4
Cisco ASA 5506-X Reboot nach Änderung Outside Interface
Guten Morgen zusammen,
ich bin hier auf ein Problem gestoßen was ich bisher so noch nie erlebt habe.
Ich habe vor ca. 2 Monaten das Netzwerk von meinem Vorgänger übernommen.
Anfang Januar wurde der Provider von Telekom auf Versatel geändert und wir haben entsprechend ein neues IPv4 Subnet erhalten. Mein Vorgänger hat nun versucht auf dem Outside Interface (G1/1) das Telekom Subnetz zu entfernen und Versatel Subnet zu hinterlegen. Sobald diese Änderung übernommen wird startet die ASA sofort neu und die Änderung wird zurückgesetzt. In seiner Not hat er ein neues Outside Interface (G1/4) angelegt und das Versatel Subnetz angelegt was auch funktioniert.
Leider wusste ich bis gestern nichts von der Problematik und bin in die gleiche Falle gelaufen und habe ein Reboot der ASA ausgelöst als ich eine IP Adresse auf dem G1/1 anlegen wollte. Daher meine Frage habt ihr schon so ein Problem gehabt?
ich bin hier auf ein Problem gestoßen was ich bisher so noch nie erlebt habe.
Ich habe vor ca. 2 Monaten das Netzwerk von meinem Vorgänger übernommen.
Anfang Januar wurde der Provider von Telekom auf Versatel geändert und wir haben entsprechend ein neues IPv4 Subnet erhalten. Mein Vorgänger hat nun versucht auf dem Outside Interface (G1/1) das Telekom Subnetz zu entfernen und Versatel Subnet zu hinterlegen. Sobald diese Änderung übernommen wird startet die ASA sofort neu und die Änderung wird zurückgesetzt. In seiner Not hat er ein neues Outside Interface (G1/4) angelegt und das Versatel Subnetz angelegt was auch funktioniert.
Leider wusste ich bis gestern nichts von der Problematik und bin in die gleiche Falle gelaufen und habe ein Reboot der ASA ausgelöst als ich eine IP Adresse auf dem G1/1 anlegen wollte. Daher meine Frage habt ihr schon so ein Problem gehabt?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 881181839
Url: https://administrator.de/contentid/881181839
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
hast du das ganze mal in der Console nachvollzogen?
Was sagt der Logfile?
Im Screenshot ist ja der Hinweis das dieses Interface teil eine crypto map Konfiguration (ein VPN Tunnel) ist.
Wenn diese IP in einem VPN Tunnel konfiguriert ist kann es sein das die ASA bei einer Änderung über das Web interface nicht akzeptiert und daher neu bootet um mit der letzten funktionierenden Config neu startet
brammer
hast du das ganze mal in der Console nachvollzogen?
Was sagt der Logfile?
Im Screenshot ist ja der Hinweis das dieses Interface teil eine crypto map Konfiguration (ein VPN Tunnel) ist.
Wenn diese IP in einem VPN Tunnel konfiguriert ist kann es sein das die ASA bei einer Änderung über das Web interface nicht akzeptiert und daher neu bootet um mit der letzten funktionierenden Config neu startet
brammer
Hallo brammer,
also mein nächster Schritt wäre jetzt das Outside Interface G1/1 auf DHCP umzustellen und zwar direkt auf der Console ohne das ASDM.
Aber du hast Recht früher wurde das Outside Interface für die S2S VPN Verbindungen verwendet. Das würde ich dann nochmals prüfen.
also mein nächster Schritt wäre jetzt das Outside Interface G1/1 auf DHCP umzustellen und zwar direkt auf der Console ohne das ASDM.
Aber du hast Recht früher wurde das Outside Interface für die S2S VPN Verbindungen verwendet. Das würde ich dann nochmals prüfen.
der Hinweis das dieses Interface teil eine crypto map Konfiguration
Das ist auch der Grund des Verhaltens, denn das CLI verbietet (aus gutem Grund) die Änderung der IP solange eine Crypto Map darauf gebunden ist. Sollte man als ASA Admin aber auch wissen... 
Fazit:
- Crypto map erst wegnehmen
- IP Adresse ändern
- Crypto map wieder einhängen
- Fertisch
Wichtig !:
Bei der Gelegenheit die ASA immer gleich auf die aktuellste Firmware heben !!
https://www.heise.de/security/meldung/Jetzt-updaten-Cisco-ASA-5500-X-Ser ...
