mcready
Goto Top

Cisco ASA 5505 Ersteinrichtung

Hallo *.*,

ich verzweifle gerade an der Ersteinrichtung meiner neuen Cisco ASA5505. Ich bin zwar schon jahrelang in der IT-Branche, habe mich aber noch nie mit Cisco-Geräten herumschlagen dürfen (aber der Wille ist da!).

Folgende Config mal vorab:

Result of the command: "show startup-config"  
 
: Saved
: Written by enable_15 at 16:16:10.669 CEST Tue Feb 24 2009
!
ASA Version 7.2(4) 
!
hostname asafw
domain-name domain.lan
enable password [...] encrypted
passwd [...] encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.10.10.253 255.255.255.0 
!
interface Vlan2
 description Vodafone DSL
 nameif outside
 security-level 0
 pppoe client vpdn group ISBC01D74
 ip address 88.79.xxx.xxx 255.255.255.255 pppoe 
!
interface Vlan3
 no forward interface Vlan1
 nameif dmz
 security-level 50
 ip address 192.168.2.1 255.255.255.0 
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
 domain-name domain.lan
access-list outside_access_in remark udp/http
access-list outside_access_in extended permit udp any 10.10.10.0 255.255.255.0 eq www 
access-list outside_access_in remark tcp/http
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq www 
access-list outside_access_in remark tcp/pop3
access-list outside_access_in extended permit tcp any 10.10.10.0 255.255.255.0 eq pop3 
access-list inside_access_in remark ip/all
access-list inside_access_in extended permit ip 10.10.10.0 255.255.255.0 88.79.177.0 255.255.255.0 
access-list inside_access_in extended permit ip any any 
pager lines 24
logging enable
logging asdm informational
logging from-address root@asafw.domain.lan
logging recipient-address ich@unsereemaildomain.de level errors
mtu inside 1500
mtu outside 1492
mtu dmz 1500
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 10.10.10.0 255.255.255.0 inside
http 10.10.10.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ISBC01D74 request dialout pppoe
vpdn group ISBC01D74 localname dsl.vodafone/dsl_rhsvcm800:ib.vcm.de
vpdn group ISBC01D74 ppp authentication pap
vpdn username dsl.vodafone/dsl_rhsvcm800:ib.domain.de password [...] store-local
dhcpd auto_config outside
!
 
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
smtp-server 10.10.10.1
prompt hostname context 
Cryptochecksum: ja, gibt es ;-)

Sorry, daß ich ein paar Angaben wie Paßwörter, Domänenname, eMail etc. unkenntlich machen mußte, die berufsbedingte Paranoia halt ...

Der betroffene Netzwerkabschnitt ist wie folgt aufgebaut:
Switch <---> ASA5505 <---> DSL-Modem

Wir haben eine feste IP beim Provider sowie einen lokalen DNS-Server (MS SBS2K3) mit IP 10.10.10.2.
Die DMZ ist erstmal zu vernachlässigen.

Ich vermute mal, daß ich einfach ein Problem mit der Cisco-Denkweise habe und deshalb keine Internetverbindung hinbekommen. Mit der aktuellen Config erhalte ich dafür aber lustige Fehlermeldungen wie
<quote>Failed to locate egress interface for [TCP/UDP/ICMP je nach Situation] from inside: 10.10.10.[diverse interne IPs] to [diverse externe IPs]</quote>

Natürlich habe ich kein gesteigertes Bedürfnis danach, erstmal alles aufzumachen und zu schauen, ob es dann funktioniert, dann bräuche ich ja keine Firewall face-big-smile

Kann mir jemand nen Wink mit dem Zaunpfahl (oder auch dem ganzen Lattenzaun) geben, warum ich keine Internetverbindung hinkriege?
Ach ja: Ich arbeite mit der Mausi-Mausi-Klicki-Klicki-Oberfläche, nicht mit der Shell. face-wink

Content-ID: 109890

Url: https://administrator.de/contentid/109890

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

spacyfreak
spacyfreak 24.02.2009 um 19:52:52 Uhr
Goto Top
Kannst du von der ASA aus das Internet pingen, z. B. ping www.yahoo.de?

PIX wie ASA erfordern bei aktivierter NAT-Control stets eine NAT-Regel für jede Freischaltung.
Dieses "Sicherheitsfeature" kann man deaktivieren mit
no nat-control

Ansonsten bin ich auch nicth so der ASA Guru... face-wink
ich finde es gibt mittlerweile deutlich bedienbarere Firewall Lösungen wie Astaro ASG110.
Die können zudem noch viel mehr und sind idiotensicher konfigurierbar.
mcready
mcready 25.02.2009 um 17:38:23 Uhr
Goto Top
Nein, weder auf den Host noch auf die IP. Werde mich mal morgen mit dem Thema NAT genauer auseinandersetzen müssen. Das scheint in dem Fall auch laut google die wahrscheinlichste Fehlerquelle zu sein.
Andere Firewalls ist schön und recht. Aber ich habe nunmal die und Cheffe wird nicht erfreut sein, wenn ich komme und sage, daß ~350€ abzuschreiben sind, wir nehmen dafür aber ein Modell für 700€. Das alte Leid ...
spacyfreak
spacyfreak 25.02.2009 um 20:40:22 Uhr
Goto Top
no nat-control

Diese Translaton-Philosophie von PIX und ASA ist ein wahrer Albtraum wenn man nicht so oft damit zu tun hat, vor allem in Enterprise Umgebungen führt das gerne zu radikalem Haarausfall in der Hinterngegend, bis hin zur totalen Arsch-Glatze, vor allem wenn schon 500 Regeln existieren und man auf die Kommandozeile angewiesen ist.

Ansonsten hast du ja schon in deiner konkreten Config eine globale NAT-Regel drinne, die das interne Netz nach aussen nattet bzw. die internen privaten IPs werden auf die öffentliche ge"pat"tet (Port Address Translation). Die nat (inside) 1 Regel kannst du u. U. auch verfeinern, bzs. das Netz eintragen das du wirklich natten willst, da so eben ALLES interne genattet wird. Wenn das so recht ist ist es ja gut.
Ansonsten hilft diese Anleitung eventuell weiter, das Chaos zu kompletieren (cisco halt... ) face-wink
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
spacyfreak
spacyfreak 25.02.2009 um 20:51:32 Uhr
Goto Top
show xlate
show conn

gugg dir mal die show befehle an mit

show ?