9
Cisco ASA5505 das letzte Problem.
Hallo zusammen, ich hoffe ihr hattet ein schönes WE.
Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft wie gewünscht über den ShrewSoftVPN-Client.
Allerdings habe ich immernoch das Problem mit meinem Netzwerkdrucker.
Seit dem Umstellen auf die ASA funktioniert das Scan-to-Mail und auch das Fax-to-Mail nicht mehr.
Meine erste Vermutung war das DNS. Also eine statische IP beim SMTP-Server vergeben und es funktionierte ... 2 Mal.
Jetzt leider seit fast einer Woche gar nicht mehr... ich weiß echt nicht mehr was ich noch testen kann.
Was ich bisher getestet habe mit folgender Config:
SMTP Regel hinzugefügt
Any Any TCP Port 587 [SMTP Port von Office365]
Verschiedene DNS Server getestet.
Statische IP Adresse eines Office365 SMTP-Server genommen [Hat zwei mal funktioniert]
Verschiedene Postfächer getestet [bezgl. Authentifizierung].
Statische DNS Server auf dem Gerät selbst hinterlegt.
Alles bisher ohne Ergebnis.
Hat sonst noch jemand eine Idee? Ich weiß langsam echt nicht mehr weiter... hier sind schon alle genervt weil in die SCAN Freigabe gescannt werden soll. ..
liebe Grüße und einen guten Start in die Woche.
Yannosch
Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft wie gewünscht über den ShrewSoftVPN-Client.
Allerdings habe ich immernoch das Problem mit meinem Netzwerkdrucker.
Seit dem Umstellen auf die ASA funktioniert das Scan-to-Mail und auch das Fax-to-Mail nicht mehr.
Meine erste Vermutung war das DNS. Also eine statische IP beim SMTP-Server vergeben und es funktionierte ... 2 Mal.
Jetzt leider seit fast einer Woche gar nicht mehr... ich weiß echt nicht mehr was ich noch testen kann.
Was ich bisher getestet habe mit folgender Config:
ASA Version 8.2(5)
!
hostname ciscoasa
enable password sdfgsdfghgfdh encrypted
passwd dfghdfghfghdfgh encrypted
names
name 192.168.0.21 PrinterMFP
name 192.168.0.35 COM description TestHost
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan5
no nameif
security-level 50
ip address 192.168.5.1 255.255.255.0
!
!
time-range RA_VPN
periodic daily 0:00 to 23:59
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 212.7.160.2 // <--- Provider DNS1
name-server 212.7.160.3 // <--- Provider DNS2
object-group service SMTPOffice365 tcp
port-object eq 587
access-list RA_VPN_access extended permit ip any any
access-list RA_VPN_access extended permit ip any 192.168.0.0 255.255.255.0
access-list RA_VPN_access extended permit ip any host 192.168.0.133
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
ip local pool VPN_Pool 192.168.0.240-192.168.0.245 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 1
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.0.5-COM inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy RA_VPN1 internal
group-policy RA_VPN1 attributes
dns-server value 8.8.8.8 4.2.2.2 //<--- Erstmal Testweise
vpn-access-hours value RA_VPN
vpn-filter value RA_VPN_access
vpn-tunnel-protocol IPSec
group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
vpn-access-hours value RA_VPN
vpn-filter value RA_VPN_access
username X1 password XXXXXXXXXXXXX encrypted privilege 0
username X1 attributes
vpn-group-policy RA_VPN1
username X2 password XXXXXXXXXXXXX encrypted privilege 0
username X2 attributes
vpn-group-policy RA_VPN1
username X3 password XXXXXXXXXXXXX encrypted privilege 0
username X3 attributes
vpn-group-policy RA_VPN1
username X4 password XXXXXXXXXXXXX encrypted privilege 0
username X4 attributes
vpn-group-policy RA_VPN1
username X5 password XXXXXXXXXXXXX encrypted privilege 0
username X5 attributes
vpn-group-policy RA_VPN1
tunnel-group RA_VPN1 type remote-access
tunnel-group RA_VPN1 general-attributes
address-pool VPN_Pool
default-group-policy RA_VPN1
tunnel-group RA_VPN1 ipsec-attributes
pre-shared-key XXXXX
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:XXXXXXXXXXXXXXXXXXXXXXXXSMTP Regel hinzugefügt
Any Any TCP Port 587 [SMTP Port von Office365]
Verschiedene DNS Server getestet.
Statische IP Adresse eines Office365 SMTP-Server genommen [Hat zwei mal funktioniert]
Verschiedene Postfächer getestet [bezgl. Authentifizierung].
Statische DNS Server auf dem Gerät selbst hinterlegt.
Alles bisher ohne Ergebnis.
Hat sonst noch jemand eine Idee? Ich weiß langsam echt nicht mehr weiter... hier sind schon alle genervt weil in die SCAN Freigabe gescannt werden soll. ..
liebe Grüße und einen guten Start in die Woche.
Yannosch
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336650
Url: https://administrator.de/forum/cisco-asa5505-das-letzte-problem-336650.html
Ausgedruckt am: 11.04.2025 um 13:04 Uhr
9 Kommentare
Neuester Kommentar
Gehe doch einmal strategisch vor....
Stecke statt des Druckers mal einen Test Laptop in den Druckerport mit gleicher IP Adresse, Gateway und DNS Adresse. (Drucker natürlich ausgestöpselt lassen.)
Ebenfalls sollte ein Mail Client wie Thunderbird etc. installiert sein mit exakt den Mailserver Adressen und TCP Ports wie beim Drucker.
Ideal wäre noch ein Wireshark Sniffer auf dem Laptop
Dann gehtst du strategisch vor und machst Folgendes:
Damit machst du mit dem Laptop dann exakt genau das was auch der Drucker macht, hast aber erheblich mehr Diagnose Möglichkeiten um dem Fehler grundlegend auf die Spur zu kommen.
Kommt man aber eigentlich auch von selber drauf
Stecke statt des Druckers mal einen Test Laptop in den Druckerport mit gleicher IP Adresse, Gateway und DNS Adresse. (Drucker natürlich ausgestöpselt lassen.)
Ebenfalls sollte ein Mail Client wie Thunderbird etc. installiert sein mit exakt den Mailserver Adressen und TCP Ports wie beim Drucker.
Ideal wäre noch ein Wireshark Sniffer auf dem Laptop
Dann gehtst du strategisch vor und machst Folgendes:
- Ping um die IP Connectivity generell zu testen
- nslookup <mail_server_name> oder dig <mail_server> um die richtige DNS Konfig und Verhalten zu testen. Falls es hier schon zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
- Klappt DNS fehlerfrei, dann Test Mails versenden. Auch hier wieder: Falls es zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
- Auch kannst du dann von dem Laptop die Scan Freigabe ansprechen und Testdateien dahin kopieren und auch das wieder protokollieren sollte es kneifen.
Damit machst du mit dem Laptop dann exakt genau das was auch der Drucker macht, hast aber erheblich mehr Diagnose Möglichkeiten um dem Fehler grundlegend auf die Spur zu kommen.
Kommt man aber eigentlich auch von selber drauf
Hi Yannosh,
wie schon letztes von mir angefragt: Was steht in den Logs ?
In deiner Konfiguration kann ich erkennen, daß du Logging nicht ausreichend konfiguriert hast um den Verkehr zwischen dem Drucker und dem Office365 SMTP-Server zu loggen.
Ein Ansatz könnte noch sein: disable mal "inspect esmtp" in der policy rule.
Verwende eine Firewall die du beherrscht. Die Cisco ASA hat ihre Besonderheiten, die nicht "mal so eben" zu beherrschen sind.
Gruß
CH
wie schon letztes von mir angefragt: Was steht in den Logs ?
In deiner Konfiguration kann ich erkennen, daß du Logging nicht ausreichend konfiguriert hast um den Verkehr zwischen dem Drucker und dem Office365 SMTP-Server zu loggen.
Ein Ansatz könnte noch sein: disable mal "inspect esmtp" in der policy rule.
Hat sonst noch jemand eine Idee?
Ja. Mag hart klingen:Verwende eine Firewall die du beherrscht. Die Cisco ASA hat ihre Besonderheiten, die nicht "mal so eben" zu beherrschen sind.
Gruß
CH
@aqui
Danke für deine Geduld!
Werde ich gleich Testen & mich dann nochmal hier melden.
@ChriBo
Hier wäre der Ansatz ggf. auf Quellen zu verweisen die erklären wie das Logging in diesem Fall richtig einzustellen ist.
Werde ich gleich auch einmal Testen! Danke.
Verwende eine Firewall die du beherrscht. Die Cisco ASA hat ihre Besonderheiten, die nicht "mal so eben" zu beherrschen sind.
Mag hart klingen, aber genau wegen solcher Vorgehensweisen bleibt man stehen. Warum soll ich mir eine Firewall hinstellen die nochmal Geld kostet & bei der ich nix lerne?
Das ist ein Forum um Hilfestellung zu bieten & zu bekommen - so wie ich anderen Leuten hier versuche weiterzuhelfen erwarte ich es auch von anderen. SO funktioniert so ein Forum. Eine komprimierte Aussage wie "arbeite eben mit dem was du verstehst" halte ich eher für kontraproduktiv.
Gruß
YA
Danke für deine Geduld!
Werde ich gleich Testen & mich dann nochmal hier melden.
@ChriBo
Zitat von @ChriBo:
Hi Yannosh,
wie schon letztes von mir angefragt: Was steht in den Logs ?
In deiner Konfiguration kann ich erkennen, daß du Logging nicht ausreichend konfiguriert hast um den Verkehr zwischen dem Drucker und dem Office365 SMTP-Server zu loggen.
Hi Yannosh,
wie schon letztes von mir angefragt: Was steht in den Logs ?
In deiner Konfiguration kann ich erkennen, daß du Logging nicht ausreichend konfiguriert hast um den Verkehr zwischen dem Drucker und dem Office365 SMTP-Server zu loggen.
Hier wäre der Ansatz ggf. auf Quellen zu verweisen die erklären wie das Logging in diesem Fall richtig einzustellen ist.
Ein Ansatz könnte noch sein: disable mal "inspect esmtp" in der policy rule.
Werde ich gleich auch einmal Testen! Danke.
Hat sonst noch jemand eine Idee?
Ja. Mag hart klingen:Verwende eine Firewall die du beherrscht. Die Cisco ASA hat ihre Besonderheiten, die nicht "mal so eben" zu beherrschen sind.
Mag hart klingen, aber genau wegen solcher Vorgehensweisen bleibt man stehen. Warum soll ich mir eine Firewall hinstellen die nochmal Geld kostet & bei der ich nix lerne?
Das ist ein Forum um Hilfestellung zu bieten & zu bekommen - so wie ich anderen Leuten hier versuche weiterzuhelfen erwarte ich es auch von anderen. SO funktioniert so ein Forum. Eine komprimierte Aussage wie "arbeite eben mit dem was du verstehst" halte ich eher für kontraproduktiv.
Gruß
CH
CH
Gruß
YA
Zitat von @aqui:
Gehe doch einmal strategisch vor....
Stecke statt des Druckers mal einen Test Laptop in den Druckerport mit gleicher IP Adresse, Gateway und DNS Adresse. (Drucker natürlich ausgestöpselt lassen.)
Gehe doch einmal strategisch vor....
Stecke statt des Druckers mal einen Test Laptop in den Druckerport mit gleicher IP Adresse, Gateway und DNS Adresse. (Drucker natürlich ausgestöpselt lassen.)
Habe ich gemacht. Alles statisch konfiguriert & so sah es aus:
Habe aus jucks den Haken bei "Einstellungen beim Beenden überprüfen" gesetzt.
Folgendes sagte mir das Diagnose-Tool:
Der DNS-Server antwortet nicht. Wie ich vermutet hatte weil es mit der statischen IP ja kurz funktionierte.
Ebenfalls sollte ein Mail Client wie Thunderbird etc. installiert sein mit exakt den Mailserver Adressen und TCP Ports wie beim Drucker.
Ist drauf.
Ideal wäre noch ein Wireshark Sniffer auf dem Laptop
Ist auch drauf.
Dann gehtst du strategisch vor und machst Folgendes:
- Ping um die IP Connectivity generell zu testen
Intern ja, extern nein ...
* nslookup <mail_server_name> oder dig <mail_server> um die richtige DNS Konfig und Verhalten zu testen. Falls es hier schon zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
Damit machst du mit dem Laptop dann exakt genau das was auch der Drucker macht, hast aber erheblich mehr Diagnose Möglichkeiten um dem Fehler grundlegend auf die Spur zu kommen.
Kommt man aber eigentlich auch von selber drauf
- Klappt DNS fehlerfrei, dann Test Mails versenden. Auch hier wieder: Falls es zu Problemen kommt Wireshark starten und sehen wo die Verbindung hängt.
- Auch kannst du dann von dem Laptop die Scan Freigabe ansprechen und Testdateien dahin kopieren und auch das wieder protokollieren sollte es kneifen.
Damit machst du mit dem Laptop dann exakt genau das was auch der Drucker macht, hast aber erheblich mehr Diagnose Möglichkeiten um dem Fehler grundlegend auf die Spur zu kommen.
Kommt man aber eigentlich auch von selber drauf
Fazit: Mit der Konfig
Komme ich nicht ins Internet.
IP Konnektivität lokal ja, darüber hinaus nein.
Bin mit meinem Wissen jetzt allmälich am Ende.
EDIT: Habe nach dem Testen wieder alles so eingestellt wie es vorher war. [siehe Bild]...
Allerdings habe ich ab DIESEM Moment sogar mit der vorherigen Konfig kein Internet mehr ...
@aqui ... hast du da eine Idee ??
Oder sonst irgend jemand ? .... ich drehe hier durch..
Macht mir der DNS Server meines Providers diese Probleme oder ist es eine falsche Einstellung der Cisco?
Liebe Grüße
Hallo,
Gruß,
Peter
Zitat von @Yannosch:
Der DNS-Server antwortet nicht. Wie ich vermutet hatte weil es mit der statischen IP ja kurz funktionierte.
Scheint das dein Netzwerk total aus der Spur ist. Du wirst wohl mehr als einen Konfigurationsfehler in deinen Systemen haben.Der DNS-Server antwortet nicht. Wie ich vermutet hatte weil es mit der statischen IP ja kurz funktionierte.
C:\Users\meiereier>ping 212.7.160.9
Ping wird ausgeführt für 212.7.160.9 mit 32 Bytes Daten:
Antwort von 212.7.160.9: Bytes=32 Zeit=39ms TTL=52
Antwort von 212.7.160.9: Bytes=32 Zeit=32ms TTL=52
Antwort von 212.7.160.9: Bytes=32 Zeit=41ms TTL=52
Antwort von 212.7.160.9: Bytes=32 Zeit=39ms TTL=52
Ping-Statistik für 212.7.160.9:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 32ms, Maximum = 41ms, Mittelwert = 37ms
C:\Users\meiereier>ping 212.7.160.2
Ping wird ausgeführt für 212.7.160.2 mit 32 Bytes Daten:
Antwort von 212.7.160.2: Bytes=32 Zeit=47ms TTL=52
Antwort von 212.7.160.2: Bytes=32 Zeit=38ms TTL=52
Antwort von 212.7.160.2: Bytes=32 Zeit=41ms TTL=52
Antwort von 212.7.160.2: Bytes=32 Zeit=47ms TTL=52
Ping-Statistik für 212.7.160.2:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 38ms, Maximum = 47ms, Mittelwert = 43ms
C:\Users\meiereier>nslookup smtp.office365.com
Server: KLEIN.DBASTA.Local
Address: 192.168.255.1
Nicht autorisierende Antwort:
Name: outlook-emeaeast2.office365.com
Addresses: 2603:1026:4:b3::2
2603:1026:4:51::2
2603:1026:4:9f::2
2603:1026:7:3c::2
2603:1026:300:ce::2
2603:1026:301:29::2
2603:1026:300:78::2
2603:1026:3:78::2
2603:1026:3:b6::2
40.101.50.2
40.101.46.34
40.101.43.178
40.101.45.242
40.101.126.114
40.101.55.194
40.101.76.130
40.96.24.146
40.101.48.66
Aliases: smtp.office365.com
smtp.outlook.office365.com
outlook.office365.com
lb.geo.office365.com
outlook.office365.com.glbdns2.microsoft.comPeter
Hi Pjordorf ...
Kann gut möglich sein, wobei da eigentlich nicht viel Netzwerk ist.
Bei einem Rechner wo alles passt, sprich DNS Auflösung bekomme ich die selben positiven Ergebnisse bei den CMD Befehlen..
Nur leider ist es bei manchen WLAN Clients oder bei Rechner mit geänderten Adaptereinstellungen eben so Problematisch ....
Dann sieht ipconfig /all auch richtig aus - DNS-SERVER usw passt auch nur halt eben die Namensauflösung klappt dann trotzdem nicht.
Alsob die DNS Requests nicht ankommen würden ... Weiß nur nicht wo ich noch etwas einstellen soll ... Mal klappt es , mal wieder nicht.
Gruß Yannosch
Kann gut möglich sein, wobei da eigentlich nicht viel Netzwerk ist.
Bei einem Rechner wo alles passt, sprich DNS Auflösung bekomme ich die selben positiven Ergebnisse bei den CMD Befehlen..
Nur leider ist es bei manchen WLAN Clients oder bei Rechner mit geänderten Adaptereinstellungen eben so Problematisch ....
Dann sieht ipconfig /all auch richtig aus - DNS-SERVER usw passt auch nur halt eben die Namensauflösung klappt dann trotzdem nicht.
Alsob die DNS Requests nicht ankommen würden ... Weiß nur nicht wo ich noch etwas einstellen soll ... Mal klappt es , mal wieder nicht.
Gruß Yannosch
Schau:
Nur Pingen geht eben nicht ... ICMP ist auch auf der Firewall noch nicht permittet...
C:\Users\admin>nslookup smtp.office365.com
Server: ns2.ktk.de
Address: 212.7.160.2
Nicht autorisierende Antwort:
Name: outlook-emeaeast.office365.com
Addresses: 2603:1026:6:28::2
2603:1026:300:b5::2
2603:1026:3:a3::2
2603:1026:203:2b::2
2603:1026:7:3d::2
2603:1026:301:2b::2
2603:1026:7:66::2
2603:1026:300:b3::2
2603:1026:6:15::2
40.101.126.130
40.101.127.82
40.101.76.162
40.101.54.114
40.101.125.210
40.101.72.114
40.101.54.178
40.101.49.82
40.101.9.202
Aliases: smtp.office365.com
smtp.outlook.office365.com
outlook.office365.com
outlook.ha-geo.office365.com
outlook.ha.office365.com
outlook.office365.com.g.office365.comNur Pingen geht eben nicht ... ICMP ist auch auf der Firewall noch nicht permittet...
Neues Beispiel:
Habe ein Handy mit unserem AP verbunden.
Bekomme per DHCP der ASA auch die 0.17 zugewiesen.
ASA ist erreichbar. Gateway [ASA] und DNS-Server [vom Provider] wurden auch an das Device übermittelt.
Leider ist jedoch keine Internetkonnektivität möglich.
Hier Sitze ich nun an einem Rechner, ebenfalls per DHCP die Daten von der ASA bekommen - jedoch keine Probleme ansonsten komplett identisch mit dem Handy eingerichet... wtf?
Was kann das sein?
EDIT: Kann es evtl. etwas mit NAT zu tun haben? Ich habe hier ja ein Thompson Kabelmodem davor - wo die Konfigurationsmöglichkeiten leider nur sehr begrenzt sind ... kann ja sein dass das Modem auch NATed ... dann habe ich ja ein Double NAT welches die DNS Querys behindern kann....
Any Thoughts?
Habe ein Handy mit unserem AP verbunden.
Bekomme per DHCP der ASA auch die 0.17 zugewiesen.
ASA ist erreichbar. Gateway [ASA] und DNS-Server [vom Provider] wurden auch an das Device übermittelt.
Leider ist jedoch keine Internetkonnektivität möglich.
Hier Sitze ich nun an einem Rechner, ebenfalls per DHCP die Daten von der ASA bekommen - jedoch keine Probleme ansonsten komplett identisch mit dem Handy eingerichet... wtf?
Was kann das sein?
EDIT: Kann es evtl. etwas mit NAT zu tun haben? Ich habe hier ja ein Thompson Kabelmodem davor - wo die Konfigurationsmöglichkeiten leider nur sehr begrenzt sind ... kann ja sein dass das Modem auch NATed ... dann habe ich ja ein Double NAT welches die DNS Querys behindern kann....
Any Thoughts?
Normal nutzt man ja einen DNS Proxy..aber das ist jetzt erstmal nur kosmetisch solange dein DNS Server bzw. dessen IP auch de facto zu dem Provider gehört was wir jetzt mal annehmen.
Es muss einen Unterschied zwischen den Frames vom Telefon und PC geben. Auch wenn die im gleichen IP netz sind. Das solltest du mit dem Wireshark nochmals ganz genau ansehen.
Was genau meinst du auch mit "Internet Kennektivität" ???
Was passiert bei einem Traceroute auf die 8.8.8.8 vom Telefon. Siehst du dort ICMP Replies von den einzelnen Hops ?
Analog beim PC ?
Das kommt aber auf dein NAT und die ACL am NAT Interface an um das beantworten zu können. Die Cisco Firewall arbeitet mit einer CBAC ACL wie auch im Router_mit_Firewalloption
Das Thompson Modem ist ja wie du sagst ein reines NUR Modem. Es routet nicht und macht keinerlei NAT. Es ist nichts anderes als ein dummer Pegelwandler von DOCSIS auf Ethernet.
Ein reines Modem hat absolut gar nichts mit Layer 3 IP Forwarding zu tun sofern es wirklich ein reines Modem ist und KEIN Router !!!
Aber du sagst ja selber das es ein reines Modem ist also glauben wir dir das auch mal.
Ob es das ist kann man übrigens sofort an der IP Adresse am WAN (Modem) Port der ASA sehen mit show ip int brief dort sollte eine öffentliche IP Adresse des Prividers zu sehen sein ein KEINE private RFC 1918 IP Adresse !!
Wenn doch ist es ein Indiz das die Thompson Gurke ein Router ist und KEIN Modem und dann sind die Karten wieder neu gemischt, da du dann ja mit einer NAT Router Kaskade arbeitest.
Sowas klärt man oder weiss man aber auch als Netzwerker der natürlich seine Infrastruktur kennt...oder wenigstens kennen sollte !
Es muss einen Unterschied zwischen den Frames vom Telefon und PC geben. Auch wenn die im gleichen IP netz sind. Das solltest du mit dem Wireshark nochmals ganz genau ansehen.
Was genau meinst du auch mit "Internet Kennektivität" ???
- Kann das Geräte einfach nur keine DNS Namen auflösen ?
- Oder kann das Gerät auch keinerlei nachte Internet IP Adressen pingen wie z.B. 8.8.8.8 ?
Was passiert bei einem Traceroute auf die 8.8.8.8 vom Telefon. Siehst du dort ICMP Replies von den einzelnen Hops ?
Analog beim PC ?
Kann es evtl. etwas mit NAT zu tun haben?
Könnte !Das kommt aber auf dein NAT und die ACL am NAT Interface an um das beantworten zu können. Die Cisco Firewall arbeitet mit einer CBAC ACL wie auch im Router_mit_Firewalloption
Das Thompson Modem ist ja wie du sagst ein reines NUR Modem. Es routet nicht und macht keinerlei NAT. Es ist nichts anderes als ein dummer Pegelwandler von DOCSIS auf Ethernet.
Ein reines Modem hat absolut gar nichts mit Layer 3 IP Forwarding zu tun sofern es wirklich ein reines Modem ist und KEIN Router !!!
Aber du sagst ja selber das es ein reines Modem ist also glauben wir dir das auch mal.
Ob es das ist kann man übrigens sofort an der IP Adresse am WAN (Modem) Port der ASA sehen mit show ip int brief dort sollte eine öffentliche IP Adresse des Prividers zu sehen sein ein KEINE private RFC 1918 IP Adresse !!
Wenn doch ist es ein Indiz das die Thompson Gurke ein Router ist und KEIN Modem und dann sind die Karten wieder neu gemischt, da du dann ja mit einer NAT Router Kaskade arbeitest.
Sowas klärt man oder weiss man aber auch als Netzwerker der natürlich seine Infrastruktur kennt...oder wenigstens kennen sollte !
