Cisco ASA 5505 Ersteinrichtung
Hallo *.*,
ich verzweifle gerade an der Ersteinrichtung meiner neuen Cisco ASA5505. Ich bin zwar schon jahrelang in der IT-Branche, habe mich aber noch nie mit Cisco-Geräten herumschlagen dürfen (aber der Wille ist da!).
Folgende Config mal vorab:
Sorry, daß ich ein paar Angaben wie Paßwörter, Domänenname, eMail etc. unkenntlich machen mußte, die berufsbedingte Paranoia halt ...
Der betroffene Netzwerkabschnitt ist wie folgt aufgebaut:
Switch <---> ASA5505 <---> DSL-Modem
Wir haben eine feste IP beim Provider sowie einen lokalen DNS-Server (MS SBS2K3) mit IP 10.10.10.2.
Die DMZ ist erstmal zu vernachlässigen.
Ich vermute mal, daß ich einfach ein Problem mit der Cisco-Denkweise habe und deshalb keine Internetverbindung hinbekommen. Mit der aktuellen Config erhalte ich dafür aber lustige Fehlermeldungen wie
<quote>Failed to locate egress interface for [TCP/UDP/ICMP je nach Situation] from inside: 10.10.10.[diverse interne IPs] to [diverse externe IPs]</quote>
Natürlich habe ich kein gesteigertes Bedürfnis danach, erstmal alles aufzumachen und zu schauen, ob es dann funktioniert, dann bräuche ich ja keine Firewall
Kann mir jemand nen Wink mit dem Zaunpfahl (oder auch dem ganzen Lattenzaun) geben, warum ich keine Internetverbindung hinkriege?
Ach ja: Ich arbeite mit der Mausi-Mausi-Klicki-Klicki-Oberfläche, nicht mit der Shell.
ich verzweifle gerade an der Ersteinrichtung meiner neuen Cisco ASA5505. Ich bin zwar schon jahrelang in der IT-Branche, habe mich aber noch nie mit Cisco-Geräten herumschlagen dürfen (aber der Wille ist da!).
Folgende Config mal vorab:
Result of the command: "show startup-config"
: Saved
: Written by enable_15 at 16:16:10.669 CEST Tue Feb 24 2009
!
ASA Version 7.2(4)
!
hostname asafw
domain-name domain.lan
enable password [...] encrypted
passwd [...] encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 10.10.10.253 255.255.255.0
!
interface Vlan2
description Vodafone DSL
nameif outside
security-level 0
pppoe client vpdn group ISBC01D74
ip address 88.79.xxx.xxx 255.255.255.255 pppoe
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name domain.lan
access-list outside_access_in remark udp/http
access-list outside_access_in extended permit udp any 10.10.10.0 255.255.255.0 eq www
access-list outside_access_in remark tcp/http
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq www
access-list outside_access_in remark tcp/pop3
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq pop3
access-list inside_access_in remark ip/all
access-list inside_access_in extended permit ip 10.10.10.0 255.255.255.0 88.79.177.0 255.255.255.0
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
logging from-address root@asafw.domain.lan
logging recipient-address ich@unsereemaildomain.de level errors
mtu inside 1500
mtu outside 1492
mtu dmz 1500
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 10.10.10.0 255.255.255.0 inside
http 10.10.10.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ISBC01D74 request dialout pppoe
vpdn group ISBC01D74 localname dsl.vodafone/dsl_rhsvcm800:ib.vcm.de
vpdn group ISBC01D74 ppp authentication pap
vpdn username dsl.vodafone/dsl_rhsvcm800:ib.domain.de password [...] store-local
dhcpd auto_config outside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
smtp-server 10.10.10.1
prompt hostname context
Cryptochecksum: ja, gibt es ;-)
Sorry, daß ich ein paar Angaben wie Paßwörter, Domänenname, eMail etc. unkenntlich machen mußte, die berufsbedingte Paranoia halt ...
Der betroffene Netzwerkabschnitt ist wie folgt aufgebaut:
Switch <---> ASA5505 <---> DSL-Modem
Wir haben eine feste IP beim Provider sowie einen lokalen DNS-Server (MS SBS2K3) mit IP 10.10.10.2.
Die DMZ ist erstmal zu vernachlässigen.
Ich vermute mal, daß ich einfach ein Problem mit der Cisco-Denkweise habe und deshalb keine Internetverbindung hinbekommen. Mit der aktuellen Config erhalte ich dafür aber lustige Fehlermeldungen wie
<quote>Failed to locate egress interface for [TCP/UDP/ICMP je nach Situation] from inside: 10.10.10.[diverse interne IPs] to [diverse externe IPs]</quote>
Natürlich habe ich kein gesteigertes Bedürfnis danach, erstmal alles aufzumachen und zu schauen, ob es dann funktioniert, dann bräuche ich ja keine Firewall
Kann mir jemand nen Wink mit dem Zaunpfahl (oder auch dem ganzen Lattenzaun) geben, warum ich keine Internetverbindung hinkriege?
Ach ja: Ich arbeite mit der Mausi-Mausi-Klicki-Klicki-Oberfläche, nicht mit der Shell.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109890
Url: https://administrator.de/contentid/109890
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
4 Kommentare
Neuester Kommentar
Kannst du von der ASA aus das Internet pingen, z. B. ping www.yahoo.de?
PIX wie ASA erfordern bei aktivierter NAT-Control stets eine NAT-Regel für jede Freischaltung.
Dieses "Sicherheitsfeature" kann man deaktivieren mit
no nat-control
Ansonsten bin ich auch nicth so der ASA Guru...
ich finde es gibt mittlerweile deutlich bedienbarere Firewall Lösungen wie Astaro ASG110.
Die können zudem noch viel mehr und sind idiotensicher konfigurierbar.
PIX wie ASA erfordern bei aktivierter NAT-Control stets eine NAT-Regel für jede Freischaltung.
Dieses "Sicherheitsfeature" kann man deaktivieren mit
no nat-control
Ansonsten bin ich auch nicth so der ASA Guru...
ich finde es gibt mittlerweile deutlich bedienbarere Firewall Lösungen wie Astaro ASG110.
Die können zudem noch viel mehr und sind idiotensicher konfigurierbar.
no nat-control
Diese Translaton-Philosophie von PIX und ASA ist ein wahrer Albtraum wenn man nicht so oft damit zu tun hat, vor allem in Enterprise Umgebungen führt das gerne zu radikalem Haarausfall in der Hinterngegend, bis hin zur totalen Arsch-Glatze, vor allem wenn schon 500 Regeln existieren und man auf die Kommandozeile angewiesen ist.
Ansonsten hast du ja schon in deiner konkreten Config eine globale NAT-Regel drinne, die das interne Netz nach aussen nattet bzw. die internen privaten IPs werden auf die öffentliche ge"pat"tet (Port Address Translation). Die nat (inside) 1 Regel kannst du u. U. auch verfeinern, bzs. das Netz eintragen das du wirklich natten willst, da so eben ALLES interne genattet wird. Wenn das so recht ist ist es ja gut.
Ansonsten hilft diese Anleitung eventuell weiter, das Chaos zu kompletieren (cisco halt... )
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Diese Translaton-Philosophie von PIX und ASA ist ein wahrer Albtraum wenn man nicht so oft damit zu tun hat, vor allem in Enterprise Umgebungen führt das gerne zu radikalem Haarausfall in der Hinterngegend, bis hin zur totalen Arsch-Glatze, vor allem wenn schon 500 Regeln existieren und man auf die Kommandozeile angewiesen ist.
Ansonsten hast du ja schon in deiner konkreten Config eine globale NAT-Regel drinne, die das interne Netz nach aussen nattet bzw. die internen privaten IPs werden auf die öffentliche ge"pat"tet (Port Address Translation). Die nat (inside) 1 Regel kannst du u. U. auch verfeinern, bzs. das Netz eintragen das du wirklich natten willst, da so eben ALLES interne genattet wird. Wenn das so recht ist ist es ja gut.
Ansonsten hilft diese Anleitung eventuell weiter, das Chaos zu kompletieren (cisco halt... )
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...