derlekker
Goto Top

ASA 5500 series über VPN auf firewall direkt zugreifen

Hi,

ich hab eine Cisco ASA 5500 series und komme per vpn in das interne netz.
dann kann ich auf alle rechner, drucker und netzlaufwerke zugreifen..
..nur eines funktioniert nicht..

wenn ich im browser (bei vpn verbindung) https:\\192.168..... (lokale ip der asa) eingebe...
..bekomme ich keine zugriff und kann daher keine konfiguration vornehmen..
auch anpingen kann ich die cisco nicht, alle anderen geräte ja..

kann mir einer helfen..

..wo muss ich den das einstellen?

Grüße

Content-ID: 117897

Url: https://administrator.de/contentid/117897

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

brammer
brammer 10.06.2009 um 10:58:00 Uhr
Goto Top
Hallo,

auf der Asa dürfte "http server enable" fehlen.
Im ASDM müsste es unter "Device Management" stehen, konsole geht aber schneller .

Hast du eventuell ICMP per acl verboten?

brammer
derlekker
derlekker 10.06.2009 um 11:22:21 Uhr
Goto Top
hi.

danke für die schnelle antwort...

der "http server ist auf enable"... und intern läuft es auch einwandfrei..

nur wenn ich von aussen über vpn komme, kann ich mit dem browser nicht über https auf die asa zugreifen..
aqui
aqui 10.06.2009 um 12:20:44 Uhr
Goto Top
Das ist auch logisch, denn du musst auch eine Accesslist anlegen die den Zugriff erlaubt ! Ebenso für Ping (ICMP Typ 0, echo reply und Typ 8, echo request)
Die ASA ist eine Firewall und da ist logischerweise wie bei FWs üblich erstmal generell alles verboten !
Das https server enable aktiviert ist sollte klar sein !
derlekker
derlekker 10.06.2009 um 13:22:43 Uhr
Goto Top
@ aqui

..klar, da hast du recht!!!

wenn ich mit meinem notebook im interenen netz bin, läuft es einwandfrei...
mein lan adapter bekommt die 192.168.0.101.. die firewall perfekt ansprechen..
https, imcp, ssh... läuft wunderbar..

jetzt sitze ich zu haus am dsl...
.. vpn client cisco ist gestartet und verbindet..
...mein vpn adapter bekommt die 192.168.0.101..
ich sehe das ganze netz... alles geht..
nur die asa kann ich nicht sehen..
ich komme mit https nicht drauf, obwohl es enabled ist..

wo liegt mein denkfehler...
aqui
aqui 10.06.2009 um 16:15:33 Uhr
Goto Top
Nur HTTPS enablen reicht nicht !! Du musst eine ACL einstellen für TCP 443 auf die ASA also sowas wie:

access-list 100 permit tcp 192.168.0.0 0.0.0.255 (ip adr asa) (wildcard mask) eq 443

int (eingehendes Interfce)
access-group 100 in
oder
access-group 100 in interface xyz