yannosch
Goto Top

Firewall-Regeln Cisco ASA5505 bzgl VoIP

Hallo zusammen,

ich habe mal wieder leichte Differenzen mit meiner Cisco ASA550 face-big-smile
Im Rahmer der Anbindung unserer VoIP Telefone zum Cloud-Dienstanbieter [sei mal dahin gestellt ob das gut oder schlecht ist...] soll ich nun folgende Firewall Rules festlegen.

1. Source = Telefone , Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT

2. Source = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Source Port = any, Destination = Telefone (i.d.R. NAT IP), Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT

3. Source = PCs [bzgl. Webclient], Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = 80 + 443, Transport = TCP, Accept

"Telefone" & "PCs" habe ich bereits als IPv4 Network Object Groups definiert - kein Problem.

Beim Erstellen der Regeln scheiterts aber schon daran, dass ich keine Ahnung habe wie ich über die ASDM eine Outside IP Adresse mit MASK als Source oder Destination festlegen kann.

Eine Idee hätte ich allerdings ... Nat Rules... - leider habe ich es in der Praxis auf einer Cisco noch nicht machen müssen - daher meine Frage an euch.

Wie kann ich die angeforderten Regeln am besten in meiner Cisco ASA 5505 abbilden?

Bin für jede Erkärung dankbar, weil ich in diesem Bereicht definitiv gewillt bin zu lernen.

Vielen Dank im Voraus

Gruß Yannosch

Content-ID: 363098

Url: https://administrator.de/forum/firewall-regeln-cisco-asa5505-bzgl-voip-363098.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

StefanHalstenbach
StefanHalstenbach 31.01.2018 um 18:00:16 Uhr
Goto Top
Yannosch
Yannosch 01.02.2018 aktualisiert um 08:46:29 Uhr
Goto Top
Die ganzen Artikel habe ich durch ... wenn ich dadurch weitergekommen wäre hätte ich mich nicht hier gemeldet...

Ich suche eigentlich eine Erklärung für mein Vorhaben ...

Kann mir jemand anderes helfen?

Danke face-smile

EDIT: Außerdem wird hier gar nicht beschrieben wie ich einer EXPLIZITEN Öffentlichen IP die Kommunikation zu meinen Tele-Clients erlauben kann... Also eigentlich völligst daneben.
heilgecht
heilgecht 01.02.2018 um 12:14:52 Uhr
Goto Top
Hi,

es empfiehlt sich alles in Objekten abzubilden. Configuration->Firewall->Objects.
Man legt ein Netzwerk Object und ein Service Objekt an.
Danach einfach unter Access Rules neue Regel anlegen und die Objekte aus der Liste wählen.
Eventuell würde ein Anleitungsviedeo auf Youtube helfen, die gibt es mittlerweile sehr viele.
MfG
Yannosch
Yannosch 01.02.2018 um 13:44:28 Uhr
Goto Top
Nochmal genauer:

Wie lege ich ein externes Netzwerkobjekt an?
Zumal das Netz XX.XXX.XXX.XXX/27 [öffentliche IP] nicht im "Netzwerk" ist.

Wie lege ich nun eine Regel an, dass diese Öffentliche IP auf HostGruppe "Telefone" zugreifen darf & eben andersrum.

Dazu habe ich nichts gefunden & das ist eigentlich auch die Quintessenz meiner Frage - die bisher leider nicht beantwortet werden konnte.

LG
Yannosch

EDIT: Trotzdem erstmal Danke an euch beide. face-smile
heilgecht
heilgecht 01.02.2018 um 14:12:40 Uhr
Goto Top
Zitat von @Yannosch:

Nochmal genauer:

Wie lege ich ein externes Netzwerkobjekt an?

Schon mal mit "trial and error" Methode versucht?
Ist eigentlich total einfach: Configuration->Firewall->Objects->Network Objects->Add->Network Object.
Dann Name eingeben, Type auf Network umstellen, IP Address eintragen. Netmask Eintragen, auf OK klicken, auf Apply klicken. So geht es z.Bsp. unter ASDM v7.6.
Bei dem Wissenstand würde ich vielleicht überlegen einen "Cisco ASA Firewall Sichere Cisco Netze" Kurs zu besuchen.
Yannosch
Yannosch 01.02.2018 um 16:36:00 Uhr
Goto Top
Zitat von @heilgecht:

Zitat von @Yannosch:

Nochmal genauer:

Wie lege ich ein externes Netzwerkobjekt an?

Schon mal mit "trial and error" Methode versucht?
Ist eigentlich total einfach: Configuration->Firewall->Objects->Network Objects->Add->Network Object.
Dann Name eingeben, Type auf Network umstellen, IP Address eintragen. Netmask Eintragen, auf OK klicken, auf Apply klicken. So geht es z.Bsp. unter ASDM v7.6.

& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.

Bei dem Wissenstand würde ich vielleicht überlegen einen "Cisco ASA Firewall Sichere Cisco Netze" Kurs zu besuchen.

So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
heilgecht
heilgecht 01.02.2018 um 17:07:21 Uhr
Goto Top
Zitat von @Yannosch:
& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Man legt einen Netzwerkobject an. Intern oder extern spielt dabei keine Rolle.
So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
Ist nur gut gemeint. Wenn es schon bei so einer trivialer Aufgabe wie eine einfache ACC-rule zu Problemen kommt wird es später (bei NAT usw.) noch schlimmer. Bei vielen Cisco Produkten kommt man ohne Grundwissen über Ciscos Denkweise nicht weiter.
Yannosch
Yannosch 02.02.2018 um 08:44:43 Uhr
Goto Top
Zitat von @heilgecht:

Zitat von @Yannosch:
& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Man legt einen Netzwerkobject an. Intern oder extern spielt dabei keine Rolle.

Okay... das war nur meine Frage. Danke für deine Antwort ich werde prüfen ob es so funktioniert.

So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
Ist nur gut gemeint. Wenn es schon bei so einer trivialer Aufgabe wie eine einfache ACC-rule zu Problemen kommt wird es später (bei NAT usw.) noch schlimmer. Bei vielen Cisco Produkten kommt man ohne Grundwissen über Ciscos Denkweise nicht weiter.

Was mich zu meiner nächsten Trivialen Frage bringt. Beim Erstellen der ACC-Rule - benutze ich da das inside oder outside Interface? Wenn ich die Kommunikation von Außen nach innen ermöglichen will....

Danke für deine Geduld.
heilgecht
heilgecht 02.02.2018 aktualisiert um 14:09:49 Uhr
Goto Top
Man legt ACC-Rule normalerweise auf das Interface das die Pakete empfängt und sagt, "wenn ein Paket eintrifft mache dies oder das".
Cisco erlaubt auch Paketfilterung auf ausgehende Pakete. In dem Fall sagt man, "wenn ein Paket mein Interface verlässt mache dies oder das".
ACC-Rule für ausgehende Pakete sollte man nicht machen außer man weist was man tut.
In deinem Fall erstellst du ACC auf Interface Outside für eingehende Pakete aus dem Internet.
MfG

P.S. Hier gibt es einige gute Tutorials: http://de.lmgtfy.com/?t=v&q=asa+asdm+anleitung