amoretuo
Goto Top

Cisco asa5510

hallo neues forum (für mich)
gruss an alle

ich würde gerne meine sorgen mit euch teilen:

zu lösen: VPN HeimAP zu LAN asa5510

vorhanden:
cisco asa5510
separate DSL6000 mit fester IP
2 x Windows server
1 x Suse Server
1 x dlink router für das vorhandene LAN
______________________________________________

nun habe ich die asa5510 im netz implemetiert.
über applet ansprechbar.
modem von separater dsl leitung auf port 0/0 konfiguriert. !!!ENDE!!!
______________________________________________

Fragen:
a) asa5510 DSL-Router funktion?
b) welche adressen sind nun zu routen (statisches Routing) damit ich von aussen über vpn ins lan loggen kann. aussen arbeitsplatz client Lizenz, ohne router.
c) wie logge ich mich denn nun ins vpn ein?
d) gibt es für asa 5510 auch ein config tool?
e) ist es richtig, passtrough in der zentrale auszustellen, aber am heim ap zu aktivieren?
f) ist eine NAT konfig notwendig
g) was ist mit servergroup gemeint
h) ist es richtig, dass ich mich für PPTP entschieden habe, da ich kein IPsec anwende?
i) wer kann mir szenarien aufstellen, die deutlich zu verstehen sind?

dies sind fantasieadressen:
LAN: 10.4.131.0
dlink: 10.4.131.24
suse: 10.4.131.1
WIN1: 10.4.131.17
WIN2: 10.4.131.36

cisco asa 5510: 10.4.131.5

DSL fest IP: 56.155.162.2

Ziel:
ich möchte mich von zu hause aus, in die firma einloggen und auf alles zugreifen können, zzgl. die warenwirtschaftssoftware auf suse anwenden (10.4.131.1)
zur info: diese funktion habe ich bereits seit 10 Jahren über ISDN Cisco 2700 in Betrieb. aber hierbei ist immer nur ein user im login verfahren möglich, daher der umstieg auf vpn dsl.

danke im voraus für jede info


Erweiterung
szenario:
zentrales firmennetz asa5510

anbindung vpn

filiale asa5505

wie kann ich es technisch sauber umgehen, verschiedene subnetzte verwenden zu
müssen?

anders ausgedrückt:

beide netze sind über eine standleitung (bridge) im gleichem subnetz
10.9.232.0 verbunden. diese standleitung wird durch vpn ersetzt.

danke

Content-ID: 88409

Url: https://administrator.de/contentid/88409

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

spacyfreak
spacyfreak 25.05.2008 um 19:47:37 Uhr
Goto Top
Wenn ich nur wüsste warum es grad ne Cisco ASA sein muss?
Es gibt doch genug DSL Router die ne VPN Funktion mitbringen, und einfacher und billiger sind - z. B. Draytec.


Fragen:
a) asa5510 DSL-Router funktion?

So wie du sie betreibst hat sie ja ne private IP im Intranet des Firmennetzes und ist von aussen über deinen DSL Zugang erreichbar.

b) welche adressen sind nun zu routen (statisches Routing) damit ich von aussen über vpn ins lan loggen kann. aussen arbeitsplatz client Lizenz, ohne router.

Du machst von aussen eine VPN Verbndung zur ASA (wohl Remote Access VPN mit VPN Software Client).
Da kriegst du ne IP im Tunnel verpasst (IPSEC oder SSL-VPN). Diese IP bekommst du vom ASA VPN Server nach VPN Verbindungsaufbau im Tunnel. In der Firma muss nur ne Route bestehen dass vom Firmenlan zu diesem VPN IP Pool geroutet wird damit die Pakete den Weg vom Intranet über den VPN Tunnel zum externen Client finden können.

c) wie logge ich mich denn nun ins vpn ein?

Mit nem VPN Client (IPSEC Client oder AnyConnect SSL-VPN Client) / oder per aufruf einer Webseite (SSL-VPN)

d) gibt es für asa 5510 auch ein config tool?

ASDM

e) ist es richtig, passtrough in der zentrale auszustellen, aber am heim ap zu aktivieren?
Äh? Bei IPSEC wo ESP in UDP gekapselt wird gibts keine Probleme mit NAT/PAT. Mit SSL-VPNs sowieso nicht.

f) ist eine NAT konfig notwendig
Äh kann schon sein. Bei der ASA muss prinzipiell alles genattet werden (das ist die philosophie der ASA bzw. PIX). Kann man aber auch deaktivieren mit "no nat-control".

g) was ist mit servergroup gemeint
Servergroup meint wohl eine Gruppe von RAdiusservern die man zur Authentisierung von externen Benutzer verwenden kann. Für verschiedene Szenarien kann man versch. Radiusservergruppen definieren, z. B. für 802.1X Radiusgruppe 1, fürs Management der ASA Radiusgruppe 2, für VPN Authentisierung externer Mitarbeiter Radiusgruppe 3 usw.

h) ist es richtig, dass ich mich für PPTP entschieden habe, da ich kein IPsec anwende?
Weiss nicht ob die ASA PPTP anbietet. Ich wüsst nur von IPSEC oder SSL-VPN. ASA kann höchstens PPTP "durchlassen" damit man einen Server2003 als PPTP-VPN Server benutzt. Warum man dann aber eine ASA braucht wäre für mich nicht nachvollziehbar.

i) wer kann mir szenarien aufstellen, die deutlich zu verstehen sind?
Hab keine Zeit.
amoretuo
amoretuo 25.05.2008 um 20:46:25 Uhr
Goto Top
a) dies ist auch mein ziel gewesen
b) kann ich die route auf der firmenseite erst dann erstellen, wenn ich vom tunnel ein ip bekommen habe, oder gebe ich sie vor... sollte ich sie vorgeben, welches netz muss ich wählen?
c) any connect SSL-VPN
d) asdm vorhanden
e) SSL VPN!
f) welche nachteile habe ich bei einer deaktivierung?
g) radiusserver? habe ich nicht verstanden, muss ich denn nicht user einrichten, mit der freigabe sich von aussen einwählen zu dürfen?
h) ASA wegen SSL verbindung, dann ASA weil zum späteren Zeitpunkt weitere 4 Filialen über VPN verbunden werden und ich dann auf die kostspieligen Standleitungen verzichten kann, ASA damit ich in Zukunft auch einen Proxy für den Emailverkehr einrichten kann, ASA damit ich sobald meine Telefonanlage zum E Modell umgebaut habe, VoIP einrichten kann.
i) ob du zeit hast oder nicht, für mich bist du der grösste, mit deinen antworten hast du mir mehr als du dir vorstellen kannst geholfen, nun weiss ich z.b. dass ich mit pptp und passtrough auf dem holzweg war, oder auch dass ich nur 2 ssl lizenzen habe, usw. ich bin dir zu tiefsten dank verpflichtet und meine frau auch, nun habe ich gute laune face-smile
ich sage einfach nur : DANKE
spacyfreak
spacyfreak 28.05.2008 um 15:45:24 Uhr
Goto Top
Also bezueglich Radiusserver:
Wenn du nur einpaar wenige User hast, kann man die User natürlich auch auf der ASA einrichten mit BEfehl

username john password j04nP@ss
username elvis password 3lw!z

Will man jedoch die User aus einem Active Directory beispielsweise nutzen zur Anmeldung am VPN, dann muss eine Schnittstelle eingerichtet werden, damit die ASA das Active Directory befragen kann ob Username/Passwort stimmen.
Das kann ein Radiusserver sein (z. B. IAS von Microsoft) der vom VPN Server angefragt wird und dann als eien Art "Relay" die Anfrage per LdAP an das Active Directory weiterleitet. Das AD antwortet dann dem Radiusserver mit OK oder NO, und der Radiusserver antwortet dann dem VPN Server mit "OK. Passwort stimmt" oder "No, Passwort ist falsch". Wenn die ASA selber LDAP Authentisierung kann dann kann man auf den Radius auch verzichten - doch RAdius ist das absolute Standardprotokoll im Netzbereich uns läuft sehr stabil.

Für Standortverbindungen (Site-to-Site Tunnels) würd ich nicht SSL-vPN nehmen sondern IPSEC. Ich glaub die ASA macht bei Site-to-Site nur IPSEC, was auch dafür designt ist.
Als Standleitungsersatz auf jedenfall eine sehr gute Wahl, das mit ner ASA per VPN zu machen.

Zur "NAT Control"

Die ASA (wie auch die alte PIX) sind Security Appliances. Die haben eine bestimmte "Philosophie" die das Netz schützen soll. Teil der Philosophie sieht so aus, dass prinzipiell ALLES was rein oder raus soll, genattet werden MUSS. Vor Version 7.X glaub ich konnte man das garnicht abschalten. Das NAT hat den Vorteil dass die TCP Sequenznummern zufällig geändert werden so dass ein externer Angreifer nicht Rückschlüsse auf Betriebssysteme ziehen kann wenn er deine von aussen erreichbaren Server scannt.

Ausserdem hat die NAT Config bestimmte Parameter wie "embryonic" mit denen man bestimmte Angriffsmuster abwehren kann, d.h. wenn ein Angreifer deinen Webserver mit halb-offenen TCP Sessions traktiert, dann macht er das so lange bis deine ASA in die Knie geht, bzw. der Webserver. Mit dem embryonic Parameter kann man ein Limit bestimmen - wenn ein Angreifer z. B. kann man es auf 500 halb-offene Sessions limitieren, und ab der 501sten wird es verworfen.

Das sind aber echt "high-end" Features die nicht jeder braucht. Mein netgear DSL Router daheim weiss auch nicht was "embryonic" ist, und dennoch leb ich ganz gut damit.

Wenn man jedoch damit ne Bank oder etwas sehr Sensibles absichern will das eventuell ein begehrtes Hackerziel sein könnte, wäre es schon angebracht alles was möglich ist einzusetzen um sich optimal zu schützen.
amoretuo
amoretuo 29.05.2008 um 10:46:27 Uhr
Goto Top
hallo spacyfreak,
vielen dank für deine hilfreichen informationen, sie haben mich sehr stark unterstützt,
es ist schön zu wissen, dass es jemanden gibt, der einen in einer neuen ungewohnten
umgebung unterstützt.

INFO: VPN client Anbindung auf ASA 5510 is connect!!!!!!!!!
IPSec! VPN client 4.6! ASA 5510 ASDM 7.x!

Achtung:
ich hatte tatkräftige Unterstützung von einer Person aus diesem Forum,
ich verdanke es ihm!

ich kann mich über user und pw einloggen, unter
W2K kann ich sogar die gerouteten Server auswählen,
Ordnereinsichten vornehmen und Programme ausführen, PRIMA.

bei XP Pro habe ich schwierigkeiten:
selbst wenn ich die Firewall ausschalte:
XP Rechner a) Server; ping=OK,Server aufrufen=OK, Inhalte sehen= Nein, ausw.= Nein
XP Rechner a) Server; ping=OK,Server aufrufen=OK, Inhalte sehen= Nein, ausw.= Nein

ich suche aber auch noch nach einer vernünftigen Umgebungs-Ansicht.
Über Computer suchen und IP Eintrag, finde ich ziemlich mager..
vielleicht hast du ja eine Idee.

danke