silent-daniel
08.11.2019
view1162
view3
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Cisco ASA 5510 - per VPN auf andere Site2Site Standorte zugreifen

FrageSicherheitFirewall
Hallo,

ich habe eine Cisco ASA 5510 bei einem Kunden mit 5 Site2Site Verbindungen

Hauptstandort: 172.16.0.x
Nebenstandort 1 - 5: 172.16.1.x - 172.16.5.x

wenn ich per VPN auf den Hauptstandort zugreife, kann ich aber nicht auf die Nebenstandort zugreifen.
Es geht darum, dass der Telefon Betreuer auf die Telefonanlagen IPs 172.16.0.240 - 172.16.5.240 zugreifen.


Kann mir jemand helfen, welche Regeln ich da einstellen muss?
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 513469

Url: https://administrator.de/forum/cisco-asa-5510-per-vpn-auf-andere-site2site-standorte-zugreifen-513469.html

Ausgedruckt am: 30.04.2025 um 13:04 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
killtec
killtec 08.11.2019 um 08:07:52 Uhr
Goto Top
Hi,
schau dir im VPN mal die Regeln für den Tunnel an. Vermutlich musst du die Netzmaske für den Tunnel auf eine /16 legen. Sprich 172.16.0.0/16.
Das musst du in der am Hauptstandort machen und auch bei dir.
Dann solltest du schauen, ob auch das Routing innerhalb der Tunnel klappt.

Gruß
aqui
aqui 08.11.2019 um 09:38:12 Uhr
Goto Top
wenn ich per VPN auf den Hauptstandort zugreife, kann ich aber nicht auf die Nebenstandort zugreifen.
Wie Kollege @killtec schon richtig sagt ist das zu 98% eine falsche Firewall Regel !
Ein show ip route zeigt dir das korrekte Routing auf beiden Seiten.
Primär solltest du aber dein Regelwerk prüfen !
Deine Angaben zur Adressierung sind wenig hilfreich oben, denn das Allerwichtigste FEHLT, die Subnetzmaske !!
Bei einem 16er Prefix fürde diese Adressierung nicht klappen und falsch sein. Wir raten dann mal das dort (hoffentlich) ein 24er Prefix im Einsatz ist...?!
ChriBo
ChriBo 08.11.2019 um 12:12:17 Uhr
Goto Top
Hi,
show mal nach <NAT Hairpin>.
Die Herausforderung ist, du mußt auf dem gleichen Interface der ASA auf dem du reinkommst auch ausgehenden Traffic ermöglichen.
Ist aber mit der ASA machbar
FrageSicherheitFirewall
Mehr von silent-danielsilent-danielServer 2019 Fileserver gibt Dateien und Ordner nicht "frei"silent-daniel - 12 Kommentaresilent-danielWindows 11 - Gespeicherte NLW Anmeldeinformationen nur bis Neustart gespeichertsilent-daniel - 3 Kommentaresilent-danielExcel Blätter zusammenführen über Kundennummersilent-daniel - 4 Kommentaresilent-danielPower Automate Desktop - Email Anlagen exportierensilent-daniel - 6 Kommentare
Heiß diskutiert
Surfer12Neue Telefonanlage konventionell oder IPSurfer12 - 32 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 30 Kommentareopc123Kostenloser Hypervisoropc123 - 28 KommentareStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 Kommentarebloodstix2560x1080 Auflösung komischer Rand bei Spielenbloodstix - 21 KommentareAssassinServer 2025 HCI S2D Cluster mit aktuellen AMD Epyc?Assassin - 19 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 18 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 17 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentareTwistedAirNetzwerkgeräte bei Ransomware - Austausch oder Reset?TwistedAir - 13 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentareKauzigUser wird immer mit Temporären Profil angemeldetKauzig - 12 KommentarekreuzbergerMB pro min und MB pro s umrechnenkreuzberger - 12 Kommentare