Firewall-Regeln Cisco ASA5505 bzgl VoIP
Hallo zusammen,
ich habe mal wieder leichte Differenzen mit meiner Cisco ASA550
Im Rahmer der Anbindung unserer VoIP Telefone zum Cloud-Dienstanbieter [sei mal dahin gestellt ob das gut oder schlecht ist...] soll ich nun folgende Firewall Rules festlegen.
1. Source = Telefone , Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
2. Source = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Source Port = any, Destination = Telefone (i.d.R. NAT IP), Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
3. Source = PCs [bzgl. Webclient], Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = 80 + 443, Transport = TCP, Accept
"Telefone" & "PCs" habe ich bereits als IPv4 Network Object Groups definiert - kein Problem.
Beim Erstellen der Regeln scheiterts aber schon daran, dass ich keine Ahnung habe wie ich über die ASDM eine Outside IP Adresse mit MASK als Source oder Destination festlegen kann.
Eine Idee hätte ich allerdings ... Nat Rules... - leider habe ich es in der Praxis auf einer Cisco noch nicht machen müssen - daher meine Frage an euch.
Wie kann ich die angeforderten Regeln am besten in meiner Cisco ASA 5505 abbilden?
Bin für jede Erkärung dankbar, weil ich in diesem Bereicht definitiv gewillt bin zu lernen.
Vielen Dank im Voraus
Gruß Yannosch
ich habe mal wieder leichte Differenzen mit meiner Cisco ASA550
Im Rahmer der Anbindung unserer VoIP Telefone zum Cloud-Dienstanbieter [sei mal dahin gestellt ob das gut oder schlecht ist...] soll ich nun folgende Firewall Rules festlegen.
1. Source = Telefone , Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
2. Source = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Source Port = any, Destination = Telefone (i.d.R. NAT IP), Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
3. Source = PCs [bzgl. Webclient], Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = 80 + 443, Transport = TCP, Accept
"Telefone" & "PCs" habe ich bereits als IPv4 Network Object Groups definiert - kein Problem.
Beim Erstellen der Regeln scheiterts aber schon daran, dass ich keine Ahnung habe wie ich über die ASDM eine Outside IP Adresse mit MASK als Source oder Destination festlegen kann.
Eine Idee hätte ich allerdings ... Nat Rules... - leider habe ich es in der Praxis auf einer Cisco noch nicht machen müssen - daher meine Frage an euch.
Wie kann ich die angeforderten Regeln am besten in meiner Cisco ASA 5505 abbilden?
Bin für jede Erkärung dankbar, weil ich in diesem Bereicht definitiv gewillt bin zu lernen.
Vielen Dank im Voraus
Gruß Yannosch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 363098
Url: https://administrator.de/forum/firewall-regeln-cisco-asa5505-bzgl-voip-363098.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
es empfiehlt sich alles in Objekten abzubilden. Configuration->Firewall->Objects.
Man legt ein Netzwerk Object und ein Service Objekt an.
Danach einfach unter Access Rules neue Regel anlegen und die Objekte aus der Liste wählen.
Eventuell würde ein Anleitungsviedeo auf Youtube helfen, die gibt es mittlerweile sehr viele.
MfG
es empfiehlt sich alles in Objekten abzubilden. Configuration->Firewall->Objects.
Man legt ein Netzwerk Object und ein Service Objekt an.
Danach einfach unter Access Rules neue Regel anlegen und die Objekte aus der Liste wählen.
Eventuell würde ein Anleitungsviedeo auf Youtube helfen, die gibt es mittlerweile sehr viele.
MfG
Schon mal mit "trial and error" Methode versucht?
Ist eigentlich total einfach: Configuration->Firewall->Objects->Network Objects->Add->Network Object.
Dann Name eingeben, Type auf Network umstellen, IP Address eintragen. Netmask Eintragen, auf OK klicken, auf Apply klicken. So geht es z.Bsp. unter ASDM v7.6.
Bei dem Wissenstand würde ich vielleicht überlegen einen "Cisco ASA Firewall Sichere Cisco Netze" Kurs zu besuchen.
Zitat von @Yannosch:
& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Man legt einen Netzwerkobject an. Intern oder extern spielt dabei keine Rolle.& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
Ist nur gut gemeint. Wenn es schon bei so einer trivialer Aufgabe wie eine einfache ACC-rule zu Problemen kommt wird es später (bei NAT usw.) noch schlimmer. Bei vielen Cisco Produkten kommt man ohne Grundwissen über Ciscos Denkweise nicht weiter.
Man legt ACC-Rule normalerweise auf das Interface das die Pakete empfängt und sagt, "wenn ein Paket eintrifft mache dies oder das".
Cisco erlaubt auch Paketfilterung auf ausgehende Pakete. In dem Fall sagt man, "wenn ein Paket mein Interface verlässt mache dies oder das".
ACC-Rule für ausgehende Pakete sollte man nicht machen außer man weist was man tut.
In deinem Fall erstellst du ACC auf Interface Outside für eingehende Pakete aus dem Internet.
MfG
P.S. Hier gibt es einige gute Tutorials: http://de.lmgtfy.com/?t=v&q=asa+asdm+anleitung
Cisco erlaubt auch Paketfilterung auf ausgehende Pakete. In dem Fall sagt man, "wenn ein Paket mein Interface verlässt mache dies oder das".
ACC-Rule für ausgehende Pakete sollte man nicht machen außer man weist was man tut.
In deinem Fall erstellst du ACC auf Interface Outside für eingehende Pakete aus dem Internet.
MfG
P.S. Hier gibt es einige gute Tutorials: http://de.lmgtfy.com/?t=v&q=asa+asdm+anleitung