CISCO ASA 5510 Routingproblem
Guten Tag,
ich habe nun schon einige Zeit im Internet recherchiert, aber keine Antwort auf meine Frage gefunden.
Nun hoffe ich, dass es hier einen Spezialisten gibt, welcher mir helfen kann.
Guten Tag,
folgende Ausgangskonfiguration:
Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.
Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?
ich habe nun schon einige Zeit im Internet recherchiert, aber keine Antwort auf meine Frage gefunden.
Nun hoffe ich, dass es hier einen Spezialisten gibt, welcher mir helfen kann.
Guten Tag,
folgende Ausgangskonfiguration:
Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.
Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142003
Url: https://administrator.de/forum/cisco-asa-5510-routingproblem-142003.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
11 Kommentare
Neuester Kommentar
Ja, klar...sonst wärs ja kein Cisco
Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Immer gerne wieder....
Wenns funktioniert bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns funktioniert bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mmmhhh..wenn du mal ein "show ip route" gepostet hättest hättest du dir den Sezi sparen können
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Ja, vermutlich ! Generell ist deine Router richtig, zum Test reicht ertsmal diese Hostroute.
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)
permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255
Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183
Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)
permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255
Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183
Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
Hallo,
sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.
Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.
Gruß
EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :
same-security-traffic permit intra-interface
Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.
Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.
sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.
Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.
Gruß
EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :
same-security-traffic permit intra-interface
Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.
Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.