Probleme beim einrichten der Cisco ASA 5505
Hi Leute,
ich habe eine Cisco ASA 5505 und habe kleine Probleme bei der Einrichtung der Box. Die Internet Daten haben ich bereits eingetragen und von der Console der Box kann ich z.B. google.de pingen. Wenn ich aber an einen Client gehe dann kann ich weder eine IP noch eine Domain pingen.
Bei den Security Regeln habe ich bis jetzt die Standardregeln belassen die sagen das alles raus darf aber nichts rein.
Wenn ich eine Regel testweise erstelle das alles vom Internet ins Interne Netz darf dann kann ich pingen.
Wie kann ich die Box einstellen das Anfragen die vom Internen Netz gestellt worden sind auch von aussen wieder durchgelassen werden. Alle unbekannten Eingänge sollen weiterhin geblockt werden.
Kann mir jemand bei der Konfiguration helfen bitte. Evtl. habt ihr auch Links zu Beispielkonfigurationen. Ich habe leider im Internet nichts passenden gefunden.
Dickes Danke schon mal.
Gruß,
Alphaman
ich habe eine Cisco ASA 5505 und habe kleine Probleme bei der Einrichtung der Box. Die Internet Daten haben ich bereits eingetragen und von der Console der Box kann ich z.B. google.de pingen. Wenn ich aber an einen Client gehe dann kann ich weder eine IP noch eine Domain pingen.
Bei den Security Regeln habe ich bis jetzt die Standardregeln belassen die sagen das alles raus darf aber nichts rein.
Wenn ich eine Regel testweise erstelle das alles vom Internet ins Interne Netz darf dann kann ich pingen.
Wie kann ich die Box einstellen das Anfragen die vom Internen Netz gestellt worden sind auch von aussen wieder durchgelassen werden. Alle unbekannten Eingänge sollen weiterhin geblockt werden.
Kann mir jemand bei der Konfiguration helfen bitte. Evtl. habt ihr auch Links zu Beispielkonfigurationen. Ich habe leider im Internet nichts passenden gefunden.
Dickes Danke schon mal.
Gruß,
Alphaman
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 74939
Url: https://administrator.de/contentid/74939
Ausgedruckt am: 14.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Einige Beispiele finden sich auf der Cisco Webseite unter:
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_configu ...
-> Configuration Examples
Wenn deine Access list bereits richtig ist, dann fehlt häufig noch das entsprechende NAT.
du legst fest was inside und was outside ist.
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 2 192.168.1.1
Weitere Erklärung in dem Beispiel: (Link siehe Oben)
Dann prüfe am besten mit nslookup ob deine Konfiguration OK ist.
Beispiel: nslookup www.1und1.de 195.20.244.5
Ping muss nicht immer funktionieren, leicht vergisst man es auch die ping Antwort zuzulassen (icmp-reply).
Wenn du damit immer noch Schwierigkeiten hast, dann bereinige deine Konfig bitte um die Passworte und öffentliche IP Adressen und poste die Konfig hier als Kommentar.
Gruß Rafiki
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_configu ...
-> Configuration Examples
Wenn deine Access list bereits richtig ist, dann fehlt häufig noch das entsprechende NAT.
du legst fest was inside und was outside ist.
nat (inside) 2 10.1.0.0 255.255.0.0
global (outside) 2 192.168.1.1
Weitere Erklärung in dem Beispiel: (Link siehe Oben)
- PIX/ASA 7.x NAT and PAT Statements
Dann prüfe am besten mit nslookup ob deine Konfiguration OK ist.
Beispiel: nslookup www.1und1.de 195.20.244.5
Ping muss nicht immer funktionieren, leicht vergisst man es auch die ping Antwort zuzulassen (icmp-reply).
Wenn du damit immer noch Schwierigkeiten hast, dann bereinige deine Konfig bitte um die Passworte und öffentliche IP Adressen und poste die Konfig hier als Kommentar.
Gruß Rafiki
Wahrscheinlich fehlt dir noch der entsprechende NAT Eintrag.
Beispiel:
static (dmz,outside) 192.168.200.14 123.123.123.122 netmask 255.255.255.255
Wobei 123.123.123.122 eine der freien IP Adressen ist die euch der ISP zugewiesen hat.
192.168.200.14 ist die IP Adresse von dem Emailserver im DMZ Bereich.
Beachte bitte, dass die Parameter dmz,outside und die dazugehörigen IP Addressen in der Reihenfolge vertauscht sind! Ich will damit sagen, das erst dmz dann outside da steht, gefolgt von der IP Adresse für outside und der für die dmz. Mit der Netmask 255.255.255.255 wird dann festgelegt das wir nur über eine IP Adresse reden die übersetzt werden soll.
Gruß Rafiki
PS: Beachte eine persönliche Nachricht an dich.
Beispiel:
static (dmz,outside) 192.168.200.14 123.123.123.122 netmask 255.255.255.255
Wobei 123.123.123.122 eine der freien IP Adressen ist die euch der ISP zugewiesen hat.
192.168.200.14 ist die IP Adresse von dem Emailserver im DMZ Bereich.
Beachte bitte, dass die Parameter dmz,outside und die dazugehörigen IP Addressen in der Reihenfolge vertauscht sind! Ich will damit sagen, das erst dmz dann outside da steht, gefolgt von der IP Adresse für outside und der für die dmz. Mit der Netmask 255.255.255.255 wird dann festgelegt das wir nur über eine IP Adresse reden die übersetzt werden soll.
Gruß Rafiki
PS: Beachte eine persönliche Nachricht an dich.
Du hast dein outside interface so konfiguriert als hätte euch euer Internet Provider ein kleines subnetz bereitgestellt:
interface Vlan2
nameif outside
security-level 0
ip address 123.123.123.121 255.255.255.248
Deshalb dachte ich mir wäre es gut für den email server eine der anderen, noch freien?, IP Adressen zu verwenden und eben nicht die Interface Adresse.
Aber so wie du es gelöst hast funktioniert es ja nun auch.
gruß Rafiki
interface Vlan2
nameif outside
security-level 0
ip address 123.123.123.121 255.255.255.248
Deshalb dachte ich mir wäre es gut für den email server eine der anderen, noch freien?, IP Adressen zu verwenden und eben nicht die Interface Adresse.
Aber so wie du es gelöst hast funktioniert es ja nun auch.
gruß Rafiki
Hallo habe mal eine Frage. Ich habe seit heute auch einen Cisco ASA 5505 zu hause. Ich habe jetzt folgendes vor. Ich habe ein DSL-Modem 2 Rechner und einen Webserver den ich Internet veröffentlichen will.
Nun folgendes Problem:
Ich habe erst mal klein angefangen. Ich habe bei PPoE meine 1und1 Zugangsdaten eingetragen und habe den Rest der config so gelassen. Ich habe zwei Ports konfiguriert 0: PPoE (DSL-Modem)
Port 1: Laptop 192.168.1.2
Router hat 192.168.1.1
Nun geht garnichts ich kann nicht Pingen und erst recht keine Seite öffnen. Was muss ich machen damit ich mit dem Laptop ins Internt kommen?
Ich danke für Antworten!!!
Mathias
Nun folgendes Problem:
Ich habe erst mal klein angefangen. Ich habe bei PPoE meine 1und1 Zugangsdaten eingetragen und habe den Rest der config so gelassen. Ich habe zwei Ports konfiguriert 0: PPoE (DSL-Modem)
Port 1: Laptop 192.168.1.2
Router hat 192.168.1.1
Nun geht garnichts ich kann nicht Pingen und erst recht keine Seite öffnen. Was muss ich machen damit ich mit dem Laptop ins Internt kommen?
Ich danke für Antworten!!!
Mathias