10
Cisco ASA5505 Zweites internes Netz auf selbem Interface erreichen, möglich?
Hallo,
folgendes Problem stellt sich mir: es wird eine Cisco ASA5505 (security plus) eingesetzt. Auf Ethernet0/1 ist ein kleiner Switch angeschlossen. An diesem Switch hängt ein Endgerät im Netz 192.168.1.0 sowie ein weiteres Endgerät im Netz 192.168.2.0. Dem Switchport Ethernet0/1 ist als IP die 192.168.1.1 zugeordnet. Via VPN ist es problemlos möglich das Endgerät mit der 192.168.1.201 anzupingen. Das eigentliche Problem besteht darin, dass ich im Netz 192.168.2.0 keine Endgeräte erreichen kann. Selbst von der ASA ist dies über Ping nicht möglich.
Ist es technisch überhaupt möglich das 192.168.2.0-Netz über das selbe Interface Ethernet0/1 erreichbar zu machen?
Alternativ könnte ich auf Ethernet0/2 das 192.168.2.0-Netz einrichten und den Port ebenfalls mit dem vorhandenen Switch verbinden. Dann sollte von der ASA ein Endgerät im 192.168.2.0-Netz erreichbar sein, oder? Wie schaut es dann mit dem VPN Zugang aus, wie gelange ich in das 192.168.2.0-Netz, statt wie bisher in das 192.168.1.0-Netz?
mfg
mcgiga
Nachtrag:
Eine Skizze zur Veranschaulichung, kein Cisco-komformer Netzwerkplan
folgendes Problem stellt sich mir: es wird eine Cisco ASA5505 (security plus) eingesetzt. Auf Ethernet0/1 ist ein kleiner Switch angeschlossen. An diesem Switch hängt ein Endgerät im Netz 192.168.1.0 sowie ein weiteres Endgerät im Netz 192.168.2.0. Dem Switchport Ethernet0/1 ist als IP die 192.168.1.1 zugeordnet. Via VPN ist es problemlos möglich das Endgerät mit der 192.168.1.201 anzupingen. Das eigentliche Problem besteht darin, dass ich im Netz 192.168.2.0 keine Endgeräte erreichen kann. Selbst von der ASA ist dies über Ping nicht möglich.
Ist es technisch überhaupt möglich das 192.168.2.0-Netz über das selbe Interface Ethernet0/1 erreichbar zu machen?
Alternativ könnte ich auf Ethernet0/2 das 192.168.2.0-Netz einrichten und den Port ebenfalls mit dem vorhandenen Switch verbinden. Dann sollte von der ASA ein Endgerät im 192.168.2.0-Netz erreichbar sein, oder? Wie schaut es dann mit dem VPN Zugang aus, wie gelange ich in das 192.168.2.0-Netz, statt wie bisher in das 192.168.1.0-Netz?
mfg
mcgiga
Nachtrag:
Eine Skizze zur Veranschaulichung, kein Cisco-komformer Netzwerkplan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167295
Url: https://administrator.de/contentid/167295
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo zurück,
Um von dem 2er Netz das 1er Netz zu erreichen brauchst du einen Router, der im gleichen Subnet hängt.
Wenn die Subnets nicht physikalisch getrennt sin, was ja eder Fall ist, wenn ich das richtig interpretiere, genügt ein Routing-Eintrag auf dem Client, der dem Client sagt, dass er keinen Router braucht, um das andere Netz zuerreichen.
Auf Windows-Systemen gibt es den Route Add Befehl.
Die Syntax von Route zeigt dir die Commandline.
Ein Beispiel:
Route ADD 192.168.2.0 MASK 255.255.255.0 [IP des lokalen Rechners]
Das musst du probieren, sicher bin ich mir ehrlich gesagt nicht...
Gruß
Dominique
Um von dem 2er Netz das 1er Netz zu erreichen brauchst du einen Router, der im gleichen Subnet hängt.
Wenn die Subnets nicht physikalisch getrennt sin, was ja eder Fall ist, wenn ich das richtig interpretiere, genügt ein Routing-Eintrag auf dem Client, der dem Client sagt, dass er keinen Router braucht, um das andere Netz zuerreichen.
Auf Windows-Systemen gibt es den Route Add Befehl.
Die Syntax von Route zeigt dir die Commandline.
Ein Beispiel:
Route ADD 192.168.2.0 MASK 255.255.255.0 [IP des lokalen Rechners]
Das musst du probieren, sicher bin ich mir ehrlich gesagt nicht...
Gruß
Dominique
Die zwei Endgeräte sind keine PCs, es handelt sich dabei um Steuerungscontroller. Sinn und Zweck soll es sein, die zwei Controller, jeder in einem eigenen Netz, über VPN zu erreichen. Jedoch klappt dies momentan nur mit dem 1.0-Netz. VPN an sich habe ich erst mal ausgeklammert, da ich das Ziel, also den Controller im 2.0-Netz, bisher auch nicht von der ASA aus erreichen kann.
Ich habe mal eine kleine Skizze zum Problem oben angefügt...
Ich habe mal eine kleine Skizze zum Problem oben angefügt...
Für die ASA gilt aber das Selbe.
Roter oder Routing-Eintrag. Die Einträge sehen (zumindest vom Inhalt) so aus, wie oben beschrieben.
Das ist nunmal (der fast einzige) Sinn eines Routers
UND: (aber da habe ich zu wenig Ahnung con SASs) vielleicht muss das Netz "freigegebn" werden? wirds vlt. noch zusätzlich geblockt?
Oder: ganz stumpf: Subnetzmaske anstelle von 255.255.255.0 machst du 255.255.0.0, wobei die Netze dann logisch betrachtet im selben Subnet sind...
Wenn die Subnetmask der VPN-Clients das aber trotzdem trennt (vorrausgesetzt sie sind (unwarscheinlicherweise) in den benannten 1er und 2er Netzen), kann Netz1 auch nur den Controller der diesem Netz zugeordnet ist ansprechen, bzw. andersherum.
Hoffe, das sind ein paar nützliche anreize
Gruß
Dominique
Roter oder Routing-Eintrag. Die Einträge sehen (zumindest vom Inhalt) so aus, wie oben beschrieben.
Das ist nunmal (der fast einzige) Sinn eines Routers
UND: (aber da habe ich zu wenig Ahnung con SASs) vielleicht muss das Netz "freigegebn" werden? wirds vlt. noch zusätzlich geblockt?
Oder: ganz stumpf: Subnetzmaske anstelle von 255.255.255.0 machst du 255.255.0.0, wobei die Netze dann logisch betrachtet im selben Subnet sind...
Wenn die Subnetmask der VPN-Clients das aber trotzdem trennt (vorrausgesetzt sie sind (unwarscheinlicherweise) in den benannten 1er und 2er Netzen), kann Netz1 auch nur den Controller der diesem Netz zugeordnet ist ansprechen, bzw. andersherum.
Hoffe, das sind ein paar nützliche anreize
Gruß
Dominique
Eine statische Route (192.168.2.0 mask 255.255.255.0 192.168.1.1) in der ASA bringt keine Veränderung. VPN-Benutzer1 erhält intern z.B. 192.168.1.11 und erreicht somit 192.168.1.201. VPN-Benutzer2 erhält intern z.B. 192.168.2.100, kann jedoch keine Endgeräte in diesem Netz erreichen.
Der Realtime Log Viewer bringt auch keine weiteren Erkenntnisse...
Der Realtime Log Viewer bringt auch keine weiteren Erkenntnisse...
Wie sieht es mit der Config der Controller aus?
brauchen die u.U. eine Route, um zu antworten?
Was macht die VPN-Konfiguration?
kannst du diese posten?
um was für VPN-Vlients handelt es sich?
brauchen die u.U. eine Route, um zu antworten?
Was macht die VPN-Konfiguration?
kannst du diese posten?
um was für VPN-Vlients handelt es sich?
Die Controller lassen sich in Bezug auf Routen nicht konfigurieren.
Die VPN Konfiguration auf 192.168.1.0 funktioniert. Der Benutzer für 192.168.2.0 unterscheidet sich nur in der ihm zugewiesenen IP Adresse, welchem im 2.0-Netz liegt.
Es handelt sich um den Cisco VPN Client.
Ich denke jedoch, dass der VPN Zugang so lange nicht für 2.0 klappen wird, wie auch die Cisco selber die Endgeräte im 2.0-Netz nicht erreichen kann.
Unter Umständen ist es technisch auch nicht möglich an einem Interface Ethernet0/1 zwei Subnetze über einen Switch zu betreiben. Prinzipiell könnte ich dies über ein zweites VLAN realisieren auf Ethernet0/2. Jedoch stellt sich mir vorab die Frage, wie das Netz reagiert, wenn Ethernet0/1 und Ethernet0/2 beide mit dem Switch verbunden werden. Kommt es dann zu Kollisionen, da es kein Layer3 Switch ist?
Die VPN Konfiguration auf 192.168.1.0 funktioniert. Der Benutzer für 192.168.2.0 unterscheidet sich nur in der ihm zugewiesenen IP Adresse, welchem im 2.0-Netz liegt.
Es handelt sich um den Cisco VPN Client.
Ich denke jedoch, dass der VPN Zugang so lange nicht für 2.0 klappen wird, wie auch die Cisco selber die Endgeräte im 2.0-Netz nicht erreichen kann.
Unter Umständen ist es technisch auch nicht möglich an einem Interface Ethernet0/1 zwei Subnetze über einen Switch zu betreiben. Prinzipiell könnte ich dies über ein zweites VLAN realisieren auf Ethernet0/2. Jedoch stellt sich mir vorab die Frage, wie das Netz reagiert, wenn Ethernet0/1 und Ethernet0/2 beide mit dem Switch verbunden werden. Kommt es dann zu Kollisionen, da es kein Layer3 Switch ist?
Guten Morgen!
Um das ganze Sauber zu machen, sollte die GW-IP des 192.168.1.x/24 als auch die 192.168.2.x/24 auf der ASA realisiert werden.
Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch benötigt wird.
Prinzipiell können auch beide separaten Nics auf einen unmanaged Switch wie oben beschrieben, rein technisch funktioniert dass auch - ist halt nicht schön und sollte wenn überhaupt nur temporär realisiert werden ...
Gruß
Yali0n
Um das ganze Sauber zu machen, sollte die GW-IP des 192.168.1.x/24 als auch die 192.168.2.x/24 auf der ASA realisiert werden.
Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch benötigt wird.
Prinzipiell können auch beide separaten Nics auf einen unmanaged Switch wie oben beschrieben, rein technisch funktioniert dass auch - ist halt nicht schön und sollte wenn überhaupt nur temporär realisiert werden ...
Gruß
Yali0n
das kann man so nicht lösen, denn der Switch müsste ein Layer 3 Routing Switch sein der beide Netzwerke routen kann. Damit ist das dann ein Kinderspiel.
Alternativ kannst du das über VLAN und/oder einen externen Router lösen, das klappt dann auch.
So sähe sowas aus:
Oder eben mit VLANs
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
(P.S.:Was bitte soll ein "Cisco-konformer" Plan sein ? Netzwerk Pläne sind niemals zu einem Hersteller konform...vergiss das ganz schnell ! )
Alternativ kannst du das über VLAN und/oder einen externen Router lösen, das klappt dann auch.
So sähe sowas aus:
Oder eben mit VLANs
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
(P.S.:Was bitte soll ein "Cisco-konformer" Plan sein ? Netzwerk Pläne sind niemals zu einem Hersteller konform...vergiss das ganz schnell ! )
Zitat von @Yali0n:
Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch
benötigt wird.
Entweder auf jeweils verschiedenen Nics (ETH0+ETH1) oder über 1 Nic mit Vlan-Tagging - wofür aber ein Managebarer Switch
benötigt wird.
Die Variante mit Ethernet0/1 und Ethernet0/2 werde ich nachher über einen unmanaged Switch testen.
@aqui: "Cisco-konformer" Plan... dahinter stand ein
Smiley... ironie an/aus
Ooops, hat ich doch glatt übersehen
Zu den 2 NIC Lösungen findest du hier noch weitere Infos:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw. VLAN:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Allerdings macht dich ein kleiner 30 Euro Router wie der Mikrotik 750 unabhängig von PC Endgeräten oder Server mit 2 NICs. Damit fährst du also letztlich flexibler.
VLAN tagged Links supportet der Mikrotik ebenfalls ! Siehe obiges Tutorial.
Zu den 2 NIC Lösungen findest du hier noch weitere Infos:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw. VLAN:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Allerdings macht dich ein kleiner 30 Euro Router wie der Mikrotik 750 unabhängig von PC Endgeräten oder Server mit 2 NICs. Damit fährst du also letztlich flexibler.
VLAN tagged Links supportet der Mikrotik ebenfalls ! Siehe obiges Tutorial.
