Cisco ASA Loopback
Hallo, ich habe folgende Konfiguration
Modem->CISO-ASA->2 Server und einen Catalyst 3850
Das Modem ist eine Fritzbox 7690 diese ist als "Exposed Host" konfiguriert. Ich habe eine fixe Öffentliche IP, wenn hier eine anfrage reinkommt wird diese an den Server 1 weitergeleitet, hier läuft ein Nginx Proxy der die Anfragen dann richtig verteillt, das funktioniert auch.
z.b.
website.meine.doamin-> server1 website
service.meine.domien -> server2 service
Ich habe aber 2 Probleme:
1. wenn ich von intern z.b. über Client1 meine domain (die ja auf die Öffentliche IP weitergeleitet wird) aufrufe funktioniert das nicht. Loopback? kann ich das Loopback auch für mehrere Clients oder ein gesamtes VLAN einrichten, wenn ja wie?
2. wenn auf Server 2 ein Service mit der meiner öffentlichen IP aufgerufen wird, kommt ein Timeout, vermute dasselbe wie bei 1 kein Loopback
Hier die Konfig der ASA
Danke
Markus
Modem->CISO-ASA->2 Server und einen Catalyst 3850
Das Modem ist eine Fritzbox 7690 diese ist als "Exposed Host" konfiguriert. Ich habe eine fixe Öffentliche IP, wenn hier eine anfrage reinkommt wird diese an den Server 1 weitergeleitet, hier läuft ein Nginx Proxy der die Anfragen dann richtig verteillt, das funktioniert auch.
z.b.
website.meine.doamin-> server1 website
service.meine.domien -> server2 service
Ich habe aber 2 Probleme:
1. wenn ich von intern z.b. über Client1 meine domain (die ja auf die Öffentliche IP weitergeleitet wird) aufrufe funktioniert das nicht. Loopback? kann ich das Loopback auch für mehrere Clients oder ein gesamtes VLAN einrichten, wenn ja wie?
2. wenn auf Server 2 ein Service mit der meiner öffentlichen IP aufgerufen wird, kommt ein Timeout, vermute dasselbe wie bei 1 kein Loopback
Hier die Konfig der ASA
ASA Version 9.8(2)
!
hostname ciscoasa
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 91.22.27.25 255.255.255.252
!
interface GigabitEthernet0/1
description to LAN
nameif inside
security-level 100
ip address 192.168.0.2 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
description DMZ Cloud Server
nameif dmz-cloud-server
security-level 50
ip address 192.168.3.1 255.255.255.0
!
interface GigabitEthernet0/6
description DMZ Data Server
nameif dmz-data-server
security-level 50
ip address 192.168.4.1 255.255.255.0
!
interface GigabitEthernet0/7
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
description Management
management-only
nameif MGMT
security-level 100
ip address 10.10.10.5 255.255.255.0
!
ftp mode passive
same-security-traffic permit inter-interface
object service mqtt
service tcp source eq 1883 destination eq 1883
object network cloud-server-internal
host 192.168.3.100
object network data-server-internal
host 192.168.4.100
object network proxy-server
host 91.112.114.100
object service HTTP
service tcp destination eq www
object service HTTPS
service tcp destination eq https
object-group service DM_INLINE_TCP_1 tcp
port-object eq www
port-object eq https
access-list outside_access_in extended permit ip any any inactive
access-list OUTSIDE extended permit icmp any4 any4 echo inactive
access-list OUTSIDE extended permit tcp any object cloud-server-internal eq www
access-list OUTSIDE extended permit tcp any object cloud-server-internal eq https
access-list OUTSIDE extended permit tcp any object cloud-server-internal eq 1883
access-list OUTSIDE extended permit tcp any object data-server-internal object-group DM_INLINE_TCP_1
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz-cloud-server 1500
mtu dmz-data-server 1500
mtu MGMT 1500
no failover
no monitor-interface service-module
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 32768
nat (dmz-cloud-server,outside) source static cloud-server-internal interface
nat (dmz-data-server,outside) source static data-server-internal interface
nat (dmz-data-server,dmz-data-server) source dynamic data-server-internal interface destination static proxy-server cloud-server-internal service HTTPS HTTPS
!
nat (inside,outside) after-auto source dynamic any interface
nat (dmz-data-server,outside) after-auto source dynamic any interface
nat (dmz-cloud-server,outside) after-auto source dynamic any interface
access-group OUTSIDE in interface outside
route outside 0.0.0.0 0.0.0.0 91.22.27.24 1
route inside 192.168.2.0 255.255.255.0 192.168.0.1 1
route inside 192.168.10.0 255.255.255.0 192.168.0.1 1
route inside 192.168.20.0 255.255.255.0 192.168.0.1 1
route inside 192.168.30.0 255.255.255.0 192.168.0.1 1
route inside 192.168.40.0 255.255.255.0 192.168.0.1 1
route inside 192.168.127.0 255.255.255.0 192.168.0.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
timeout igp stale-route 0:01:10
user-identity default-domain LOCAL
aaa authentication login-history
http server enable
http 10.10.10.0 255.255.255.0 MGMT
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
!
tls-proxy maximum-session 1000
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
dynamic-access-policy-record DfltAccessPolicy
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map global-policy
class inspection_default
inspect http
inspect icmp
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:015a61c6df00c8ce0d0080ad2433db73
: endDanke
Markus
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673404
Url: https://administrator.de/forum/cisco-asa-loopback-netzwerk-673404.html
Ausgedruckt am: 16.06.2025 um 15:06 Uhr
6 Kommentare
Neuester Kommentar
Mahlzeit.
Wer macht denn intern DNS?
Dort könntest du ja die Server 1 und 2 entsprechend auf ihre interne IP zeigen lassen.
Gruß
Marc
PS: Die öffentliche IP in deinem Post solltet du durch 1.2.3.4 ersetzen.
Wer macht denn intern DNS?
Dort könntest du ja die Server 1 und 2 entsprechend auf ihre interne IP zeigen lassen.
Gruß
Marc
PS: Die öffentliche IP in deinem Post solltet du durch 1.2.3.4 ersetzen.
1
Sehr wahrscheinlich auch ein Hairpin NAT Problem weil die entsprechenden Konfig Schritte dazu auf der ASA fehlen.
Die Hairpin Problematik wird hier ganz gut beschrieben:
https://docs.opnsense.org/manual/how-tos/nat_reflection.html#reflection- ...
https://www.youtube.com/watch?v=1I5FywY6opQ (IP Flow ab 1:10)
https://www.youtube.com/watch?v=wjEfdfI0BqY
usw.
Ohne Hairpin Regeln kann man es auch "quick and dirty" lösen sofern deine ASA als DNS Caching Server im internen Netz arbeitet. Über einen statischen Host Eintrag ip host <hostname> <ip_address> Setzt du deinen Webserver dann auf die lokale Adresse. Z.B. ip host website.meine.domain 192.168.4.100. So lösen alle Endgeräte solange sie in deinem internen Netz sind den Webserver nicht mit der öffentlichen IP sondern mit der lokalen auf.
Die Hairpin Problematik wird hier ganz gut beschrieben:
https://docs.opnsense.org/manual/how-tos/nat_reflection.html#reflection- ...
https://www.youtube.com/watch?v=1I5FywY6opQ (IP Flow ab 1:10)
https://www.youtube.com/watch?v=wjEfdfI0BqY
usw.
Ohne Hairpin Regeln kann man es auch "quick and dirty" lösen sofern deine ASA als DNS Caching Server im internen Netz arbeitet. Über einen statischen Host Eintrag ip host <hostname> <ip_address> Setzt du deinen Webserver dann auf die lokale Adresse. Z.B. ip host website.meine.domain 192.168.4.100. So lösen alle Endgeräte solange sie in deinem internen Netz sind den Webserver nicht mit der öffentlichen IP sondern mit der lokalen auf.
Also das Routing ist auf dem 3850 eingerichtet, da zeigen die VLANS DNS auf die IP der Fritzbox.
Danke
PS: ist eine frei erfunden öffentliche IP, zumindest nicht meine
Danke
PS: ist eine frei erfunden öffentliche IP, zumindest nicht meine
Zitat von @WimmerM:
Also das Routing ist auf dem 3850 eingerichtet, da zeigen die VLANS DNS auf die IP der Fritzbox.
Also das Routing ist auf dem 3850 eingerichtet, da zeigen die VLANS DNS auf die IP der Fritzbox.
DNS Overrides auf der Fritte einstellen war in der Vergangenheit nicht ohne Manipulation via SSH/Telnet möglich.
Habe eine aktuelle Firmware nicht im Zugriff, um das dort zu überprüfen.
Gruß
Marc
da zeigen die VLANS DNS auf die IP der Fritzbox.
Die Fritzbox supportet als einfache Consumer Box gar kein Hairpining.Außerdem wäre es auch ziemlich sinnfrei denn die Fritte macht im Modem Betrieb ja gar kein NAT. Die NAT Hairpinning Problematik gibt es logischerweise nur auf dem Device was auch NAT macht, wie es der Name ja schon sagt. Die Fritte reicht ja einfach nur durch als NUR Modem.
Zitat von @aqui:
Außerdem wäre es auch ziemlich sinnfrei denn die Fritte macht im Modem Betrieb ja gar kein NAT.
da zeigen die VLANS DNS auf die IP der Fritzbox.
Die Fritzbox supportet als einfache Consumer Box gar kein Hairpining.Außerdem wäre es auch ziemlich sinnfrei denn die Fritte macht im Modem Betrieb ja gar kein NAT.
Die FRITZ!Box spuckt trotzdem in die Suppe, wenn der TE seine Websites, bzw. seine Domäne nicht in die DNS-Rebind-Ausnahmen der Fritte einträgt
https://fritz.com/service/wissensdatenbank/dok/FRITZ-Box-7590/3565_FRITZ ...
1
