Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hat jemand Erfahrung mit einer Cisco ASA 5505 - Brauche Hilfe bei der Konfiguration

Mitglied: maikmueller

maikmueller (Level 1) - Jetzt verbinden

07.02.2014 um 22:03 Uhr, 2240 Aufrufe, 1 Kommentar

Hallo und Guten Abend!

Ich betreibe einen Root-Server hinter dem eine Cisco ASA 5505 läuft. Nun ist es so, dass ich vom Betreiber drei öffentliche IP-Adressen bekommen habe. Auf dem Server läuft Windows Server 2008 R2 als Hyper-V Host. Bis jetzt musste ich jeder internen IP-Adresse welche ich für meine Server benutze auf der Cisco per NAT-Roule eine öffentliche IP-Adresse zuteilen da sonst kein Zugriff aufs Internet von der jeweiligen virtuellen Maschine möglich war. Das war bis jetzt kein Problem weil ich dachte ich bekomme noch mehr öffentliche IP-Adressen. Nun ist es so, dass ein weiterer virtueller Server hinzugekommen ist. Nun wollte ich eine weitere öffentliche IP bekommen. Diese stellt mir der Provider aber nur kostenpflichtig zur Verfügung. Ich habe nun das Problem das ich von dem neuen Server kein Internetzugriff bekomme obwohl Gateway und DNS-Server richtig eingetragen sind. Aber die Cisco lässt das nicht durch und ich weiß nicht an welcher Stelle ich bei diesem Teil ansetzen muss. Der Support hat was von IP-Sharing gefaselt, wie das funktioniert oder ob ich einfach nur einen Konfigurationsfehler gemacht habe ist mir nicht klar.

Vielleicht hat einer hierzu eine Hilfestellung für mich. Da würde ich mich sehr freuen.

Vielen Dank und viele Grüße

Maik
Mitglied: aqui
08.02.2014 um 13:22 Uhr
OK, um es nochmal genau zusammenzufassen: Du hast einen VM Host auf dem 3 VMs (oder die Host IP und 2 VMs) werkeln die per 1:1 NAT im Cisco auf die öffentlichen IPs umgesetzt werden.
Nun ist eine weitere VM dazugekommen und du hast logischerweise ein IP Adress Problem weil du die interne RFC 1918 IP der VM nicht mehr auf eine öffentliche umsetzen kannst und diese VM nun quasi hinter der NAT Firewall gefangen ist.
Da dann das Gateway und DNS auf den Cisco zu setzen ist auch wenig hilfreich und kann logischerweis nicht funktionieren weil es keinerlei Zuordnung mehr zu einer öffentlichen IP gibt mit der diese zusätzliche VM dann ins Internet kann. War also zu erwarten das das natürlich nicht klappt....

Generell hast du da keine Chance, denn wie soll das auch gehen ohne weitere IP.
WAS du aber machen kannst ist PAT, also Port Adress Translation (nat overload bei Cisco). Das ist auch genau das was der Provider mit IP Sharing meint. Ist das gleiche Prinzip wie bei einem DSL Router, der alle IPs eines lokalen Netzes auf eine einzige IP umsetzt mit NAT/PAT allerdings mit einigen Nachteilen:
Das Problem ist wie der Name schon sagt das hier nur eine Translation auf Port Adressbasis stattfindet. D.h. ein oder mehrere VMs nutzen eine einzige öffentliche IP um nach draussen ins Internet zu kommen. Anhand der Source und Destination Ports ordnet das NAT dann wieder die lokalen Host IPs zu.
Der Nachteil ist das das kein transparentes NAT ist. Du kannst also nicht von außen (Internet) nach innen (lokales Netz, VMs) ohne eine gültige Session in der NAT Session Tabelle.
Man kann das aber eintragen, das ist das was man unter klassischem Port Forwarding versteht. Also man kann dem Cisco beibringen eingehender Port TCP 80 Traffic für die öffentliche IP x geht lokal auf die hostadresse y mit Port 80.
Damit ist aber dann für Port 80 Schluss, da logischerweise diese statische Port Zuweisung nur ein einziges Mal gemacht werden kann.
Will man weiteren HTTP Traffic auf eine andere VM forwarden muss man zwangsweise einen anderen Port verwenden also z.B. 8080 den man dann auf eine andere lokale IP forwarden kann.
Bedingt dann aber das von außen immer dieser Port angegeben werden muss wenn er nicht der Standardport ist also z.B. htt p<ip_oder_name>:8080.
Damit ist ein Sharing einer einzelnen IP problemlos möglich hat aber Einschränkungen was den Zugriff von außen anbetrifft.
Wenn eine oder mehrere deiner VMs keinen Zugriff von außen benötigen sondern selber immer nur Verbindungen irgendwohin aufbauen z.B. bei einem VPN, dann ist PAT die richtige Lösung. Da kannst du dann mit 10 oder mehr VMs eine einzige IP sharen.
Beispielkonfigs dazu für die ASA findet man wie immer hier:
http:
www.cisco.com/en/US/products/ps6120/prod_configuration_examples_list.html
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

Router & Routing

CISCO ASA 5505 undLANCOM - VPN mit einseitig dyn. IP-Adresse

Frage von Stadtaffe84Router & Routing1 Kommentar

Hallo Zusammen, ich habe folgendes Szenario. In der Firmenzentrale steht eine CISCO ASA 5505 und dient unter anderem als ...

Firewall

Jemand Erfahrung mit pfctl ?

Frage von AlchimedesFirewall

Hallo , hat jemand von Euch auf MacOS 10.13 Erfahrung mit pfctl ? Privat oder im Betrieb ? Bei ...

LAN, WAN, Wireless

Cisco ASA Passwort Reset

Anleitung von YannoschLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 11 StundenWindows 106 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 1 TagSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 4 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 4 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware21 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Windows Server
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Frage von killtecWindows Server17 Kommentare

Hallo, ich möchte gerne folgendes Realisieren: Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...

Microsoft Office
Videodateien auf Windows Server 2008 R2 öffnen schlägt fehl
Frage von SchroediMicrosoft Office14 Kommentare

Hallo zusammen, wir haben das Problem das embedded Videos in PowerPoint (O365) auf unserer Citrix Farm (6.5) nicht abgespielt ...