7
Zywall Blockt Traffic von ASA Firewall
Hallo Zusammen,
wir sind aktuell dabei auf eine Cisco ASA 5516 umzusteigen.
Unsere alte Firewall die ZyWALL USG 200 wird als Gateway in ein anderes Netz eingesetzt.
Unsere Topologie sieht wie folgt aus:
Internet --- ASA -192.168.1.0/24 - Client
| (Ich hab leider nicht die richtige Formatierung gefunden aber die Zywall hängt im 192.168.1.0/24 Netz.)
\
- Zywall -- 10.10.194.0/24 Netz
1. Nun ist es für mich nicht möglich eine RDP Verbindung von meinem Client in das 10.10.194.0/24 Netz aufzubauen wenn ich die ASA als Standard Gateway im Client eintrage.
Dabei ist in der ASA eine Statische Route eingetragen welche den Traffic für das Netz 10.10.194.0/24 zu der IP 192.168.1.1 (Die aktuelle IP der Zywall) sendet.
Die ASA hat intern die IP 192.168.1.3
Bei der ASA Firewall habe ich "same-security-traffic permit intra-interface" aktiv.
2. Wenn ich aber im Client die Zywall als Standard Gateway einrichte, dann habe ich zugriff auf das 10.10.194.0/24 Netz.
3. Wenn ich die ASA wieder als Standard Gateway einrichte und dann versuche in das 10.10.194.0/24 Netz zu pingen, dann klappt dies auch.
Zu Punkt 1: Die Zywall Firewall zeigt mir im Log an das der Traffic in das 10.10.194.0/24 Netz zugelassen ist. Wenn ich auf dem LAN Interface (192.168.1.1) mitschneide dann kann ich meine Packete sehen wenn ich aber auf der "Sicheren" Schnittstelle (10.10.194.1) mitschneide dann sehe ich dort kein Packet ankommen.
Kann mir jemand weiterhelfen oder sagen wie ich das Problem weiter eingrenzen kann?
Ich gehe aktuell davon aus, dass die ASA für diese Konstellation richtig konfiguriert ist und die Zywall hier die Probleme verursacht.
Das die IP Adressen vertauscht sind ist noch der aktuelle Stand wird aber später geändert sofern alles Funktioniert.
Gruß Michael.
wir sind aktuell dabei auf eine Cisco ASA 5516 umzusteigen.
Unsere alte Firewall die ZyWALL USG 200 wird als Gateway in ein anderes Netz eingesetzt.
Unsere Topologie sieht wie folgt aus:
Internet --- ASA -192.168.1.0/24 - Client
| (Ich hab leider nicht die richtige Formatierung gefunden aber die Zywall hängt im 192.168.1.0/24 Netz.)
\
- Zywall -- 10.10.194.0/24 Netz
1. Nun ist es für mich nicht möglich eine RDP Verbindung von meinem Client in das 10.10.194.0/24 Netz aufzubauen wenn ich die ASA als Standard Gateway im Client eintrage.
Dabei ist in der ASA eine Statische Route eingetragen welche den Traffic für das Netz 10.10.194.0/24 zu der IP 192.168.1.1 (Die aktuelle IP der Zywall) sendet.
Die ASA hat intern die IP 192.168.1.3
Bei der ASA Firewall habe ich "same-security-traffic permit intra-interface" aktiv.
2. Wenn ich aber im Client die Zywall als Standard Gateway einrichte, dann habe ich zugriff auf das 10.10.194.0/24 Netz.
3. Wenn ich die ASA wieder als Standard Gateway einrichte und dann versuche in das 10.10.194.0/24 Netz zu pingen, dann klappt dies auch.
Zu Punkt 1: Die Zywall Firewall zeigt mir im Log an das der Traffic in das 10.10.194.0/24 Netz zugelassen ist. Wenn ich auf dem LAN Interface (192.168.1.1) mitschneide dann kann ich meine Packete sehen wenn ich aber auf der "Sicheren" Schnittstelle (10.10.194.1) mitschneide dann sehe ich dort kein Packet ankommen.
Kann mir jemand weiterhelfen oder sagen wie ich das Problem weiter eingrenzen kann?
Ich gehe aktuell davon aus, dass die ASA für diese Konstellation richtig konfiguriert ist und die Zywall hier die Probleme verursacht.
Das die IP Adressen vertauscht sind ist noch der aktuelle Stand wird aber später geändert sofern alles Funktioniert.
Gruß Michael.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 348459
Url: https://administrator.de/contentid/348459
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
7 Kommentare
Neuester Kommentar
Hi
Welche IP hat dein Client ? Wenn der eine 192.168.1er IP hat dann hast du asymmetrisches routing. Die Pakete die retour kommen gehen direkt vom Zyxel zum Client an der ASA vorbei. Da diese statefull ist blockt sie dann fas ACK Paket.
Wenn dem so ist gibt es 2 Varianten:
1.) transfernetz zwischen zyxel und ada
2.) statefull bypass auf der asa für die netze
Welche IP hat dein Client ? Wenn der eine 192.168.1er IP hat dann hast du asymmetrisches routing. Die Pakete die retour kommen gehen direkt vom Zyxel zum Client an der ASA vorbei. Da diese statefull ist blockt sie dann fas ACK Paket.
Wenn dem so ist gibt es 2 Varianten:
1.) transfernetz zwischen zyxel und ada
2.) statefull bypass auf der asa für die netze
1
Es gäbe noch eine 3te Option.
Lasse an der ASA und am Client ICMP Redirect zu.
Dann sendet die ASA einen redirect an den Client und der spricht die Zyxel dann direkt an und vermeidet so auch die Asymetrie.
Lasse an der ASA und am Client ICMP Redirect zu.
Dann sendet die ASA einen redirect an den Client und der spricht die Zyxel dann direkt an und vermeidet so auch die Asymetrie.
1
Grüß dich,
Ja das ist richtig, der Client hat die IP 192.168.1.175.
Sowas ähnliches habe ich gedacht.
Am liebsten wäre es mir kein Transfernetz zu verwenden.
Ich lese mich mal in das Thema Asymmetrisches Routing ein. Dies bedeutet doch, dass der Client ein Packet an die ASA schickt und von der Zyxel eine Antwort erhält richtig? Ich hätte nun gedacht das die Zyxel dabei Blockt, weil diese ja die Antwort senden muss/soll.
Gruß Michael
Ja das ist richtig, der Client hat die IP 192.168.1.175.
Sowas ähnliches habe ich gedacht.
Am liebsten wäre es mir kein Transfernetz zu verwenden.
Ich lese mich mal in das Thema Asymmetrisches Routing ein. Dies bedeutet doch, dass der Client ein Packet an die ASA schickt und von der Zyxel eine Antwort erhält richtig? Ich hätte nun gedacht das die Zyxel dabei Blockt, weil diese ja die Antwort senden muss/soll.
Gruß Michael
Dies bedeutet doch, dass der Client ein Packet an die ASA schickt und von der Zyxel eine Antwort erhält richtig ?
Fast....- Packet geht zur ASA
- ASA checkt das Regelwerk. Regel fürs 10er existiert = geht weiter. Existiert nicht = Paket wird verworfen
- Weiter: Wenn kein ICMP redirect dort aktiviert ist sieht die ASA in ihrer Routing Tabelle nach findet das 10er Netz mit next Hop .1.1
- Nach dem Regelwerk forwardet sie das Paket an die .1.1
- Dort wieder Regelcheck darf das Paket oder darf nicht
- Wenn es darf wird es an den Client im 10er geforwardet
- Der Rücktraffic vom Client kommt zur Zyxel, die checkt wieder das Regelwerk am 10er Interface
- Wenn Paket passieren darf ARPt sie direkt nach dem Client im .1.0er Netz und schickt das Paket direkt. Daher die Asymetrie. Bei stateful Protokollen gibts dann ein Problem in der FW.
Das hab ich auch festgestellt, leider war mir nicht klar das dies bei Stateful Protokollen zu einem Problem führt, die Überlegung war "Ein Packet im Internet kann verschiedene Wege nehmen wieso meins nicht auch"
Dies bedeutet das der nächste Hop wichtig ist? Bzw. mein Netzwerkstack vergleicht, ich habe an ASA rausgeschickt bekomme aber von Zyxel eine Antwort so ergibt sich ein Fehler?
Leider kann die Cisco ASA nach meinen Recherchen kein ICMP Redirect. Auch same-security-traffic permit inter-interface aktiviert es leider nicht.
Wenigsten sehe ich an meinem Client in Wireshark keine Packete ankommen und auch die Verbindung ins 10er Netz kommt nicht zu Stande
Ich versuche mich jetzt mal am Statefull Bypass
Danke euch schon mal
Gruß Michael
Dies bedeutet das der nächste Hop wichtig ist? Bzw. mein Netzwerkstack vergleicht, ich habe an ASA rausgeschickt bekomme aber von Zyxel eine Antwort so ergibt sich ein Fehler?
Leider kann die Cisco ASA nach meinen Recherchen kein ICMP Redirect. Auch same-security-traffic permit inter-interface aktiviert es leider nicht.
Wenigsten sehe ich an meinem Client in Wireshark keine Packete ankommen und auch die Verbindung ins 10er Netz kommt nicht zu Stande
Ich versuche mich jetzt mal am Statefull Bypass
Danke euch schon mal
Gruß Michael
Also ich hab das Problem gelöst und wie folgt gemacht:
Ich hab nun Statefull Bypass eingerichtet, dies hab ich mithilfe der Cisco Anleitung gemacht. Ich hoffe das Verlinkungen in Ordnung sind.
Euch beiden nochmal vielen Danke.
Ich hab nun Statefull Bypass eingerichtet, dies hab ich mithilfe der Cisco Anleitung gemacht. Ich hoffe das Verlinkungen in Ordnung sind.
Euch beiden nochmal vielen Danke.
Ein Packet im Internet kann verschiedene Wege nehmen wieso meins nicht auch
Dem ist auch generell so. Sind allerdings stateful Firewalls im Spiel (die es im Internet in der Regel nicht gibt !) sieht die Sache natürlich anders aus.ich habe an ASA rausgeschickt bekomme aber von Zyxel eine Antwort so ergibt sich ein Fehler?
Einfach gesprochen könnte man das so sagen. Es resultiert aber aus einer Fehlkonfiguration der Firewalls.Leider kann die Cisco ASA nach meinen Recherchen kein ICMP Redirect.
Da hast du wie so oft falsch recherchiert. "ip icmp redirect" heisst das Kommando und man muss natürlich auch noch ICMP Type 5 (https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol) erlauben im Regelwerk.Deine Lösung ist aber ok so.
Ich hoffe das Verlinkungen in Ordnung sind.
Kannst du immer selber testen indem du den Link selber testest und mal anklickst 
