CISCO ASA 5505 hinter einer Fritzbox 7390
Hallo,
ich habe mal eine Frage zu obigem Thema.
Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom alten Provider im Weltnetz, hat unter anderem mit der IP des alten Providers eine VPN-Verbindung an unseren Hauptstandort
Neue Situation: Neuer Provider mit FritzBox 7390 und automatisch gezogener Konfiguration des Providers. Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.
Settings für den Internetzugang: "Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" sind neben den Speedeinstellungen und meinen Zugangsdaten angehackt
Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.
Mal davon abgesehen, dass ich diese Fritzbox eigentlich nicht will, dass Teil aber laut Provider zwingend erforderlich ist, wie baue ich denn einen neuen Tunnel über die Cisco ASA auf? Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?
Danke und Gruß
Gmeurb
ich habe mal eine Frage zu obigem Thema.
Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom alten Provider im Weltnetz, hat unter anderem mit der IP des alten Providers eine VPN-Verbindung an unseren Hauptstandort
Neue Situation: Neuer Provider mit FritzBox 7390 und automatisch gezogener Konfiguration des Providers. Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.
Settings für den Internetzugang: "Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" sind neben den Speedeinstellungen und meinen Zugangsdaten angehackt
Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.
Mal davon abgesehen, dass ich diese Fritzbox eigentlich nicht will, dass Teil aber laut Provider zwingend erforderlich ist, wie baue ich denn einen neuen Tunnel über die Cisco ASA auf? Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?
Danke und Gruß
Gmeurb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235175
Url: https://administrator.de/forum/cisco-asa-5505-hinter-einer-fritzbox-7390-235175.html
Ausgedruckt am: 24.12.2024 um 13:12 Uhr
10 Kommentare
Neuester Kommentar
Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.
Username Passwort des PPPoE Dialins und per PPPoE dann das übliche IP Adresse, Maske, Gateway, DNSDie automatische Konfig Übermittlung ist aus Sicherheitsgünden ein absolutes NoGo für Firmennetze, denn damit hat der Provider vollen Zugriff auf den Router und die Daten die dadrüber laufen. Das solltest du also schnellstens im Setup abschalten und den Provider anrufen damit der dir deine Login Daten übermittelt !
und meinen Zugangsdaten angehackt
Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?
Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.
Ja, das ist richtig ! Was du dann machst ist eine sog. Router Kaskade. Aus technischer Sicht ist das erheblich kontraproduktiv, denn nun machst du 2mal NAT (Adress Translation) was immer sehr negativ auf die Durchsatzperformance gesehen ist.Zudem holt man sich dort zusätzliche Schwierigkeiten mit an Bord wenn man dann mit doppeltem Port Forwarding arbeiten muss was für dich zwingend ist, denn du willst ja sicher das die ASA weiterhin den VPN Tunnel bedient. Der kann aber das NAT der vorliegenden FB nicht überwinden ohne PFW.
Erheblich sinnvoller ist es die FB in den nur Modem betrieb zu schalten im Setup und sie nur als reines Modem an der ASA zu betreiben.
Damit entledigst du dich all dieser Probleme, musst die ASA nur umklemmen und die neuen Zugangsdaten eingeben und gut iss !
Die FB ist nicht zwingend erforderlich ! Ein Aberglaube mit dem die Provider unwissenden Kunden einen Zwangsrouter aufdrücken wollen um ihn zu gängeln !
Vergiss den Unsinn und frage nach den Zugangsdaten die rücken alle Provider nach Rückfrage raus auch wenn man etwas "lauter" werden muss. Damit kannst du dann jegliche andere Hardware vom Markt auch einsetzen !
Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?
Generell ja aber... Da die FB selber auch IPsec VPNs kann blockt sie diese Daten. Du musst also IPsec dort deaktivieren und die IPSec Ports UDP 500, UDP 4500 und ESP Protokoll an die ASA IP forwarden !hat sich diese Settings auch selbst gezogen
Ja das machen "Zwangsrouter" Provider gerne und nennt sich TR-069http://de.wikipedia.org/wiki/TR-069
Das solltest du bei einem Firmenaccount aber in jedem Falle zwingend abschalten, denn der Provider hat so vollen Zugriff auf den Router und die Daten die darüber gehen. Du wirst hier also quasi entmündigt bei der Hoheit über das System !
Der Provider rückt in der Regel auch die Zugangsdaten raus bzw. hat das aufgrund deines Vertrages auch zu machen !
Relevant sind einzig nur die Login Daten ! Ansonsten ist DSL mässig nichts weiter einzustellen, denn das ist globaler Standard.
Da du die Zugangsdaten ja hast ist ja alles gut und du kannst die FB dann beruhigt entsorgen oder zum Verstauben ins Lager stellen.
Ein Switch zur "Fehleranalyse" (besser formuliert waere gewesen "zur Ueberwachung, ob die Leitung verfuegbar ist") klingt logisch. Ohne ein solches (vom Provider gemanagetes) Geraet ist es dem Provider nicht moeglich, die Verfuegbarkeit wirklich sinnvoll zu ueberwachen (und bei Vertraegen, bei denen die Mindestverfuegbarkeit Teil des Vertrags ist, muss der Provider die Moeglichkeit haben, dass zu ueberwachen, Businessvertraege haben i.d.R. solche Klauseln drin). Die Ueberwachung der Leitungsverfuegbarkeit darf nicht von einem ggfs. vom Kunden verkonfigurierten Geraet abhaengen, also setzt der Provider einen Switch dazwischen, den er selbst ueberwachen kann und den der Kunde nicht umkonfigurieren kann. Der Uebergabepunkt fuer die Leitung ist dann der Ethernet-Port am Switch. So ungewoehnlich ist das wirklich nicht.