alphaman
Goto Top

Probleme beim einrichten der Cisco ASA 5505

Hi Leute,

ich habe eine Cisco ASA 5505 und habe kleine Probleme bei der Einrichtung der Box. Die Internet Daten haben ich bereits eingetragen und von der Console der Box kann ich z.B. google.de pingen. Wenn ich aber an einen Client gehe dann kann ich weder eine IP noch eine Domain pingen.

Bei den Security Regeln habe ich bis jetzt die Standardregeln belassen die sagen das alles raus darf aber nichts rein.

Wenn ich eine Regel testweise erstelle das alles vom Internet ins Interne Netz darf dann kann ich pingen.
Wie kann ich die Box einstellen das Anfragen die vom Internen Netz gestellt worden sind auch von aussen wieder durchgelassen werden. Alle unbekannten Eingänge sollen weiterhin geblockt werden.

Kann mir jemand bei der Konfiguration helfen bitte. Evtl. habt ihr auch Links zu Beispielkonfigurationen. Ich habe leider im Internet nichts passenden gefunden.

Dickes Danke schon mal.

Gruß,
Alphaman

Content-ID: 74939

Url: https://administrator.de/contentid/74939

Ausgedruckt am: 14.11.2024 um 09:11 Uhr

Rafiki
Rafiki 01.12.2007 um 18:10:04 Uhr
Goto Top
Einige Beispiele finden sich auf der Cisco Webseite unter:
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_configu ...
-> Configuration Examples

Wenn deine Access list bereits richtig ist, dann fehlt häufig noch das entsprechende NAT.
du legst fest was inside und was outside ist.
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 2 192.168.1.1

Weitere Erklärung in dem Beispiel: (Link siehe Oben)
  1. PIX/ASA 7.x NAT and PAT Statements

Dann prüfe am besten mit nslookup ob deine Konfiguration OK ist.
Beispiel: nslookup www.1und1.de 195.20.244.5

Ping muss nicht immer funktionieren, leicht vergisst man es auch die ping Antwort zuzulassen (icmp-reply).

Wenn du damit immer noch Schwierigkeiten hast, dann bereinige deine Konfig bitte um die Passworte und öffentliche IP Adressen und poste die Konfig hier als Kommentar.

Gruß Rafiki
Alphaman
Alphaman 03.12.2007 um 12:56:51 Uhr
Goto Top
Hallo Rafiki,

ich komme irgendwie nicht klar mit der ASA. Ich habe Sie nochmal zurückgesetzt und von vorne begonnen. Ich habe im Wizard alle Informationen eingeben. Den DNS Server habe ich per Hand eingetragen. Der DNS Proxy sollte an intern/DMZ ebenfalls aktiv sein, aber es will nicht so klappen.

Wenn ich im PC den DNS Server vom ISP eintrage dann kann er z.B. 1und1.de auflösen, aber wenn ich die Box angebe geht es nicht... Das die Box unbedingt DNS Proxy spielt ist nicht sooo wichtig, aber ich kann auch keine Webseite oder so aufrufen.

Später soll die ASA HTTP/HTTPS/SMTP an einen Server im internen Netz durchlassen. Externe Benutzer sollen dann auch per VPN Client auf die ASA und sich mit dem internen Netz verbinden können. Die Benutzer werden intern von der ASA verwaltet und nicht per AAA Server. Wäre zwar nice to have, aber davon habe ich noch weniger Ahnung wie man das einrichtet. Ich hänge ja schon an den Grundeinstellungen.

Hier die Konfig von mir. Interne/Externe IP Adressen, usw. wurden geändert. Es wäre echt Super wenn Du mir helfen könntes bei der ASA zu konfigurieren... Dickes Danke schon mal.

Konfig der ASA 5505:
Saved
Written by enable_15 at 02:29:49.049 UTC Mon Dec 3 2007


!
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name Firma.local
enable password 1234567890 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 123.123.123.121 255.255.255.248
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
no ip address
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 1234567890 encrypted
ftp mode passive
dns domain-lookup outside
dns domain-lookup inside
dns domain-lookup dmz
dns server-group DefaultDNS
name-server 123.123.123.111
name-server 123.123.123.112
domain-name Firma.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 123.123.123.120 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.2-192.168.1.129 inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8e00205767b5b7114c9de637f6ee68e5
: end
Alphaman
Alphaman 04.12.2007 um 14:03:28 Uhr
Goto Top
Hi,

ich habe mir die ASA nochmal angeschaut und komischerweise will jetzt das Internet funktionieren. Ich habe zwar jetzt als DNS Server den DNS Server vom ISP angegeben aber das ist schon OK so.

Jetzt habe ich mit dem nächsten Problem zu kämpfen. Ich bekomme es nicht hin das z.B. der SMTP Dienst auf einen bestimmten Server geleitet wird. Wir haben zwar mehrere externe IP Adressen, wollen aber nur einen davon verwenden. Daher wollte alles von einer externen IP Adresse auf den Mailserver gelenkt werden.

Ich habe bereits eine Security Policy angelegt die besagt das von dem Outside Interface von allen Adressen im Internet auf die IP Adresse des Mailservers geht. Dabei aber nur das Protokoll tcp/smtp durchgelassen.

Leider will das nicht klappen. Kann mir jemand sagen wo der Fehler evtl. liegt. Ich bin langsam mit den Nerven am ende....

Dickes Danke schon mal.

Gruß,
Alphaman
Rafiki
Rafiki 04.12.2007 um 21:20:56 Uhr
Goto Top
Wahrscheinlich fehlt dir noch der entsprechende NAT Eintrag.

Beispiel:
static (dmz,outside) 192.168.200.14 123.123.123.122 netmask 255.255.255.255

Wobei 123.123.123.122 eine der freien IP Adressen ist die euch der ISP zugewiesen hat.
192.168.200.14 ist die IP Adresse von dem Emailserver im DMZ Bereich.

Beachte bitte, dass die Parameter dmz,outside und die dazugehörigen IP Addressen in der Reihenfolge vertauscht sind! Ich will damit sagen, das erst dmz dann outside da steht, gefolgt von der IP Adresse für outside und der für die dmz. Mit der Netmask 255.255.255.255 wird dann festgelegt das wir nur über eine IP Adresse reden die übersetzt werden soll.

Gruß Rafiki

PS: Beachte eine persönliche Nachricht an dich.
Alphaman
Alphaman 05.12.2007 um 13:55:42 Uhr
Goto Top
Hallo Rafiki,

danke für das Angebot. Würde darauf zurückkommen, aber ich habe es hinbekommen.

Ich habe in der Static NAT einen Fehler gemacht. Ich habe dort die öffentliche IP Adresse des Ports von der ASA angeben und das klappt nicht.

Beispiel:

static (inside,outside) 123.123.123.121 129.168.1.2 netmask 255.255.255.255

123.123.123.121 ist die öffentliche IP Adresse (WAN IP)

Wenn ich aber folgendes schreibe:

static (inside,outside) interface 129.168.1.2 netmask 255.255.255.255

Dann klappt es einwandfrei. Mit dem Befehl "interface" gebe ich ja auch nur das Outgoing interface an und deren IP. Weiss nicht warum das erste nicht klappt.

Weisst Du es evtl., wenn ja, dann wäre es nett wenn du es noch erklären könntest für mich und die Nachwelt. Danke.

Gruß,
Alphaman
Alphaman
Alphaman 05.12.2007 um 18:01:19 Uhr
Goto Top
Hi,

nachtrag, ich musste bei dem Static Eintrag dies auf gewisse Protokolle beschrenken da sonst alles zum internen Port geleitet wird, inkl. der VPN Anfrage. Somit ging das VPN nicht mehr.

Jetzt geht aber alles und ich bin glücklich. Danke noch mals für eine Hilfe.

Gruß,
Alphaman
Rafiki
Rafiki 05.12.2007 um 20:17:26 Uhr
Goto Top
Du hast dein outside interface so konfiguriert als hätte euch euer Internet Provider ein kleines subnetz bereitgestellt:
interface Vlan2
nameif outside
security-level 0
ip address 123.123.123.121 255.255.255.248

Deshalb dachte ich mir wäre es gut für den email server eine der anderen, noch freien?, IP Adressen zu verwenden und eben nicht die Interface Adresse.
Aber so wie du es gelöst hast funktioniert es ja nun auch.

gruß Rafiki
mathschut
mathschut 24.01.2008 um 18:33:26 Uhr
Goto Top
Hallo habe mal eine Frage. Ich habe seit heute auch einen Cisco ASA 5505 zu hause. Ich habe jetzt folgendes vor. Ich habe ein DSL-Modem 2 Rechner und einen Webserver den ich Internet veröffentlichen will.
Nun folgendes Problem:
Ich habe erst mal klein angefangen. Ich habe bei PPoE meine 1und1 Zugangsdaten eingetragen und habe den Rest der config so gelassen. Ich habe zwei Ports konfiguriert 0: PPoE (DSL-Modem)
Port 1: Laptop 192.168.1.2

Router hat 192.168.1.1

Nun geht garnichts ich kann nicht Pingen und erst recht keine Seite öffnen. Was muss ich machen damit ich mit dem Laptop ins Internt kommen?

Ich danke für Antworten!!!

Mathias
Alphaman
Alphaman 25.01.2008 um 08:44:52 Uhr
Goto Top
Sorry, mit PPPoE habe ich die Box noch nicht konfiguriert. Hm, geh doch mal direkt auf die Box und mach mal von dort aus einen Ping. Wenn das nicht geht dann ist evtl. kein DNS Server angeben oder die Route stimmt nicht.

Leider habe ich keine Ahnung wie man die Route bei einer dynamischen IP konfiguriert bei der ASA.

Gruß,
Alphaman