9
Cisco ASA 5505 - kein VPN von INTERN nach EXTERN möglich
Hallo zusammen,
ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....
nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!
Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!
Kann mir evtl. jemand weiter helfen?
Vielen Dank!
ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....
nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!
Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!
Kann mir evtl. jemand weiter helfen?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 152476
Url: https://administrator.de/contentid/152476
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
wie wäre es mal mit einer hier geposteten anonymisierten Configuration ?
brammer
wie wäre es mal mit einer hier geposteten anonymisierten Configuration ?
brammer
Hi,
Wie schon im Post von "brammer" beschrieben wäre eine Config nicht schlecht....dann kann dir sicherlich weitergeholfen werden
Wie schon im Post von "brammer" beschrieben wäre eine Config nicht schlecht....dann kann dir sicherlich weitergeholfen werden
wie lese ich am schnellsten die Config aus? Via Telnet finde ich nichts... 
"show conf" oder "write term" das weiss doch mittlerweile jeder !
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Ganz ruhig mein lieber
GRE ist auch frei gegeben....
ICh versuche mal die COnfig rauszukitzeln... aber danke für die helfenden Worte, ist immer schön, wenn mans besser weiss!
GRE ist auch frei gegeben....
ICh versuche mal die COnfig rauszukitzeln... aber danke für die helfenden Worte, ist immer schön, wenn mans besser weiss!
Also...im Anhang die Konfig.
ICh bin neu im Thema Firewalling und bedanke mich schonmal bei allen, die sich die Mühe machen, sich das mal durchzulesen!
Es ist momentan noch ne kleine Microsoft Testumegbung!
name 192.168.51.2 DC
name 192.168.51.3 EX
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.51.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object icmp
protocol-object icmp6
access-list outside_access_in extended permit
access-list outside_access_in extended permit
any 192.168.51.0 255.255.255.0
access-list outside_access_in extended permit
access-list inside_access_in extended permit i
access-list inside_access_in extended permit g
access-list inside_access_in extended permit i
access-list inside_access_in extended permit t
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm location 0.0.0.0 255.255.255.255 inside
asdm location DC 255.255.255.255 inside
asdm location EX 255.255.255.255 inside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp interface 443 EX 4
static (inside,outside) tcp interface https EX
static (inside,outside) tcp interface www EX w
static (inside,outside) udp interface 1723 DC
static (inside,outside) tcp interface pptp DC
static (inside,outside) tcp interface 47 DC 47
access-group inside_access_in in interface ins
access-group outside_access_in in interface ou
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:
timeout sip 0:30:00 sip_media 0:02:00 sip-invi
timeout sip-provisional-media 0:02:00 uauth 0:
http server enable
http 192.168.51.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication l
telnet timeout 5
ssh timeout 5
console timeout 0
ICh bin neu im Thema Firewalling und bedanke mich schonmal bei allen, die sich die Mühe machen, sich das mal durchzulesen!
Es ist momentan noch ne kleine Microsoft Testumegbung!
name 192.168.51.2 DC
name 192.168.51.3 EX
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.51.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object icmp
protocol-object icmp6
access-list outside_access_in extended permit
access-list outside_access_in extended permit
any 192.168.51.0 255.255.255.0
access-list outside_access_in extended permit
access-list inside_access_in extended permit i
access-list inside_access_in extended permit g
access-list inside_access_in extended permit i
access-list inside_access_in extended permit t
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm location 0.0.0.0 255.255.255.255 inside
asdm location DC 255.255.255.255 inside
asdm location EX 255.255.255.255 inside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp interface 443 EX 4
static (inside,outside) tcp interface https EX
static (inside,outside) tcp interface www EX w
static (inside,outside) udp interface 1723 DC
static (inside,outside) tcp interface pptp DC
static (inside,outside) tcp interface 47 DC 47
access-group inside_access_in in interface ins
access-group outside_access_in in interface ou
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:
timeout sip 0:30:00 sip_media 0:02:00 sip-invi
timeout sip-provisional-media 0:02:00 uauth 0:
http server enable
http 192.168.51.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication l
telnet timeout 5
ssh timeout 5
console timeout 0
Mmmhhh, oben schreibst du das du GRE freigegebne hast !! Sieht man sich deine Konfig an stimmt das aber nicht denn du hast TCP 47 freigegeben. (static (inside,outside) tcp interface 47 DC 47)
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!
Hallo,
access-list outside_access_in extended permit gre any host C.C.C.C
sowas benötigst du.
brammer
access-list outside_access_in extended permit gre any host C.C.C.C
sowas benötigst du.
brammer
Also...
wer auch immer da jetzt unruhig war ist ja jetzt egal
PROBLEM SOLVED!!!!
Add PPTP inspection to the default policy-map using the default class-map.
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#inspect pptp
Wenn man die Zeilen über Telnet abschießt dann läufts ohne Probleme....
Danke für eure Hilfe
wer auch immer da jetzt unruhig war ist ja jetzt egal
PROBLEM SOLVED!!!!
Add PPTP inspection to the default policy-map using the default class-map.
pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#inspect pptp
Wenn man die Zeilen über Telnet abschießt dann läufts ohne Probleme....
Danke für eure Hilfe
