9
Firewall-Regeln Cisco ASA5505 bzgl VoIP
Hallo zusammen,
ich habe mal wieder leichte Differenzen mit meiner Cisco ASA550
Im Rahmer der Anbindung unserer VoIP Telefone zum Cloud-Dienstanbieter [sei mal dahin gestellt ob das gut oder schlecht ist...] soll ich nun folgende Firewall Rules festlegen.
1. Source = Telefone , Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
2. Source = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Source Port = any, Destination = Telefone (i.d.R. NAT IP), Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
3. Source = PCs [bzgl. Webclient], Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = 80 + 443, Transport = TCP, Accept
"Telefone" & "PCs" habe ich bereits als IPv4 Network Object Groups definiert - kein Problem.
Beim Erstellen der Regeln scheiterts aber schon daran, dass ich keine Ahnung habe wie ich über die ASDM eine Outside IP Adresse mit MASK als Source oder Destination festlegen kann.
Eine Idee hätte ich allerdings ... Nat Rules... - leider habe ich es in der Praxis auf einer Cisco noch nicht machen müssen - daher meine Frage an euch.
Wie kann ich die angeforderten Regeln am besten in meiner Cisco ASA 5505 abbilden?
Bin für jede Erkärung dankbar, weil ich in diesem Bereicht definitiv gewillt bin zu lernen.
Vielen Dank im Voraus
Gruß Yannosch
ich habe mal wieder leichte Differenzen mit meiner Cisco ASA550
Im Rahmer der Anbindung unserer VoIP Telefone zum Cloud-Dienstanbieter [sei mal dahin gestellt ob das gut oder schlecht ist...] soll ich nun folgende Firewall Rules festlegen.
1. Source = Telefone , Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
2. Source = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Source Port = any, Destination = Telefone (i.d.R. NAT IP), Destination Port = any, Transport = TCP/UDP, Regel = Accept / SNAT
3. Source = PCs [bzgl. Webclient], Source Port = any, Destination = XX.XXX.XXX.XXX/27 [wahrscheinlich IP Adresse der Cloud TK], Destination Port = 80 + 443, Transport = TCP, Accept
"Telefone" & "PCs" habe ich bereits als IPv4 Network Object Groups definiert - kein Problem.
Beim Erstellen der Regeln scheiterts aber schon daran, dass ich keine Ahnung habe wie ich über die ASDM eine Outside IP Adresse mit MASK als Source oder Destination festlegen kann.
Eine Idee hätte ich allerdings ... Nat Rules... - leider habe ich es in der Praxis auf einer Cisco noch nicht machen müssen - daher meine Frage an euch.
Wie kann ich die angeforderten Regeln am besten in meiner Cisco ASA 5505 abbilden?
Bin für jede Erkärung dankbar, weil ich in diesem Bereicht definitiv gewillt bin zu lernen.
Vielen Dank im Voraus
Gruß Yannosch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 363098
Url: https://administrator.de/contentid/363098
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Die ganzen Artikel habe ich durch ... wenn ich dadurch weitergekommen wäre hätte ich mich nicht hier gemeldet...
Ich suche eigentlich eine Erklärung für mein Vorhaben ...
Kann mir jemand anderes helfen?
Danke
EDIT: Außerdem wird hier gar nicht beschrieben wie ich einer EXPLIZITEN Öffentlichen IP die Kommunikation zu meinen Tele-Clients erlauben kann... Also eigentlich völligst daneben.
Ich suche eigentlich eine Erklärung für mein Vorhaben ...
Kann mir jemand anderes helfen?
Danke
EDIT: Außerdem wird hier gar nicht beschrieben wie ich einer EXPLIZITEN Öffentlichen IP die Kommunikation zu meinen Tele-Clients erlauben kann... Also eigentlich völligst daneben.
Hi,
es empfiehlt sich alles in Objekten abzubilden. Configuration->Firewall->Objects.
Man legt ein Netzwerk Object und ein Service Objekt an.
Danach einfach unter Access Rules neue Regel anlegen und die Objekte aus der Liste wählen.
Eventuell würde ein Anleitungsviedeo auf Youtube helfen, die gibt es mittlerweile sehr viele.
MfG
es empfiehlt sich alles in Objekten abzubilden. Configuration->Firewall->Objects.
Man legt ein Netzwerk Object und ein Service Objekt an.
Danach einfach unter Access Rules neue Regel anlegen und die Objekte aus der Liste wählen.
Eventuell würde ein Anleitungsviedeo auf Youtube helfen, die gibt es mittlerweile sehr viele.
MfG
Nochmal genauer:
Wie lege ich ein externes Netzwerkobjekt an?
Zumal das Netz XX.XXX.XXX.XXX/27 [öffentliche IP] nicht im "Netzwerk" ist.
Wie lege ich nun eine Regel an, dass diese Öffentliche IP auf HostGruppe "Telefone" zugreifen darf & eben andersrum.
Dazu habe ich nichts gefunden & das ist eigentlich auch die Quintessenz meiner Frage - die bisher leider nicht beantwortet werden konnte.
LG
Yannosch
EDIT: Trotzdem erstmal Danke an euch beide.
Wie lege ich ein externes Netzwerkobjekt an?
Zumal das Netz XX.XXX.XXX.XXX/27 [öffentliche IP] nicht im "Netzwerk" ist.
Wie lege ich nun eine Regel an, dass diese Öffentliche IP auf HostGruppe "Telefone" zugreifen darf & eben andersrum.
Dazu habe ich nichts gefunden & das ist eigentlich auch die Quintessenz meiner Frage - die bisher leider nicht beantwortet werden konnte.
LG
Yannosch
EDIT: Trotzdem erstmal Danke an euch beide.
Schon mal mit "trial and error" Methode versucht?
Ist eigentlich total einfach: Configuration->Firewall->Objects->Network Objects->Add->Network Object.
Dann Name eingeben, Type auf Network umstellen, IP Address eintragen. Netmask Eintragen, auf OK klicken, auf Apply klicken. So geht es z.Bsp. unter ASDM v7.6.
Bei dem Wissenstand würde ich vielleicht überlegen einen "Cisco ASA Firewall Sichere Cisco Netze" Kurs zu besuchen.
Zitat von @heilgecht:
Schon mal mit "trial and error" Methode versucht?
Ist eigentlich total einfach: Configuration->Firewall->Objects->Network Objects->Add->Network Object.
Dann Name eingeben, Type auf Network umstellen, IP Address eintragen. Netmask Eintragen, auf OK klicken, auf Apply klicken. So geht es z.Bsp. unter ASDM v7.6.
Schon mal mit "trial and error" Methode versucht?
Ist eigentlich total einfach: Configuration->Firewall->Objects->Network Objects->Add->Network Object.
Dann Name eingeben, Type auf Network umstellen, IP Address eintragen. Netmask Eintragen, auf OK klicken, auf Apply klicken. So geht es z.Bsp. unter ASDM v7.6.
& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Bei dem Wissenstand würde ich vielleicht überlegen einen "Cisco ASA Firewall Sichere Cisco Netze" Kurs zu besuchen.
So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
Zitat von @Yannosch:
& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Man legt einen Netzwerkobject an. Intern oder extern spielt dabei keine Rolle.& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
Ist nur gut gemeint. Wenn es schon bei so einer trivialer Aufgabe wie eine einfache ACC-rule zu Problemen kommt wird es später (bei NAT usw.) noch schlimmer. Bei vielen Cisco Produkten kommt man ohne Grundwissen über Ciscos Denkweise nicht weiter.Zitat von @heilgecht:
Zitat von @Yannosch:
& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Man legt einen Netzwerkobject an. Intern oder extern spielt dabei keine Rolle.& dass kann ich dann auch als externes Netz in meine Accessrules einbauen? Das ist ja die eigentliche Frage.
Okay... das war nur meine Frage. Danke für deine Antwort ich werde prüfen ob es so funktioniert.
So Kommentare sind einfach nur unnötig... wir sind alle hier um unser Wissen weiterzugeben & selbiges zu erweitern. Also spar dir das bitte. Danke.
Ist nur gut gemeint. Wenn es schon bei so einer trivialer Aufgabe wie eine einfache ACC-rule zu Problemen kommt wird es später (bei NAT usw.) noch schlimmer. Bei vielen Cisco Produkten kommt man ohne Grundwissen über Ciscos Denkweise nicht weiter.Was mich zu meiner nächsten Trivialen Frage bringt. Beim Erstellen der ACC-Rule - benutze ich da das inside oder outside Interface? Wenn ich die Kommunikation von Außen nach innen ermöglichen will....
Danke für deine Geduld.
Man legt ACC-Rule normalerweise auf das Interface das die Pakete empfängt und sagt, "wenn ein Paket eintrifft mache dies oder das".
Cisco erlaubt auch Paketfilterung auf ausgehende Pakete. In dem Fall sagt man, "wenn ein Paket mein Interface verlässt mache dies oder das".
ACC-Rule für ausgehende Pakete sollte man nicht machen außer man weist was man tut.
In deinem Fall erstellst du ACC auf Interface Outside für eingehende Pakete aus dem Internet.
MfG
P.S. Hier gibt es einige gute Tutorials: http://de.lmgtfy.com/?t=v&q=asa+asdm+anleitung
Cisco erlaubt auch Paketfilterung auf ausgehende Pakete. In dem Fall sagt man, "wenn ein Paket mein Interface verlässt mache dies oder das".
ACC-Rule für ausgehende Pakete sollte man nicht machen außer man weist was man tut.
In deinem Fall erstellst du ACC auf Interface Outside für eingehende Pakete aus dem Internet.
MfG
P.S. Hier gibt es einige gute Tutorials: http://de.lmgtfy.com/?t=v&q=asa+asdm+anleitung
