maddox
Goto Top

Cisco ASA 5505 - kein VPN von INTERN nach EXTERN möglich

Hallo zusammen,

ich arbeite seit kurzer Zeit mit einer Cisco ASA 5505 in einem Testsystem....

nun ist mir aufgefallen, das es mir nicht möglich ist, einen gewöhnlichen PPTP VPN TUnnel von Intern nach Extern aufzubauen!

Ich kann weder im LOG noch in den Policies den Knackpunkt finden...
Von Intern nach Extern ist alles was "IP" angeht erlaubt!


Kann mir evtl. jemand weiter helfen?

Vielen Dank!

Content-ID: 152476

Url: https://administrator.de/forum/cisco-asa-5505-kein-vpn-von-intern-nach-extern-moeglich-152476.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

brammer
brammer 06.10.2010 um 13:42:02 Uhr
Goto Top
Hallo,

wie wäre es mal mit einer hier geposteten anonymisierten Configuration ?

brammer
Philipp711
Philipp711 06.10.2010 um 13:46:26 Uhr
Goto Top
Hi,

Wie schon im Post von "brammer" beschrieben wäre eine Config nicht schlecht....dann kann dir sicherlich weitergeholfen werden
Maddox
Maddox 06.10.2010 um 14:13:28 Uhr
Goto Top
wie lese ich am schnellsten die Config aus? Via Telnet finde ich nichts... face-confused
aqui
aqui 06.10.2010 um 14:21:01 Uhr
Goto Top
"show conf" oder "write term" das weiss doch mittlerweile jeder !
Du schreibst oben "...Von Intern nach Extern ist alles was "IP" angeht erlaubt!"
Das ist wie du ja selber vermutlich weisst bei PPTP nur die halbe Miete. Der PPTP Tunnel nurzt für die Nutzdaten das GRE Protokoll mit der IP Protokoll Nummer 47 !
Es reicht als nicht nur IP freizugeben sondern du musst auch GRE freigeben sonst geht kein PPTP durch die Firewall, logisch !!
Maddox
Maddox 06.10.2010 um 14:38:49 Uhr
Goto Top
Ganz ruhig mein lieberface-smile

GRE ist auch frei gegeben....

ICh versuche mal die COnfig rauszukitzeln... aber danke für die helfenden Worte, ist immer schön, wenn mans besser weiss!
Maddox
Maddox 06.10.2010 um 14:55:02 Uhr
Goto Top
Also...im Anhang die Konfig.
ICh bin neu im Thema Firewalling und bedanke mich schonmal bei allen, die sich die Mühe machen, sich das mal durchzulesen!
Es ist momentan noch ne kleine Microsoft Testumegbung!


name 192.168.51.2 DC
name 192.168.51.3 EX
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.51.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object icmp
protocol-object icmp6
access-list outside_access_in extended permit
access-list outside_access_in extended permit
any 192.168.51.0 255.255.255.0
access-list outside_access_in extended permit
access-list inside_access_in extended permit i
access-list inside_access_in extended permit g
access-list inside_access_in extended permit i

access-list inside_access_in extended permit t
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm location 0.0.0.0 255.255.255.255 inside
asdm location DC 255.255.255.255 inside
asdm location EX 255.255.255.255 inside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp interface 443 EX 4
static (inside,outside) tcp interface https EX
static (inside,outside) tcp interface www EX w
static (inside,outside) udp interface 1723 DC
static (inside,outside) tcp interface pptp DC
static (inside,outside) tcp interface 47 DC 47
access-group inside_access_in in interface ins
access-group outside_access_in in interface ou
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:
timeout sip 0:30:00 sip_media 0:02:00 sip-invi
timeout sip-provisional-media 0:02:00 uauth 0:
http server enable
http 192.168.51.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication l
telnet timeout 5
ssh timeout 5
console timeout 0
aqui
aqui 07.10.2010 um 14:30:37 Uhr
Goto Top
Mmmhhh, oben schreibst du das du GRE freigegebne hast !! Sieht man sich deine Konfig an stimmt das aber nicht denn du hast TCP 47 freigegeben. (static (inside,outside) tcp interface 47 DC 47)
Nochmals damit auch Anfänger es verstehen: GRE ist ein eigenständiges IP Protokoll (kein TCP !) mit der IP Protokoll Nummer 47. Cisco hat dafür auch eine eigene Protokolldefinition "gre".
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol.
Da du also weiterhin nur TCP Port 47 freigegeben hast (was übrigens NI-FTP ist, siehe hier http://meineipadresse.de/html/ip-ports.php) wird den PPTP weiterhin nicht funktionieren !!
Ich bin gaaaanz ruhig dabei ! Vermutlich du aber nicht ?!
brammer
brammer 07.10.2010 um 15:28:30 Uhr
Goto Top
Hallo,

access-list outside_access_in extended permit gre any host C.C.C.C

sowas benötigst du.

brammer
Maddox
Maddox 07.10.2010 um 17:08:07 Uhr
Goto Top
Also...

wer auch immer da jetzt unruhig war ist ja jetzt egal


PROBLEM SOLVED!!!!

Add PPTP inspection to the default policy-map using the default class-map.

pixfirewall(config)#policy-map global_policy

pixfirewall(config-pmap)#class inspection_default

pixfirewall(config-pmap-c)#inspect pptp


Wenn man die Zeilen über Telnet abschießt dann läufts ohne Probleme....

Danke für eure Hilfe