5
Cisco ASA 5510 wie geht Telnet auch über Outside Interface ?
Ich bin echte Anfängerin bei ASA's daher ein Sorry, wenn ich dumme Fragen stelle...
Hallo Leute, ich soll bei einer ASA 5510 mit der neuen Oberfläche 8x einen Telnet Zugang für das Outside Interface für einen best. PC freigeben. Der Sinn ist mir auch egal.
Über den mangement port geht Telnet.
Wie kriege ich es also hin, das es auch über den Outside Port geht?
Und bitte bitte:
nicht wie das mit der Console geht, damit kann ich mich echt nicht anfreunden.
Bitte eine Erklärung wie ich das über das ASDM Interface machen kann, ich bin halt 'Mäuseschieberin' sorry
Info:
Das Outside ist ETH0/0 und hat sec level 0
Das Inside ist ETH0/3 und hat sec level 100 (nur der Vollständig halber)
Über das Outside Interface komme ich mit dem ASDM an die ASA zum konfig drann, aber nicht per telnet, warum?
Das management Interface hat als eingetragen "Management only" die anderen nicht > ist doch so richtig?
Unter
Configuration > Device Management > Useres/AAA > User Accounts
haben alle User den Privilege level 15 und Access Restrictions FULL
Unter
Configuration > Device Management > Management Access > ASDM/HTTP/Telnet
habe ich eingetragen
Type=Telnet Interface= Outside IP IP Adresse mit SUBMaske von dem PC außerhalb der mit Telnet zugreifen soll
Aber ich bekomme immer : ...keine Verbindung...auf Port 23
An dem PC ist die Windows-FW natürlich aus.
LG Sandra
Hallo Leute, ich soll bei einer ASA 5510 mit der neuen Oberfläche 8x einen Telnet Zugang für das Outside Interface für einen best. PC freigeben. Der Sinn ist mir auch egal.
Über den mangement port geht Telnet.
Wie kriege ich es also hin, das es auch über den Outside Port geht?
Und bitte bitte:
nicht wie das mit der Console geht, damit kann ich mich echt nicht anfreunden.
Bitte eine Erklärung wie ich das über das ASDM Interface machen kann, ich bin halt 'Mäuseschieberin' sorry
Info:
Das Outside ist ETH0/0 und hat sec level 0
Das Inside ist ETH0/3 und hat sec level 100 (nur der Vollständig halber)
Über das Outside Interface komme ich mit dem ASDM an die ASA zum konfig drann, aber nicht per telnet, warum?
Das management Interface hat als eingetragen "Management only" die anderen nicht > ist doch so richtig?
Unter
Configuration > Device Management > Useres/AAA > User Accounts
haben alle User den Privilege level 15 und Access Restrictions FULL
Unter
Configuration > Device Management > Management Access > ASDM/HTTP/Telnet
habe ich eingetragen
Type=Telnet Interface= Outside IP IP Adresse mit SUBMaske von dem PC außerhalb der mit Telnet zugreifen soll
Aber ich bekomme immer : ...keine Verbindung...auf Port 23
An dem PC ist die Windows-FW natürlich aus.
LG Sandra
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177052
Url: https://administrator.de/contentid/177052
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
5 Kommentare
Neuester Kommentar
Dumme Fragen gibts nicht...nur dumme Antworten. Du musst ganz einfach eine ACL anlegen die TCP 23 erlaubt aufs Inside Interface ala:
access-list 100 extended permit tcp any host <ip_asa> eq telnet
Sieh dich mal bei den Beispielkonfigs um:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ... "Allow and Block the Traffic Through the Security Appliance"
Da kommt dann meist schnell das Aha Erlebnis !
Übrigens: Die Winblows Firewall ist relevant für incoming Traffic nicht für outgoing ! Da du vom PC ja Telnet outgoing machst mit Putty, TeraTerm und Konsorten ist das Ausschalten der Win Firewall also relativ sinnfrei und auch kontraproduktiv in diesem Szenario.
Nochwas: Sofern du mit Telnet auf die ASA zugreifen willst solltest du dir das mehr als reichlich überlegen ! Kein normaler, verantwortungsbewusster und an Sicherheit denkender Netzwerk Admin macht sowas....nichtmal Anfänger. Und schon gleich gar nicht auf eine Security Appliance wie die ASA. Ein absolutes NoGo, da es nicht verschlüsselt ist und alles inkl. Passwörter im Klartext übertragen werden !
Gute Admins machen sowas mit SSH (Port TCP 22) oder eben mit einem kleinen VPN auf die ASA das du bei Verwendung von PPTP mit 3 Mausklicks (OK, CLI Interface ist auch nur was für "richtige" Männer ) auf der ASA einrichtest.
Denk also besser nochmal drüber nach was du da machst...?!
access-list 100 extended permit tcp any host <ip_asa> eq telnet
Sieh dich mal bei den Beispielkonfigs um:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ... "Allow and Block the Traffic Through the Security Appliance"
Da kommt dann meist schnell das Aha Erlebnis !
Übrigens: Die Winblows Firewall ist relevant für incoming Traffic nicht für outgoing ! Da du vom PC ja Telnet outgoing machst mit Putty, TeraTerm und Konsorten ist das Ausschalten der Win Firewall also relativ sinnfrei und auch kontraproduktiv in diesem Szenario.
Nochwas: Sofern du mit Telnet auf die ASA zugreifen willst solltest du dir das mehr als reichlich überlegen ! Kein normaler, verantwortungsbewusster und an Sicherheit denkender Netzwerk Admin macht sowas....nichtmal Anfänger. Und schon gleich gar nicht auf eine Security Appliance wie die ASA. Ein absolutes NoGo, da es nicht verschlüsselt ist und alles inkl. Passwörter im Klartext übertragen werden !
Gute Admins machen sowas mit SSH (Port TCP 22) oder eben mit einem kleinen VPN auf die ASA das du bei Verwendung von PPTP mit 3 Mausklicks (OK, CLI Interface ist auch nur was für "richtige" Männer
) auf der ASA einrichtest.Denk also besser nochmal drüber nach was du da machst...?!
Danke,
ich bin dem Link gefolgt, und habe gemäß der obersten Anleitung:
ASA 8.3 and Later: Set SSH/Telnet/HTTP Connection Timeout using MPF Configuration Example
genau das mit dem ASDM eingerichtet.
War ja genau das wie ich mir das vorgestellt habe, schöne eindeutige Bilder für den ASDM also was für mich
Aber Telnet geht so immer noch nicht.
Deinem Vorschlag bin ich gefolgt, und habe auch das Gleiche mit SSH gemacht, weil ich dann auf das Telnet verzichten könnte, mit dem gleichen negativen Erfolg.
Es muss also noch etwas an anderer Stelle eingetragen werden, was in der obigen Anleitung nicht aufgeführt wurde, aber wo und was bitte?
ich bin dem Link gefolgt, und habe gemäß der obersten Anleitung:
ASA 8.3 and Later: Set SSH/Telnet/HTTP Connection Timeout using MPF Configuration Example
genau das mit dem ASDM eingerichtet.
War ja genau das wie ich mir das vorgestellt habe, schöne eindeutige Bilder für den ASDM also was für mich
Aber Telnet geht so immer noch nicht.
Deinem Vorschlag bin ich gefolgt, und habe auch das Gleiche mit SSH gemacht, weil ich dann auf das Telnet verzichten könnte, mit dem gleichen negativen Erfolg.
Es muss also noch etwas an anderer Stelle eingetragen werden, was in der obigen Anleitung nicht aufgeführt wurde, aber wo und was bitte?
Du brauchst eine ACL ! Halte dich sinnvollerweise an die FTP Beispiele:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
oder die Beispiele für andere Ports:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Die musst du eigentlich nur abtippen mit deinem Telnet Port TCP 23.
Wenn du dich ans CLI gewöhnst kannst du dort einen Troubleshoot Funktion mit dem "debug" Kommando nutzen und die ACL debuggen. Damit siehst du sofort wo der Hase im Pfeffer liegt.
Allerdings musst du dich dann ins CLI "verlieben" !
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
oder die Beispiele für andere Ports:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
Die musst du eigentlich nur abtippen mit deinem Telnet Port TCP 23.
Wenn du dich ans CLI gewöhnst kannst du dort einen Troubleshoot Funktion mit dem "debug" Kommando nutzen und die ACL debuggen. Damit siehst du sofort wo der Hase im Pfeffer liegt.
Allerdings musst du dich dann ins CLI "verlieben" !
Nur nochmal der Vollständigkeit wegen:
Ich habe an der ASA ein Outside Interfafe und den management Port.
Über beide kann ich mit dem ASDM auf die ASA zugreifen.
ASDM = die hübsche bunte Oberfläche
Und ich bevorzuge diese....
Ich benötige einen Telnet Zugang (vorübergehend, und ja, ich weiß das es nicht gut ist, aber will das hier nicht diskutieren)
Also habe ich in
Configuration > Device management > Management Access > ASDM/HTTPS/Telnet
den Type Telnet , Das Interface management , und das Netzwerksegment von wo da eintragen, und es geht Telnet über den management Port
Dann habe ich genau das Gleiche eingetragen nur eben beim Interface Outside eingetragen, und das andere Netzsegment.
Und es geht nicht über das Outside Interface.
Frage also, warum über den management Port und eben nicht über das Outside Interface??
Im Logging erkenne ich dann :
IPSEC: Received a non-IPSEC packet (protokol=TCP)
Was könnte es sein was ich übersehen habe bei meiner ASA ?
Ich habe an der ASA ein Outside Interfafe und den management Port.
Über beide kann ich mit dem ASDM auf die ASA zugreifen.
ASDM = die hübsche bunte Oberfläche
Und ich bevorzuge diese....
Ich benötige einen Telnet Zugang (vorübergehend, und ja, ich weiß das es nicht gut ist, aber will das hier nicht diskutieren)
Also habe ich in
Configuration > Device management > Management Access > ASDM/HTTPS/Telnet
den Type Telnet , Das Interface management , und das Netzwerksegment von wo da eintragen, und es geht Telnet über den management Port
Dann habe ich genau das Gleiche eingetragen nur eben beim Interface Outside eingetragen, und das andere Netzsegment.
Und es geht nicht über das Outside Interface.
Frage also, warum über den management Port und eben nicht über das Outside Interface??
Im Logging erkenne ich dann :
IPSEC: Received a non-IPSEC packet (protokol=TCP)
Was könnte es sein was ich übersehen habe bei meiner ASA ?
Also, ich hab es auch selber rausgekriegt.....
Es geht bei der ASA kein Telnet auf dem Outside Interface.
Zitat aus der Cisco Beschreibung:
Note: In general, if any interface that has a security level of 0 or lower than any other interface, then PIX/ASA does not allow Telnet to that interface.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Es geht bei der ASA kein Telnet auf dem Outside Interface.
Zitat aus der Cisco Beschreibung:
Note: In general, if any interface that has a security level of 0 or lower than any other interface, then PIX/ASA does not allow Telnet to that interface.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
