Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hat jemand Erfahrung mit einer Cisco ASA 5505 - Brauche Hilfe bei der Konfiguration

Mitglied: maikmueller

maikmueller (Level 1) - Jetzt verbinden

07.02.2014 um 22:03 Uhr, 2319 Aufrufe, 1 Kommentar

Hallo und Guten Abend!

Ich betreibe einen Root-Server hinter dem eine Cisco ASA 5505 läuft. Nun ist es so, dass ich vom Betreiber drei öffentliche IP-Adressen bekommen habe. Auf dem Server läuft Windows Server 2008 R2 als Hyper-V Host. Bis jetzt musste ich jeder internen IP-Adresse welche ich für meine Server benutze auf der Cisco per NAT-Roule eine öffentliche IP-Adresse zuteilen da sonst kein Zugriff aufs Internet von der jeweiligen virtuellen Maschine möglich war. Das war bis jetzt kein Problem weil ich dachte ich bekomme noch mehr öffentliche IP-Adressen. Nun ist es so, dass ein weiterer virtueller Server hinzugekommen ist. Nun wollte ich eine weitere öffentliche IP bekommen. Diese stellt mir der Provider aber nur kostenpflichtig zur Verfügung. Ich habe nun das Problem das ich von dem neuen Server kein Internetzugriff bekomme obwohl Gateway und DNS-Server richtig eingetragen sind. Aber die Cisco lässt das nicht durch und ich weiß nicht an welcher Stelle ich bei diesem Teil ansetzen muss. Der Support hat was von IP-Sharing gefaselt, wie das funktioniert oder ob ich einfach nur einen Konfigurationsfehler gemacht habe ist mir nicht klar.

Vielleicht hat einer hierzu eine Hilfestellung für mich. Da würde ich mich sehr freuen.

Vielen Dank und viele Grüße

Maik
Mitglied: aqui
08.02.2014 um 13:22 Uhr
OK, um es nochmal genau zusammenzufassen: Du hast einen VM Host auf dem 3 VMs (oder die Host IP und 2 VMs) werkeln die per 1:1 NAT im Cisco auf die öffentlichen IPs umgesetzt werden.
Nun ist eine weitere VM dazugekommen und du hast logischerweise ein IP Adress Problem weil du die interne RFC 1918 IP der VM nicht mehr auf eine öffentliche umsetzen kannst und diese VM nun quasi hinter der NAT Firewall gefangen ist.
Da dann das Gateway und DNS auf den Cisco zu setzen ist auch wenig hilfreich und kann logischerweis nicht funktionieren weil es keinerlei Zuordnung mehr zu einer öffentlichen IP gibt mit der diese zusätzliche VM dann ins Internet kann. War also zu erwarten das das natürlich nicht klappt....

Generell hast du da keine Chance, denn wie soll das auch gehen ohne weitere IP.
WAS du aber machen kannst ist PAT, also Port Adress Translation (nat overload bei Cisco). Das ist auch genau das was der Provider mit IP Sharing meint. Ist das gleiche Prinzip wie bei einem DSL Router, der alle IPs eines lokalen Netzes auf eine einzige IP umsetzt mit NAT/PAT allerdings mit einigen Nachteilen:
Das Problem ist wie der Name schon sagt das hier nur eine Translation auf Port Adressbasis stattfindet. D.h. ein oder mehrere VMs nutzen eine einzige öffentliche IP um nach draussen ins Internet zu kommen. Anhand der Source und Destination Ports ordnet das NAT dann wieder die lokalen Host IPs zu.
Der Nachteil ist das das kein transparentes NAT ist. Du kannst also nicht von außen (Internet) nach innen (lokales Netz, VMs) ohne eine gültige Session in der NAT Session Tabelle.
Man kann das aber eintragen, das ist das was man unter klassischem Port Forwarding versteht. Also man kann dem Cisco beibringen eingehender Port TCP 80 Traffic für die öffentliche IP x geht lokal auf die hostadresse y mit Port 80.
Damit ist aber dann für Port 80 Schluss, da logischerweise diese statische Port Zuweisung nur ein einziges Mal gemacht werden kann.
Will man weiteren HTTP Traffic auf eine andere VM forwarden muss man zwangsweise einen anderen Port verwenden also z.B. 8080 den man dann auf eine andere lokale IP forwarden kann.
Bedingt dann aber das von außen immer dieser Port angegeben werden muss wenn er nicht der Standardport ist also z.B. htt p<ip_oder_name>:8080.
Damit ist ein Sharing einer einzelnen IP problemlos möglich hat aber Einschränkungen was den Zugriff von außen anbetrifft.
Wenn eine oder mehrere deiner VMs keinen Zugriff von außen benötigen sondern selber immer nur Verbindungen irgendwohin aufbauen z.B. bei einem VPN, dann ist PAT die richtige Lösung. Da kannst du dann mit 10 oder mehr VMs eine einzige IP sharen.
Beispielkonfigs dazu für die ASA findet man wie immer hier:
http:
www.cisco.com/en/US/products/ps6120/prod_configuration_examples_list.html
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco ASA 5505 ohne Lizenz
gelöst Frage von it-levFirewall7 Kommentare

Hallo all, die ASA 5505 läuft 202x aus und in der Bucht ist diese günstig zu kaufen. Ich wollte ...

Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

Router & Routing

CISCO ASA 5505 undLANCOM - VPN mit einseitig dyn. IP-Adresse

Frage von Stadtaffe84Router & Routing1 Kommentar

Hallo Zusammen, ich habe folgendes Szenario. In der Firmenzentrale steht eine CISCO ASA 5505 und dient unter anderem als ...

Firewall

Jemand Erfahrung mit pfctl ?

Frage von AlchimedesFirewall

Hallo , hat jemand von Euch auf MacOS 10.13 Erfahrung mit pfctl ? Privat oder im Betrieb ? Bei ...

Neue Wissensbeiträge
Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 1 TagNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 1 TagMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 3 TagenHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 3 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Heiß diskutierte Inhalte
Router & Routing
Suche Router der von einem Ethernet ein WLAN erzeugt
gelöst Frage von cdkurtRouter & Routing25 Kommentare

Hallo, ich bin auf der Suche nach einem Wlan Router/ Access Point der sich in einem Heim / Hotel ...

Sicherheitsgrundlagen
Frage zur allgemeinen Netzwerksicherheit
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen15 Kommentare

Guten Tag zusammen, in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der ...

Windows Server
Windows Server 2019 RDP auf anderen Port umlegen scheint zumindest in der Firewall nicht zu funktionieren
gelöst Frage von kfj-deWindows Server14 Kommentare

Hallo zusammen, habe gedacht, ich mache den Remote Desktop Zugang etwas sicherer und lege den Port auf einen der ...

Netzwerkgrundlagen
Anfänger-Plan für ein Heimnetzwerk mit Opnsense
gelöst Frage von scriptoriusNetzwerkgrundlagen13 Kommentare

Hallo, ich plane, mein Netzwerk zu Hause umzugestalten. Ich habe einen Glasfaser-Anschluss (Deutsche Glasfaser). In meinem Netzwerk befinden sich ...