meinsenfdazu
Goto Top

Cisco ASA 5506-X Reboot nach Änderung Outside Interface

Guten Morgen zusammen,

ich bin hier auf ein Problem gestoßen was ich bisher so noch nie erlebt habe.

Ich habe vor ca. 2 Monaten das Netzwerk von meinem Vorgänger übernommen.

Anfang Januar wurde der Provider von Telekom auf Versatel geändert und wir haben entsprechend ein neues IPv4 Subnet erhalten. Mein Vorgänger hat nun versucht auf dem Outside Interface (G1/1) das Telekom Subnetz zu entfernen und Versatel Subnet zu hinterlegen. Sobald diese Änderung übernommen wird startet die ASA sofort neu und die Änderung wird zurückgesetzt. In seiner Not hat er ein neues Outside Interface (G1/4) angelegt und das Versatel Subnetz angelegt was auch funktioniert.

Leider wusste ich bis gestern nichts von der Problematik und bin in die gleiche Falle gelaufen und habe ein Reboot der ASA ausgelöst als ich eine IP Adresse auf dem G1/1 anlegen wollte. Daher meine Frage habt ihr schon so ein Problem gehabt?

asa_g1_1

Content-ID: 881181839

Url: https://administrator.de/forum/cisco-asa-5506-x-reboot-nach-aenderung-outside-interface-881181839.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

brammer
Lösung brammer 02.07.2021 um 09:47:23 Uhr
Goto Top
Hallo,

hast du das ganze mal in der Console nachvollzogen?
Was sagt der Logfile?

Im Screenshot ist ja der Hinweis das dieses Interface teil eine crypto map Konfiguration (ein VPN Tunnel) ist.

Wenn diese IP in einem VPN Tunnel konfiguriert ist kann es sein das die ASA bei einer Änderung über das Web interface nicht akzeptiert und daher neu bootet um mit der letzten funktionierenden Config neu startet

brammer
MeinSenfDazu
Lösung MeinSenfDazu 02.07.2021 um 09:59:25 Uhr
Goto Top
Hallo brammer,

also mein nächster Schritt wäre jetzt das Outside Interface G1/1 auf DHCP umzustellen und zwar direkt auf der Console ohne das ASDM.

Aber du hast Recht früher wurde das Outside Interface für die S2S VPN Verbindungen verwendet. Das würde ich dann nochmals prüfen.
aqui
Lösung aqui 02.07.2021 aktualisiert um 13:51:00 Uhr
Goto Top
der Hinweis das dieses Interface teil eine crypto map Konfiguration
Das ist auch der Grund des Verhaltens, denn das CLI verbietet (aus gutem Grund) die Änderung der IP solange eine Crypto Map darauf gebunden ist. Sollte man als ASA Admin aber auch wissen... face-wink
Fazit:
  • Crypto map erst wegnehmen
  • IP Adresse ändern
  • Crypto map wieder einhängen
  • Fertisch
Klappt auf Anhieb. face-wink
Wichtig !:
Bei der Gelegenheit die ASA immer gleich auf die aktuellste Firmware heben !!
https://www.heise.de/security/meldung/Jetzt-updaten-Cisco-ASA-5500-X-Ser ...
brammer
Lösung brammer 02.07.2021 um 12:07:18 Uhr
Goto Top
Hallo,

@aqui,
danke für die Bestätigung, war mir nicht ganz sicher.

brammer