Cisco asa5510
hallo neues forum (für mich)
gruss an alle
ich würde gerne meine sorgen mit euch teilen:
zu lösen: VPN HeimAP zu LAN asa5510
vorhanden:
cisco asa5510
separate DSL6000 mit fester IP
2 x Windows server
1 x Suse Server
1 x dlink router für das vorhandene LAN
______________________________________________
nun habe ich die asa5510 im netz implemetiert.
über applet ansprechbar.
modem von separater dsl leitung auf port 0/0 konfiguriert. !!!ENDE!!!
______________________________________________
Fragen:
a) asa5510 DSL-Router funktion?
b) welche adressen sind nun zu routen (statisches Routing) damit ich von aussen über vpn ins lan loggen kann. aussen arbeitsplatz client Lizenz, ohne router.
c) wie logge ich mich denn nun ins vpn ein?
d) gibt es für asa 5510 auch ein config tool?
e) ist es richtig, passtrough in der zentrale auszustellen, aber am heim ap zu aktivieren?
f) ist eine NAT konfig notwendig
g) was ist mit servergroup gemeint
h) ist es richtig, dass ich mich für PPTP entschieden habe, da ich kein IPsec anwende?
i) wer kann mir szenarien aufstellen, die deutlich zu verstehen sind?
dies sind fantasieadressen:
LAN: 10.4.131.0
dlink: 10.4.131.24
suse: 10.4.131.1
WIN1: 10.4.131.17
WIN2: 10.4.131.36
cisco asa 5510: 10.4.131.5
DSL fest IP: 56.155.162.2
Ziel:
ich möchte mich von zu hause aus, in die firma einloggen und auf alles zugreifen können, zzgl. die warenwirtschaftssoftware auf suse anwenden (10.4.131.1)
zur info: diese funktion habe ich bereits seit 10 Jahren über ISDN Cisco 2700 in Betrieb. aber hierbei ist immer nur ein user im login verfahren möglich, daher der umstieg auf vpn dsl.
danke im voraus für jede info
Erweiterung
szenario:
zentrales firmennetz asa5510
anbindung vpn
filiale asa5505
wie kann ich es technisch sauber umgehen, verschiedene subnetzte verwenden zu
müssen?
anders ausgedrückt:
beide netze sind über eine standleitung (bridge) im gleichem subnetz
10.9.232.0 verbunden. diese standleitung wird durch vpn ersetzt.
danke
gruss an alle
ich würde gerne meine sorgen mit euch teilen:
zu lösen: VPN HeimAP zu LAN asa5510
vorhanden:
cisco asa5510
separate DSL6000 mit fester IP
2 x Windows server
1 x Suse Server
1 x dlink router für das vorhandene LAN
______________________________________________
nun habe ich die asa5510 im netz implemetiert.
über applet ansprechbar.
modem von separater dsl leitung auf port 0/0 konfiguriert. !!!ENDE!!!
______________________________________________
Fragen:
a) asa5510 DSL-Router funktion?
b) welche adressen sind nun zu routen (statisches Routing) damit ich von aussen über vpn ins lan loggen kann. aussen arbeitsplatz client Lizenz, ohne router.
c) wie logge ich mich denn nun ins vpn ein?
d) gibt es für asa 5510 auch ein config tool?
e) ist es richtig, passtrough in der zentrale auszustellen, aber am heim ap zu aktivieren?
f) ist eine NAT konfig notwendig
g) was ist mit servergroup gemeint
h) ist es richtig, dass ich mich für PPTP entschieden habe, da ich kein IPsec anwende?
i) wer kann mir szenarien aufstellen, die deutlich zu verstehen sind?
dies sind fantasieadressen:
LAN: 10.4.131.0
dlink: 10.4.131.24
suse: 10.4.131.1
WIN1: 10.4.131.17
WIN2: 10.4.131.36
cisco asa 5510: 10.4.131.5
DSL fest IP: 56.155.162.2
Ziel:
ich möchte mich von zu hause aus, in die firma einloggen und auf alles zugreifen können, zzgl. die warenwirtschaftssoftware auf suse anwenden (10.4.131.1)
zur info: diese funktion habe ich bereits seit 10 Jahren über ISDN Cisco 2700 in Betrieb. aber hierbei ist immer nur ein user im login verfahren möglich, daher der umstieg auf vpn dsl.
danke im voraus für jede info
Erweiterung
szenario:
zentrales firmennetz asa5510
anbindung vpn
filiale asa5505
wie kann ich es technisch sauber umgehen, verschiedene subnetzte verwenden zu
müssen?
anders ausgedrückt:
beide netze sind über eine standleitung (bridge) im gleichem subnetz
10.9.232.0 verbunden. diese standleitung wird durch vpn ersetzt.
danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 88409
Url: https://administrator.de/contentid/88409
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Wenn ich nur wüsste warum es grad ne Cisco ASA sein muss?
Es gibt doch genug DSL Router die ne VPN Funktion mitbringen, und einfacher und billiger sind - z. B. Draytec.
Fragen:
a) asa5510 DSL-Router funktion?
So wie du sie betreibst hat sie ja ne private IP im Intranet des Firmennetzes und ist von aussen über deinen DSL Zugang erreichbar.
b) welche adressen sind nun zu routen (statisches Routing) damit ich von aussen über vpn ins lan loggen kann. aussen arbeitsplatz client Lizenz, ohne router.
Du machst von aussen eine VPN Verbndung zur ASA (wohl Remote Access VPN mit VPN Software Client).
Da kriegst du ne IP im Tunnel verpasst (IPSEC oder SSL-VPN). Diese IP bekommst du vom ASA VPN Server nach VPN Verbindungsaufbau im Tunnel. In der Firma muss nur ne Route bestehen dass vom Firmenlan zu diesem VPN IP Pool geroutet wird damit die Pakete den Weg vom Intranet über den VPN Tunnel zum externen Client finden können.
c) wie logge ich mich denn nun ins vpn ein?
Mit nem VPN Client (IPSEC Client oder AnyConnect SSL-VPN Client) / oder per aufruf einer Webseite (SSL-VPN)
d) gibt es für asa 5510 auch ein config tool?
ASDM
e) ist es richtig, passtrough in der zentrale auszustellen, aber am heim ap zu aktivieren?
Äh? Bei IPSEC wo ESP in UDP gekapselt wird gibts keine Probleme mit NAT/PAT. Mit SSL-VPNs sowieso nicht.
f) ist eine NAT konfig notwendig
Äh kann schon sein. Bei der ASA muss prinzipiell alles genattet werden (das ist die philosophie der ASA bzw. PIX). Kann man aber auch deaktivieren mit "no nat-control".
g) was ist mit servergroup gemeint
Servergroup meint wohl eine Gruppe von RAdiusservern die man zur Authentisierung von externen Benutzer verwenden kann. Für verschiedene Szenarien kann man versch. Radiusservergruppen definieren, z. B. für 802.1X Radiusgruppe 1, fürs Management der ASA Radiusgruppe 2, für VPN Authentisierung externer Mitarbeiter Radiusgruppe 3 usw.
h) ist es richtig, dass ich mich für PPTP entschieden habe, da ich kein IPsec anwende?
Weiss nicht ob die ASA PPTP anbietet. Ich wüsst nur von IPSEC oder SSL-VPN. ASA kann höchstens PPTP "durchlassen" damit man einen Server2003 als PPTP-VPN Server benutzt. Warum man dann aber eine ASA braucht wäre für mich nicht nachvollziehbar.
i) wer kann mir szenarien aufstellen, die deutlich zu verstehen sind?
Hab keine Zeit.
Es gibt doch genug DSL Router die ne VPN Funktion mitbringen, und einfacher und billiger sind - z. B. Draytec.
Fragen:
a) asa5510 DSL-Router funktion?
So wie du sie betreibst hat sie ja ne private IP im Intranet des Firmennetzes und ist von aussen über deinen DSL Zugang erreichbar.
b) welche adressen sind nun zu routen (statisches Routing) damit ich von aussen über vpn ins lan loggen kann. aussen arbeitsplatz client Lizenz, ohne router.
Du machst von aussen eine VPN Verbndung zur ASA (wohl Remote Access VPN mit VPN Software Client).
Da kriegst du ne IP im Tunnel verpasst (IPSEC oder SSL-VPN). Diese IP bekommst du vom ASA VPN Server nach VPN Verbindungsaufbau im Tunnel. In der Firma muss nur ne Route bestehen dass vom Firmenlan zu diesem VPN IP Pool geroutet wird damit die Pakete den Weg vom Intranet über den VPN Tunnel zum externen Client finden können.
c) wie logge ich mich denn nun ins vpn ein?
Mit nem VPN Client (IPSEC Client oder AnyConnect SSL-VPN Client) / oder per aufruf einer Webseite (SSL-VPN)
d) gibt es für asa 5510 auch ein config tool?
ASDM
e) ist es richtig, passtrough in der zentrale auszustellen, aber am heim ap zu aktivieren?
Äh? Bei IPSEC wo ESP in UDP gekapselt wird gibts keine Probleme mit NAT/PAT. Mit SSL-VPNs sowieso nicht.
f) ist eine NAT konfig notwendig
Äh kann schon sein. Bei der ASA muss prinzipiell alles genattet werden (das ist die philosophie der ASA bzw. PIX). Kann man aber auch deaktivieren mit "no nat-control".
g) was ist mit servergroup gemeint
Servergroup meint wohl eine Gruppe von RAdiusservern die man zur Authentisierung von externen Benutzer verwenden kann. Für verschiedene Szenarien kann man versch. Radiusservergruppen definieren, z. B. für 802.1X Radiusgruppe 1, fürs Management der ASA Radiusgruppe 2, für VPN Authentisierung externer Mitarbeiter Radiusgruppe 3 usw.
h) ist es richtig, dass ich mich für PPTP entschieden habe, da ich kein IPsec anwende?
Weiss nicht ob die ASA PPTP anbietet. Ich wüsst nur von IPSEC oder SSL-VPN. ASA kann höchstens PPTP "durchlassen" damit man einen Server2003 als PPTP-VPN Server benutzt. Warum man dann aber eine ASA braucht wäre für mich nicht nachvollziehbar.
i) wer kann mir szenarien aufstellen, die deutlich zu verstehen sind?
Hab keine Zeit.
Also bezueglich Radiusserver:
Wenn du nur einpaar wenige User hast, kann man die User natürlich auch auf der ASA einrichten mit BEfehl
username john password j04nP@ss
username elvis password 3lw!z
Will man jedoch die User aus einem Active Directory beispielsweise nutzen zur Anmeldung am VPN, dann muss eine Schnittstelle eingerichtet werden, damit die ASA das Active Directory befragen kann ob Username/Passwort stimmen.
Das kann ein Radiusserver sein (z. B. IAS von Microsoft) der vom VPN Server angefragt wird und dann als eien Art "Relay" die Anfrage per LdAP an das Active Directory weiterleitet. Das AD antwortet dann dem Radiusserver mit OK oder NO, und der Radiusserver antwortet dann dem VPN Server mit "OK. Passwort stimmt" oder "No, Passwort ist falsch". Wenn die ASA selber LDAP Authentisierung kann dann kann man auf den Radius auch verzichten - doch RAdius ist das absolute Standardprotokoll im Netzbereich uns läuft sehr stabil.
Für Standortverbindungen (Site-to-Site Tunnels) würd ich nicht SSL-vPN nehmen sondern IPSEC. Ich glaub die ASA macht bei Site-to-Site nur IPSEC, was auch dafür designt ist.
Als Standleitungsersatz auf jedenfall eine sehr gute Wahl, das mit ner ASA per VPN zu machen.
Zur "NAT Control"
Die ASA (wie auch die alte PIX) sind Security Appliances. Die haben eine bestimmte "Philosophie" die das Netz schützen soll. Teil der Philosophie sieht so aus, dass prinzipiell ALLES was rein oder raus soll, genattet werden MUSS. Vor Version 7.X glaub ich konnte man das garnicht abschalten. Das NAT hat den Vorteil dass die TCP Sequenznummern zufällig geändert werden so dass ein externer Angreifer nicht Rückschlüsse auf Betriebssysteme ziehen kann wenn er deine von aussen erreichbaren Server scannt.
Ausserdem hat die NAT Config bestimmte Parameter wie "embryonic" mit denen man bestimmte Angriffsmuster abwehren kann, d.h. wenn ein Angreifer deinen Webserver mit halb-offenen TCP Sessions traktiert, dann macht er das so lange bis deine ASA in die Knie geht, bzw. der Webserver. Mit dem embryonic Parameter kann man ein Limit bestimmen - wenn ein Angreifer z. B. kann man es auf 500 halb-offene Sessions limitieren, und ab der 501sten wird es verworfen.
Das sind aber echt "high-end" Features die nicht jeder braucht. Mein netgear DSL Router daheim weiss auch nicht was "embryonic" ist, und dennoch leb ich ganz gut damit.
Wenn man jedoch damit ne Bank oder etwas sehr Sensibles absichern will das eventuell ein begehrtes Hackerziel sein könnte, wäre es schon angebracht alles was möglich ist einzusetzen um sich optimal zu schützen.
Wenn du nur einpaar wenige User hast, kann man die User natürlich auch auf der ASA einrichten mit BEfehl
username john password j04nP@ss
username elvis password 3lw!z
Will man jedoch die User aus einem Active Directory beispielsweise nutzen zur Anmeldung am VPN, dann muss eine Schnittstelle eingerichtet werden, damit die ASA das Active Directory befragen kann ob Username/Passwort stimmen.
Das kann ein Radiusserver sein (z. B. IAS von Microsoft) der vom VPN Server angefragt wird und dann als eien Art "Relay" die Anfrage per LdAP an das Active Directory weiterleitet. Das AD antwortet dann dem Radiusserver mit OK oder NO, und der Radiusserver antwortet dann dem VPN Server mit "OK. Passwort stimmt" oder "No, Passwort ist falsch". Wenn die ASA selber LDAP Authentisierung kann dann kann man auf den Radius auch verzichten - doch RAdius ist das absolute Standardprotokoll im Netzbereich uns läuft sehr stabil.
Für Standortverbindungen (Site-to-Site Tunnels) würd ich nicht SSL-vPN nehmen sondern IPSEC. Ich glaub die ASA macht bei Site-to-Site nur IPSEC, was auch dafür designt ist.
Als Standleitungsersatz auf jedenfall eine sehr gute Wahl, das mit ner ASA per VPN zu machen.
Zur "NAT Control"
Die ASA (wie auch die alte PIX) sind Security Appliances. Die haben eine bestimmte "Philosophie" die das Netz schützen soll. Teil der Philosophie sieht so aus, dass prinzipiell ALLES was rein oder raus soll, genattet werden MUSS. Vor Version 7.X glaub ich konnte man das garnicht abschalten. Das NAT hat den Vorteil dass die TCP Sequenznummern zufällig geändert werden so dass ein externer Angreifer nicht Rückschlüsse auf Betriebssysteme ziehen kann wenn er deine von aussen erreichbaren Server scannt.
Ausserdem hat die NAT Config bestimmte Parameter wie "embryonic" mit denen man bestimmte Angriffsmuster abwehren kann, d.h. wenn ein Angreifer deinen Webserver mit halb-offenen TCP Sessions traktiert, dann macht er das so lange bis deine ASA in die Knie geht, bzw. der Webserver. Mit dem embryonic Parameter kann man ein Limit bestimmen - wenn ein Angreifer z. B. kann man es auf 500 halb-offene Sessions limitieren, und ab der 501sten wird es verworfen.
Das sind aber echt "high-end" Features die nicht jeder braucht. Mein netgear DSL Router daheim weiss auch nicht was "embryonic" ist, und dennoch leb ich ganz gut damit.
Wenn man jedoch damit ne Bank oder etwas sehr Sensibles absichern will das eventuell ein begehrtes Hackerziel sein könnte, wäre es schon angebracht alles was möglich ist einzusetzen um sich optimal zu schützen.