Cisco ASA 5510 mehrere externe IP-Adressen und identische Ports
Hallo und vorweihnachtliche Grüße!
Ich habe das Glück(?) eine ASA mit einer recht kniffligen Konfiguration versehen zu dürfen.
Die Vorgabe ist folgende:
Die ASA stellt über entpsrechendes statisches Portforwarding die Verbindung zu einem Exchangeserver her (Ports 25 und 443 auf Ethernet0/1). Dies läuft über das normale outside interface mit einer externen IP Adresse (Ethernet0/0) und funktioniert wunderbar.
Ebenfalls über die ASA soll das VPN realisiert werden (WebVPN, bzw. AnyConnect). Anlaufpunkt hier soll bzw. muss eine zweite externe IP sein, damit sich die SSL Ports nicht gegenseitig stören.
Bei dem Versuch dem zusätzlichen VPNInterface auf Ethernet0/2 eine entsprechende Adresse zuzuweisen, meckert jedoch die ASA "ERROR: This address conflicts with interface Ethernet0/0
"
Gibt es hier eine art Standardlösung ohne eine 2. ASA aufbauen zu müssen?
Grüße,
Frank
Ich habe das Glück(?) eine ASA mit einer recht kniffligen Konfiguration versehen zu dürfen.
Die Vorgabe ist folgende:
Die ASA stellt über entpsrechendes statisches Portforwarding die Verbindung zu einem Exchangeserver her (Ports 25 und 443 auf Ethernet0/1). Dies läuft über das normale outside interface mit einer externen IP Adresse (Ethernet0/0) und funktioniert wunderbar.
Ebenfalls über die ASA soll das VPN realisiert werden (WebVPN, bzw. AnyConnect). Anlaufpunkt hier soll bzw. muss eine zweite externe IP sein, damit sich die SSL Ports nicht gegenseitig stören.
Bei dem Versuch dem zusätzlichen VPNInterface auf Ethernet0/2 eine entsprechende Adresse zuzuweisen, meckert jedoch die ASA "ERROR: This address conflicts with interface Ethernet0/0
"
Gibt es hier eine art Standardlösung ohne eine 2. ASA aufbauen zu müssen?
Grüße,
Frank
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195867
Url: https://administrator.de/forum/cisco-asa-5510-mehrere-externe-ip-adressen-und-identische-ports-195867.html
Ausgedruckt am: 13.05.2025 um 08:05 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
normal hat man ja eine IP Range vom Provider. Und das läuft alles über über ein Interface. Oder hast du 2 DSL Anschlüsse?
normal hat man ja eine IP Range vom Provider. Und das läuft alles über über ein Interface. Oder hast du 2 DSL Anschlüsse?
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in der Regel für die "Public Servers" stehen.
D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.
Gruß
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in der Regel für die "Public Servers" stehen.
D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.
Gruß
So was ist jetzt ne 'Haupt' IP?
Hi,
ja, evtl. nen bisschen blöde ausgedrückt. Damit meinte ich die IP, die das outside-Interface hat.
Gruß
ja, evtl. nen bisschen blöde ausgedrückt. Damit meinte ich die IP, die das outside-Interface hat.
Gruß
Zitat von @killtec:
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in
der Regel für die "Public Servers" stehen.
D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.
Hi,
bei uns ist das so, dass die VPN Verbindungen über die "Haupt"-IP gehen und der rest über die anderen, die in
der Regel für die "Public Servers" stehen.
D.H. -> Exchange auf die andere IP und alles ist gut
Da wird dann auch nichts mit interfaces eingestellt. Also VPN auf ETH0/2 oder so.
Ich wollte unserem Exchange ned wirklich eine eigene öffentliche IP geben ;) Das der hinter der ASA steht is schon gut so.
Ich habe vorhin gelernt, dann man das webvpn auch über 444 laufen lassen könnte, was zwar nicht wirklich das ursprüngliche Problem löst, aber zumindest ein quick fix wäre, wenn der Rest der Konfiguration funktioniert ;)
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder mehrere Anschlüsse mit einer IP?
Hi,
wenn du aber schon per Port 25 und 443 von außen auf den Exchange zugreifst hat er ja über die ASA schon eine öffenltiche IP. Intern bleibt sowieso die private IP.
Gruß
wenn du aber schon per Port 25 und 443 von außen auf den Exchange zugreifst hat er ja über die ASA schon eine öffenltiche IP. Intern bleibt sowieso die private IP.
Gruß
Zitat von @wiesi200:
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder
mehrere Anschlüsse mit einer IP?
Hat auch keiner behauptet das der Exchange nicht hinter die ASA soll. Mal von vorne was kriegst du vom Provider eine Range oder
mehrere Anschlüsse mit einer IP?
Von Provider haben wir eine Range bekommen. Sagen wir einfach mal 5.5.5.60 bis 5.5.5.80.
Das "normale" outside interface der asa ist historisch die 5.5.5.71 und ist für die weiterleitung des OWA Clients und die zustellung der Emails vom Provider zuständig.
die 5.5.5.70 war für das VPN gedacht.
Sollte nun anstelle von https://5.5.5.70 jemand https:/5.5.5.71:444 eintippen müssen um das webvpn zu starten ist dies nicht der Weltuntergang nur wäre es "sauber" natürlich schöner.
Grüße,
Frank
Also dann würde ich das ganze so machen, wenn du's wirklich sauber haben willst.
Das mit dem zweiten Interface lassen.
Dann clientless VPN einschalten, das geht normal auf die Interface IP.
Jetzt Port 443 und 80 auf Interface Outside mit der IP einer der anderen IP adressen, am besten auf einen Reverse Proxy, in einer DMZ leiten. Hierzu eignet sich eine Anleitung hier von Dani recht gut.
Jetzt bei deinem Domain Hoster eine Subdomain z.b. home und vpn erstellen und den A-Record auf die Weitergeleitete IP setzen.
Dann noch bei StartSSL ein öffentliches Zertifikat beantragen (kostenlos) und das bei dem Reverse Proxy hinterlegen.
jetzt kannst du dein VPN mit https://vpn.domain.de aufrufen
OWA mit http://home.domain.de oder https:/home.domain.de und du kriegst beim OWA keinen Zertifikatsfehler.
Das mit dem zweiten Interface lassen.
Dann clientless VPN einschalten, das geht normal auf die Interface IP.
Jetzt Port 443 und 80 auf Interface Outside mit der IP einer der anderen IP adressen, am besten auf einen Reverse Proxy, in einer DMZ leiten. Hierzu eignet sich eine Anleitung hier von Dani recht gut.
Jetzt bei deinem Domain Hoster eine Subdomain z.b. home und vpn erstellen und den A-Record auf die Weitergeleitete IP setzen.
Dann noch bei StartSSL ein öffentliches Zertifikat beantragen (kostenlos) und das bei dem Reverse Proxy hinterlegen.
jetzt kannst du dein VPN mit https://vpn.domain.de aufrufen
OWA mit http://home.domain.de oder https:/home.domain.de und du kriegst beim OWA keinen Zertifikatsfehler.
Herzlichen Danke für deine Ideen!
Leider kam ich erst heute dazu diese zu testen.
Ich habe allerdings an einer Stelle ein Verständnisproblem, bzw. mein VPN client
Wenn ich Ports 443 und 80 vom outside Interface weiterleite und dann ebenfalls mittels des Cisco Anyconnect gedönsrats versuche eine VPN Verbindung aufzubauen (ziel ist natürlich ebenfalls die Outside interface adresse, möchte er mir immer das Zertifikat des Exchangeservers anbieten, was natürlich schiefgehen muss.
Mittels
webvpn
port 444
enable outside
in der config versuche ich die Doppelbelegung zu umgehen, jedoch bekomme ich hier (wenn auch kein ExchangeZertifikat) auch über diesen Port keine Verbindung hin.
Habe ich ein Verständnisproblem oder hattest du etwas vorausgesetzt in der config was ich in meiner Unkenntnis einfach erfolgreich ignoriert habe?
Danke
Vorweihnachtliche Grüße,
Frank
Leider kam ich erst heute dazu diese zu testen.
Ich habe allerdings an einer Stelle ein Verständnisproblem, bzw. mein VPN client
Wenn ich Ports 443 und 80 vom outside Interface weiterleite und dann ebenfalls mittels des Cisco Anyconnect gedönsrats versuche eine VPN Verbindung aufzubauen (ziel ist natürlich ebenfalls die Outside interface adresse, möchte er mir immer das Zertifikat des Exchangeservers anbieten, was natürlich schiefgehen muss.
Mittels
webvpn
port 444
enable outside
in der config versuche ich die Doppelbelegung zu umgehen, jedoch bekomme ich hier (wenn auch kein ExchangeZertifikat) auch über diesen Port keine Verbindung hin.
Habe ich ein Verständnisproblem oder hattest du etwas vorausgesetzt in der config was ich in meiner Unkenntnis einfach erfolgreich ignoriert habe?
Danke
Vorweihnachtliche Grüße,
Frank
