3750er
Goto Top

Zugriff auf SQL Server in separiertem Netzsegment hinter Cisco ASA

Hallo,

ich habe folgendes Problem.

Es gibt zwei Netzsegmente die nicht geroutet sind
10.1.1.0/24 (Security Level 99)
10.1.2.0/24 (Security Level 0)

Zwischen den beiden Netzen hängt eine kleine ASA. Die ASA macht auf der IP 10.1.1.100 eine NAT auf die 10.1.2.50 zum RDP Zugriff auf eine andere Maschine. Das funktioniert.

Auf der "RDP-Maschine" läuft ein SQL Express. Zielsetzung ist es von einem Client im Netz 10.1.1.0/24 auf den SQL in 10.1.2.50/24 zuzugreifen.

Meine ACL 10.1.1.0/24 => 10.1.2.50, UDP 1434 bekommt Hits.

Ich habe auch eine NAT Rule welche die Ports 1433 und 1434 überleitet.

Vielleicht weiß einer von Euch Rat wie ich weiter machen kann....

Danke!

Viele Grüße

Content-ID: 273226

Url: https://administrator.de/forum/zugriff-auf-sql-server-in-separiertem-netzsegment-hinter-cisco-asa-273226.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Neomatic
Neomatic 29.05.2015 um 15:59:35 Uhr
Goto Top
Hallo,

schau mal nach, ob im der Port auf dem SQL Server stimmt. Ich bin der Meinung, dass der SQL Express einen anderen Port haben kann.

Gruß
Neomatic
Pjordorf
Pjordorf 29.05.2015 um 16:00:04 Uhr
Goto Top
Hallo,

Zitat von @3750er:
(Security Level 99)
Was isn das für ein Tier?

Die ASA macht auf der IP 10.1.1.100 eine NAT auf die 10.1.2.50
Also NAT zwischen 2 einzelne IPs? Nicht zwischen Netze, keine Subnetzmasken vorhanden, keine Ports genutzt, oder was müssen wir uns vorstellen?

von einem Client im Netz 10.1.1.0/24
Ist dies der gleiche der auch schon RDP macht?

Meine ACL 10.1.1.0/24 => 10.1.2.50
Netz auf einer IP?

bekommt Hits.
Häh?!?

Ich habe auch eine NAT Rule welche die Ports 1433 und 1434 überleitet.
Überleitet?!? Überleitet in was oder wohin oder welche Zeitebene oder welches Universum - oder wovon meinst du hier zu reden?

Gruß,
Peter
3750er
3750er 29.05.2015 um 16:21:31 Uhr
Goto Top
Hallo Neomatic,

der SQL Express (2012) wartet auf der 1433.

Viele Grüße
Neomatic
Neomatic 29.05.2015 um 16:32:58 Uhr
Goto Top
OK.

Ich kenne mich mit der Cisco ASA nicht aus, aber wie Pjordorf schon geschrieben hat:

ACL 10.1.1.0/24 => 10.1.2.50

Ein ganzes Netz auf eine IP routen? Oder sollte die Regel folgendermaßen lauten:

ACL 10.1.1.0/24 => 10.1.2.0/24


Gruß
Neomatic
3750er
3750er 29.05.2015 aktualisiert um 16:41:30 Uhr
Goto Top
Hallo Peter,

Danke für Deine Antwort!

Es handelt sich um eine kleine Cisco ASA die von einem Dienstleister hingestellt wurde. Nun darf ich damit ein bisschen spielen weil sie nicht mehr wirklich in Betrieb ist.

Es wird lediglich eine IP genattet. Gehen wir im Beispiel einfach von /24er Netzmasken auf beiden Seiten aus. Port RDP = TCP 3389.

Netz natürlich nicht auf einer IP. Aber das Subnetz 10.1.1.0/24 ist in der ACL auf die 10.1.2.50/24 (Subnetz = 10.1.250.0/24) freigeschaltet.

Hits = Treffer, damit meine ich den Zähler in der Firewall der aussagt, dass die Regel genutzt wurde.

"Überleitung" war blöd ausgedrückt, es ist eher eine Weiterleitung in der NAT Rule.

Danke & Viele Grüße

P.S.: Ja, der Client der die Verbindung zum SQL aufbauen soll kann variieren, im Beispiel isses der der RDP macht.
3750er
3750er 29.05.2015 aktualisiert um 16:34:58 Uhr
Goto Top
@Neomatic

die beiden Netze sind nicht geoutet, dann wäre es einfacher....

Ich habe nur das NAT dazwischen....
Neomatic
Neomatic 29.05.2015 um 16:39:55 Uhr
Goto Top
Portkonfiguration in der Firewall stimmt auch?
3750er
3750er 29.05.2015 um 16:41:50 Uhr
Goto Top
Firewall zum Test komplett deaktiviert
Neomatic
Neomatic 29.05.2015 um 16:44:59 Uhr
Goto Top
Hmmm.... was sagt das Log?

Aber der Zugriff von einem Rechner aus dem selben Netz wie der SQL Server funktioniert?
Pjordorf
Pjordorf 29.05.2015 um 17:47:08 Uhr
Goto Top
Hallo,

Zitat von @3750er:
die beiden Netze sind nicht geoutet, dann wäre es einfacher....
Warum NATtest du bzw. warum Routest du nicht? Was hindert dich?

Ich habe nur das NAT dazwischen....
Portforwarding einmal von any IP auf Ziel IP 10.1.2.50 TCP 1433 und einmal von any IP auf Ziel IP 10.1.2.50 UDP 1434 (Oder waren die Ports TCP/UDP umgekehrt?)

Gruß,
Peter