Routing Problem bei IPSec VPN mit Cisco ASA 5510

keksdieb
Goto Top

Moin moin zusammen,

Bin mal wieder beim Cisco Selbststudium und habe stehe direkt vor einem Problem mit der ASA 5510 (Ver. 8.4)

Die Einrichtung hat soweit ganz gut geklappt, allerdings muss ich mich erstmal ans ADSM gewöhnen.

Ich habe die grundlegenden Einstellungen gemacht (ohne den Install Wizard) und kann auch ins Internet.
Ich habe einen Remote Access IPSec VPN einrichten, der auch soweit funktioniert.
Die Anmeldung per Cisco VPN Client geht reibungslos, allerdings ist danach Schluss...

das interne Netz erreiche ich nicht, weil ich keine Route eingerichtet habe, das ist mir bewusst :o) ...

Nur hänge ich genau an dem Punkt:

Richte ich jetzt eine Route vom outside Interface ins Netzwerk ein oder vom VPN Netzwerk zum Internen Netzwerk?
Und welche IP ist das Gateway zum anderen Netzwerk...

Gleiches Beispiel auf einem Router (natürlich ohne VPN) bekomme ich umgesetzt.

Diese Network-Objects kannte ich vorher gar nicht und kann mich auch noch nicht so recht damit anfreunden...
Aber anscheinend sind genau diese Network-Objects das Problem...

Im FAQ auf der Cisco Seite habe ich rumgestöbert, finde aber nur Anleitungen und Erklärungen zur alten Version (8.3) genauso wie in meinem Fachbuch. Aber es hat sich zwischen den Versionen 8.3 und 8.4 einiges geändert,so das die Beispiele nicht umsetzbar sind.

Eventuell habt ihr ja ein Tipp für mich zum Thema oder könnt mir den Sinn und Zweck der Network-Objects erklären...

Vielen Dank

Gruß Keksdieb

Content-Key: 195203

Url: https://administrator.de/contentid/195203

Ausgedruckt am: 16.05.2022 um 20:05 Uhr

Mitglied: transocean
transocean 01.12.2012 um 11:26:23 Uhr
Goto Top
Moin Keksdieb,

ich sitze hier auch gerade an einer neuen ASA 5505 und verzweifle an dem Teil. Ich bekomme einfach keine Verbindung vom Inside-Netzwerk ins Internet. Kannst Du mir verraten, wie Du die Internetverbindung der ASA hinbekommen hast?

Gruß

Uwe
Mitglied: killtec
killtec 01.12.2012 um 11:34:21 Uhr
Goto Top
Hi,
zur ASA 5505 -> Per Default lässt die alles durch. Wichtig: zur Grundeinrichtung keinen Wizard nehmen!
Wegen der ASA5510 schaue ich am Montag in der Fa. mal nach, wir haben beide Produkte im Einsatz.
Was ich sagen kann ist. Du musst die Firewallregeln auf jeden Fall anpassen.

Gruß
Mitglied: keksdieb
keksdieb 01.12.2012 um 12:29:47 Uhr
Goto Top
moin transocean,

die default route (0.0.0.0) muss auf dein outside interface zeigen.
Jedenfalls ist es bei der 5510 so ;)

Danach brauchst du noch NAT Regeln und Access Listen und es läuft...

Den Wizard sollte man nicht nutzen, da dieses Tool zwar alle Einstellungen macht, aber unter Umständen Einträge in "Eigenregie" durchführt, die später andere Probleme verursachen und dann als Neuling nicht mehr nachvollziehbar sind.
Mitglied: keksdieb
keksdieb 03.12.2012 um 08:41:00 Uhr
Goto Top
So, das Wochenende ist in der ASA verbraucht und ich bin etwas schlauer :) face-smile

Für diejenigen, die es Wissen wollen:

die Network Objects dienen meiner Erkenntnis nach der Übersichtlichkeit.
Durch die Objects kann man mehrere Dienste / Host / Netzwerke an eine ACL und / oder NAT Regel binden.

Macht man es nach dem alten Schema, müsste man für jeden Dienst / Host / Server eine eigene Regel erstellen und einbinden.
Die Network-Objects (und auch die Gruppen) sollen die Konfiguration also vereinfachen und übersichtlicher gestalten.

Des weiteren ist das Security-Level entscheidend, den per se blockt die ASA jeden Traffic vom Interface mit dem kleineren Security-Level.
Bedeutet wenn das Outside-Interface das Level 0 und das Inside-Interface hat das Level 100 hat, kann Inside mit Outside kommunizieren, andersrum wird es allerdings ohne entsprechende ACL nichts.

Die Einrichtung des Remote-Access-VPN hat wie oben geschrieben auch geklappt. Allerdings funktioniert die Verbindung vom VPN Netzwerk zum Internen Netzwerk nicht. Eine ACL mit entsprechender ACE hab ich eingerichtet um den Traffic auf das interne Netz zu erlauben.

Hier mal die CFG der Testumgebung:

Für einen Anfänger echt schwer zu durchschauen ;)

Gruß Keksdieb