irrfahrer
Goto Top

CISCO ASA 5510 Routingproblem

Guten Tag,
ich habe nun schon einige Zeit im Internet recherchiert, aber keine Antwort auf meine Frage gefunden.
Nun hoffe ich, dass es hier einen Spezialisten gibt, welcher mir helfen kann.

Guten Tag,

folgende Ausgangskonfiguration:

Eine Ciso ASA 5510 mit 18 Site-to-Site VPN Verbindungen, Inside-Interface und Outside-Interface. Es ist eine statische Route (0.0.0.0 0.0.0) und same-security-traffic permit intra-interface konfiguriert, so das Pakete an eine bestimmte Internet-IP von der ASA direkt ins Internet geschickt werden.

Jetzt möchte ich aber, dass die Pakete an eine bestimmte Internet-IP nicht mehr über die ASA hinaus gehen, sondern an einen Router im LAN (Inside-Interface der ASA) geschickt werden. Ist so eine Konfiguration überhaupt mit der ASA machbar ?

Content-ID: 142003

Url: https://administrator.de/contentid/142003

Ausgedruckt am: 23.11.2024 um 05:11 Uhr

aqui
aqui 03.05.2010 um 16:35:49 Uhr
Goto Top
Ja, klar...sonst wärs ja kein Cisco face-wink

Einfach die default route ip route 0.0.0.0 0.0.0.0 <gateway_ip> auf das neue Gateway ändern. Dazu nimmst du die erste Route erstmal mit einem "no" aus der Konfig weg:
no ip route 0.0.0.0 0.0.0.0 <gateway_ip>
..und konfigurierst sie dann mit der neuen Gateway IP wieder neu:
ip route 0.0.0.0 0.0.0.0 <NEUE_gateway_ip>
Konfig sichern mit "wr"...
Fertisch...
Irrfahrer
Irrfahrer 03.05.2010 um 16:46:19 Uhr
Goto Top
Vielen Dank für die schnelle Antwort. Ich glaube ich habe mich zu ungenau ausgedrückt, sorry. Vielleicht sollte ich es anders beschreiben. Ich habe im LAN(Inside) bei den Clients die ASA als Standardgateway eingetragen und möchte das die ASA die IP 192.168.0.0 255.255.0.0 nach Outside weiterschickt und alle übrigen IP an einen anderen Router im LAN.
aqui
aqui 03.05.2010 um 16:58:47 Uhr
Goto Top
OK, auch das ist im Handumdrehen in 2 Minuten eingerichtet:

ip route 192.168.0.0 255.255.0.0 <gateway_ip_im_outside segment>
ip route 0.0.0.0 0.0.0.0 <ip_anderer_Router_im_LAN>

Fertisch...
Irrfahrer
Irrfahrer 03.05.2010 um 17:05:00 Uhr
Goto Top
Ich werde das heute Abend mal testen. Vielen Dank.
aqui
aqui 03.05.2010 um 17:42:43 Uhr
Goto Top
Immer gerne wieder....

Wenns funktioniert bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Irrfahrer
Irrfahrer 06.05.2010 um 11:12:35 Uhr
Goto Top
Hat nicht funktioniert., wobei ich vermute, dass es an der vorhandenen Konfigurations des Cisco und/oder meinem Basiswissen Cisco liegt. Ich habe für nächste Woche einen Cisco-Spezi bestellt.
aqui
aqui 06.05.2010 um 22:18:37 Uhr
Goto Top
Mmmhhh..wenn du mal ein "show ip route" gepostet hättest hättest du dir den Sezi sparen können face-sad
Vermutlich fehlt dir schlicht und einfach im <gateway_ip_im_outside segment> also an dem Router die Rückroute in die Netze an der ASA und analog an der ASA eine ACL die Packete aus diesme Segment in das ASA netz erlauben.
Das ist logisch das man das an einem Firewall Router ja zusätzlich erlauben muss und das simple Routing nur 50% sind.
Check das also mal und dann sollte es auch ohne Spezi gehen. Traceroute und Pathping helfen dir dabei zu sehen wo es kneift..
Irrfahrer
Irrfahrer 07.05.2010 um 08:30:12 Uhr
Goto Top
Guten Morgen Aqui,

schön das Du nicht an mir verzweifelst face-wink.

Ein sh route ergibt das:

C Lan 255.255.255.0 is directly connected, inside
S 212.227.15.183 255.255.255.255 [1/0] via Testrouter, inside
C CC-Outside 255.255.255.248 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via <externe IP>, outside

Ich habe hier als Test die SMTP-IP von 1&1 genommen, unsere externe IP habe ich durch <externe IP> ersetzt. Tracertroute und Ping funktionieren auf der ASA mit der IP 212.227.15.183, soll heissen, die Pakete werden über den Testrouter geschickt. Wenn ich von einer IP im LAN eine ping auf die 212.227.15.183 mache, dann steht im Log der ASA, dass der Ping geblockt wurde, weil keine acl-inside dafür vorhanden ist. Habe schon verschiedene acl-inside probiert, hat aber alles nichts gebracht. Wahrscheinlich gehe ich dort falsch an die Sache heran ?!
aqui
aqui 07.05.2010 um 21:18:07 Uhr
Goto Top
Ja, vermutlich ! Generell ist deine Router richtig, zum Test reicht ertsmal diese Hostroute.
Du siehst ja aber ganz klar am Log das du einzig und allein an den Accesslisten scheiterst !! ....wie schon vermutet. Dein Routing ist OK.
Die ASA benutzt für ihren Ping eine Source IP vom outside Segment, deshalb klappt der Ping ! Du aber hast eine IP vom LAN die in der ACL hängenbleibt...logisch die ASA ist eine FW !!
Du kannst mit den extended Pings der ASA einen Ping vom LAN simulieren. Einfach ping <return> eingeben, IP eintragen, alles abnicken bis "use extended commands" kommt und dann als Source IP die IP des LAN Interfaces eingeben..schwupps dann sollte der Ping nicht mehr klappen...richtig ??
Deine ACL inside muss für ping sowas haben wie: (Annahme dein LAN ist 172.16.1.0 /24 !)

permit icmp host 212.227.15.183 172.16.1.0 0.0.0.255

Denn die ASA blockt die ICMP Echo Reply Pakete von außen mit der Source 212.227.15.183 auf Destination IPs 172.16.1.x wie es so üblich ist bei einer Firewall ! bedenke die o.a. ACL lässt nur ICMP (Ping) durch.
Rausgehen vom LAN nach extern hast du vermutlich alles erlaubt, oder ?? sonst muss auch hier sowas stehen wie:
permit icmp 172.16.1.0 0.0.0.255 host 212.227.15.183

Du solltest sonst mit debug ... die acl mal debuggen auf der ASA, dann siehst du sofort wo es kneift !!
Wenn du mit Telnet oder SSH draufbist term mon nicht vergessen um den Debug Output auf die Telnet Session zu senden !
Denk dran den Debugger nachher mit undebug all wieder auszuschalten !!
nooneelsebutme
nooneelsebutme 10.05.2010 um 11:24:42 Uhr
Goto Top
Hallo,

sorry wenn ich mich einmische, aber so weit ich weis ist deine Konstellation nicht möglich.

Die ASA ist kein Router und "routet" Pakete nur zwischen den Interfaces. Wenn also der Router, den du erreichen willst und das Interface der ASA (welches das DGW für die Clients darstellt) sich im gleichen Netz befinden funktioniert das nicht. Die ASA kann ein Paket, das zum einen Interface hereinkommt, nicht wieder an dem gleichen Interface herausschicken. Die Routingeinträge auf der ASA dienen nur dazu der ASA mitzuteilen, wo sie bestimmte Pakete hinsenden soll. Heist, wenn zBsp. von einer DMZ auf ein Netzwerk zugegriffen werden soll welches sich Beispielsweise hinter einem Router im Intranet befindet, so brauchst du diese Routingeinträge. Für deine Konfiguration musst du den Router entweder an ein extra Interface der ASA Packen, so das die Pakete zum Inside herein kommen und über das neue Interface die ASA verlassen, oder wenn du keine Interfaces mehr frei hast, kannst du mit vlan-tagging arbeiten, sofern du vlan fahige Switches hast. Dann kannst du ein virtuelles Interface erzeugen, (das vlan kann dann wiederum auf dem Insideinterface liegen, dann kommen die Pakete zum Inside herein und verlassen über das "virtuelle" Interface die ASA). In beiden fällen spart das ausserdem noch den zusätzlichen Router.

Gruß

EDIT: Muss meine Aussage revidieren, und zwar ist die von mir oben genannte Tatsache die default Einstellung, mittlerweile gibt es aber wohl die Möglichkeit das über einen Befehl realisieren :

same-security-traffic permit intra-interface

Bzw. im ASDM bei Interfaces den Haken "Enabel traffic between two or more hosts connected to the same interface" setzen.

Damit werden Pakete die an die ASA als Standartgateway gesendet werden entsprechend des Routingeintrages zu dem Router im gleichen Netz wie das ASA-Interface geleitet.
Irrfahrer
Irrfahrer 10.05.2010 um 16:26:01 Uhr
Goto Top
Hallo,

es hat endlich funktioniert.

"same-security-traffic permit intra-interface " war eingetragen, hatte ich aber in meinem Eingangsposting bereits erwähnt face-wink.

Ein besonderer Dank an Aqui, der sich die ganzen Tage mit mir rumgeschlagen hat. Habe es nach Deinen Hinweisen immer weiter eingegrenzt, zum Schluss hat noch ein NAT exempt auf die externe IP gefehlt und dann funktionierte es wunderbar.

Viele Grüße
Irrfahrer