waren die Ports TCP/UDP umgekehrt?)Gruß,
Peter
