gmeurb
Goto Top

CISCO ASA 5505 hinter einer Fritzbox 7390

Hallo,

ich habe mal eine Frage zu obigem Thema.

Ausgangssituation: Cisco ASA 5505 ist im Moment mit PPPoE-Einstellungen vom alten Provider im Weltnetz, hat unter anderem mit der IP des alten Providers eine VPN-Verbindung an unseren Hauptstandort

Neue Situation: Neuer Provider mit FritzBox 7390 und automatisch gezogener Konfiguration des Providers. Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.

Settings für den Internetzugang: "Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" sind neben den Speedeinstellungen und meinen Zugangsdaten angehackt

Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.

Mal davon abgesehen, dass ich diese Fritzbox eigentlich nicht will, dass Teil aber laut Provider zwingend erforderlich ist, wie baue ich denn einen neuen Tunnel über die Cisco ASA auf? Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?

Danke und Gruß
Gmeurb

Content-ID: 235175

Url: https://administrator.de/contentid/235175

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

aqui
Lösung aqui 10.04.2014, aktualisiert am 11.04.2014 um 16:43:09 Uhr
Goto Top
Bin mir nicht sicher was genau die FritzBox da nun alles automatisch zieht.
Username Passwort des PPPoE Dialins und per PPPoE dann das übliche IP Adresse, Maske, Gateway, DNS
Die automatische Konfig Übermittlung ist aus Sicherheitsgünden ein absolutes NoGo für Firmennetze, denn damit hat der Provider vollen Zugriff auf den Router und die Daten die dadrüber laufen. Das solltest du also schnellstens im Setup abschalten und den Provider anrufen damit der dir deine Login Daten übermittelt !
und meinen Zugangsdaten angehackt
Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?
Nun muß ich ja die Cisco ASA eigentlich an einen LAN-Port der FritzBox hängen, welcher in einem internen Netz der FritzBox läuft, also z.B. 192.168.133.0/24.
Ja, das ist richtig ! Was du dann machst ist eine sog. Router Kaskade. Aus technischer Sicht ist das erheblich kontraproduktiv, denn nun machst du 2mal NAT (Adress Translation) was immer sehr negativ auf die Durchsatzperformance gesehen ist.
Zudem holt man sich dort zusätzliche Schwierigkeiten mit an Bord wenn man dann mit doppeltem Port Forwarding arbeiten muss was für dich zwingend ist, denn du willst ja sicher das die ASA weiterhin den VPN Tunnel bedient. Der kann aber das NAT der vorliegenden FB nicht überwinden ohne PFW.
Erheblich sinnvoller ist es die FB in den nur Modem betrieb zu schalten im Setup und sie nur als reines Modem an der ASA zu betreiben.
Damit entledigst du dich all dieser Probleme, musst die ASA nur umklemmen und die neuen Zugangsdaten eingeben und gut iss !
Die FB ist nicht zwingend erforderlich ! Ein Aberglaube mit dem die Provider unwissenden Kunden einen Zwangsrouter aufdrücken wollen um ihn zu gängeln !
Vergiss den Unsinn und frage nach den Zugangsdaten die rücken alle Provider nach Rückfrage raus auch wenn man etwas "lauter" werden muss. Damit kannst du dann jegliche andere Hardware vom Markt auch einsetzen !
Reicht die Exposed Host Einstellung für die Cisco ASA auf der Fritzbox und auf der ASA baue ich dann einfach einen Tunnel mit der eigentlichen externen IP auf? Geht das?
Generell ja aber... Da die FB selber auch IPsec VPNs kann blockt sie diese Daten. Du musst also IPsec dort deaktivieren und die IPSec Ports UDP 500, UDP 4500 und ESP Protokoll an die ASA IP forwarden !
gmeurb
gmeurb 11.04.2014 um 08:31:56 Uhr
Goto Top
Zitat von @aqui:

Oha... du arbeitest also mit schwerem Garten Gerät in der IT ?? (Der "Bearbeiten" Button hilft !!)
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
"Externes Modem oder Router", sowie "Internetverbindung selbst aufauen" WO bitte wird das angehakt ?? In
der FB... ?? Wäre ja falsch, denn vor der FB ist ja kein externes Modem mehr ?! Und Speed braucht man schon gar nicht ?

Nun mach Dich mal nicht so über meine Grammatik her! face-wink

Also die beschriebenen Einstellungen sind alle auf der FritzBox so eingestellt! Wie gesagt, dass Teil hat sich diese Settings auch selbst gezogen und unter den Zugansdaten sind diese Einstellungen so vorgegeben, nebst meinen Logindaten und den Verbindungseinstellungen für Up- und Downstream! Das ist nun einmal so!
Ich habe die Zugangsdaten bekommen, also werde ich die ASA entsprechend anpassen und die gagelige FritzBox hoffentlich rausschmeissen können.
aqui
Lösung aqui 11.04.2014 aktualisiert um 16:43:04 Uhr
Goto Top
hat sich diese Settings auch selbst gezogen
Ja das machen "Zwangsrouter" Provider gerne und nennt sich TR-069
http://de.wikipedia.org/wiki/TR-069
Das solltest du bei einem Firmenaccount aber in jedem Falle zwingend abschalten, denn der Provider hat so vollen Zugriff auf den Router und die Daten die darüber gehen. Du wirst hier also quasi entmündigt bei der Hoheit über das System !
Der Provider rückt in der Regel auch die Zugangsdaten raus bzw. hat das aufgrund deines Vertrages auch zu machen !
Relevant sind einzig nur die Login Daten ! Ansonsten ist DSL mässig nichts weiter einzustellen, denn das ist globaler Standard.
Da du die Zugangsdaten ja hast ist ja alles gut und du kannst die FB dann beruhigt entsorgen oder zum Verstauben ins Lager stellen.
gmeurb
gmeurb 11.04.2014 um 10:05:59 Uhr
Goto Top
Also, die Fritzbox ist laut Provider nur eine Übergangslösung, da soll final für Businesskunden ein Cisco-Switch (Layer 1) hin. Der Provider benötigt zu Zwecken der Fehleranalyse angeblich ein Endgerät beim Kunden, deswegen der zusätzliche Switch. Mal schauen wann der kommt. face-wink
aqui
Lösung aqui 11.04.2014 aktualisiert um 16:42:58 Uhr
Goto Top
zu Zwecken der Fehleranalyse angeblich ein Endgerät
Ha ha ha.... Ein Schelm wer Böses dabei denkt in Zeiten von NSA ! Für eine Firma untragbar.
gmeurb
gmeurb 11.04.2014 um 12:43:06 Uhr
Goto Top
Der Provider hängt ja irgendwo immer irgendwo direkt in deinem Datenverkehr. Da spielt es sicherlich keine Rolle wo die da was sitzen haben.

Und ich habe ne Cisco-Hardware als Firewall, da mache ich mir um NSA ohnehin keine Gedanken mehr! face-wink
aqui
Lösung aqui 11.04.2014 aktualisiert um 16:42:37 Uhr
Goto Top
Aber nicht auf dem CPE Device was in deiner Hoheit liegt. Das wäre identisch so als wenn du ihm das Admin Passwort für die ASA gibst. Machst du ja auch nicht.
Thema ist ja eh erledigt wenn die FB verschwindet...
gmeurb
gmeurb 11.04.2014 um 16:44:13 Uhr
Goto Top
Da ahst Du Recht und für den Fall das der Provider irgendwie zu dämlich ist und die FritzBox bleibt, werde ich sicherlich mit Deinen Tipps etwas anfangen können!

Nochmals Danke!
j.ilse
j.ilse 05.05.2014 um 18:03:46 Uhr
Goto Top
Ein Switch zur "Fehleranalyse" (besser formuliert waere gewesen "zur Ueberwachung, ob die Leitung verfuegbar ist") klingt logisch. Ohne ein solches (vom Provider gemanagetes) Geraet ist es dem Provider nicht moeglich, die Verfuegbarkeit wirklich sinnvoll zu ueberwachen (und bei Vertraegen, bei denen die Mindestverfuegbarkeit Teil des Vertrags ist, muss der Provider die Moeglichkeit haben, dass zu ueberwachen, Businessvertraege haben i.d.R. solche Klauseln drin). Die Ueberwachung der Leitungsverfuegbarkeit darf nicht von einem ggfs. vom Kunden verkonfigurierten Geraet abhaengen, also setzt der Provider einen Switch dazwischen, den er selbst ueberwachen kann und den der Kunde nicht umkonfigurieren kann. Der Uebergabepunkt fuer die Leitung ist dann der Ethernet-Port am Switch. So ungewoehnlich ist das wirklich nicht.
aqui
aqui 06.05.2014 um 09:02:33 Uhr
Goto Top
Richtig, deshalb hat man ja immer hinter so einem Provider Equipment eigene Gerätschaften die einem die Hoheit über seine transportierten Daten wieder zurückgeben.
Im Privatbereich sieht diese Sache aber ganz anders aus...