Andyc1982

ja genau es geht um den ausgehenden Traffic. Ok das versuche ich mal, und wie kann ich den Traffic begrenzen? Also gewissen Netzen nur 1-2Mbit/s zur Verfügung stellen?

Hallo, ich habe mal wieder ein kleines Problem. Ich habe 10 öffentliche IP-Adressen und möchte diese einzeln verschiedenen internen Netzen zuweisen. Geht das irgendwie? Also ich möchte zum Beispiel Subnetz A die Öffentliche IP a+b+c zuweisen, Subnetz B bekommt d+e+f usw. Vielleicht hat sowas ja schonmal jemand von euch gemacht. Danke schonmal im vorraus Edit: zusätzlich möchte ich auch gerne den Traffic begrenzen können, also bspw Subnetz A bekommt max 1 mbit/s, Subnetz B 3 mbit/s usw

Wir sind 3 Admins, und die anderen beiden haben da deutlich mehr Erfahrung wie ich, sind nur diese Woche leider nicht da. Aber warum soll man sich nicht mal an etwas rantrauen wenn man keine Ahnung hat? Dann lernt man es ja nie

Das auf jedenfall, ist ja erstmal nur die Grundconfig. Und man weiß ja nie wer hier so schindluder treiben will:rolleyes:

Ok, jetzt hab ichs. Nun bin ich da wo ich hin wollte. Vielen Dank für die Hilfe.

Ok, also ich komme jetzt auch per Telnet drauf. Aber leider weiß ich das Passwort nicht. Muss man extra eins für Telnet erstellen? Wie geht das?

Hab gerade einfach mal das gemacht was ich mich seid Tagen nicht getraut habe ;-) Ich habe die Route geändert wie du oben beschrieben hast. Damit hab ich mich quasi auf dem Manegement port ausgesperrt, aber kommt jetzt über den internen drauf. Also genau das was ich wollte. Kann ich die unteren zeilen die du geschrieben hast einfach im CLI ausführen um auch per Telnet drauf zu kommen?

Sorry wie im eingang bereits erwähnt, ich bin nicht so fit mit sowas. Was bedeutet das für mich? Wie muss ich das routen?

Also mit meinem Rechner 10.103.28.98 komme ich drauf, aber nur auf den Managementport. Auf das intern_asa leider nicht. Oder liegt der Fehler schon im Routing, dass ich gar nicht bis hin komme? Aber pingen kann ich das Interface

Kann vielleicht jemand mal über die Config gucken ob da was fehlt wegen Telnet zugriff? Würde ja auch gerne per ASDM über den internen Port drauf kommen. Komme da aber irgendwie nicht weiter

was meinst du jetzt? Muss ich da jetzt was ändern irgendwo?

snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map extern_asa_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map extern_asa_map interface extern_asa crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 management-access management threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn enable extern_asa username admin password f3UhLvUj1QsXsuK7 encrypted privilege 15 username admin1 password LkxkEEBDwYHUUSj9 encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:7b55d8e36584157ded48581fb40511e7 : end Das ist die Config. Muss sagen ich hab eigentlich noch nicht viel dran gemacht, aber hab das Gefühl dass durchs rumprobieren viel Müll rein gekommen ist.

icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (extern_asa) 101 interface nat (intern_asa) 101 0.0.0.0 0.0.0.0 route extern_asa 0.0.0.0 0.0.0.0 193.158.253.193 1 route intern_asa 10.100.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.101.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.102.0.0 255.255.0.0 10.110.0.250 1 route management 10.103.0.0 255.255.0.0 10.120.0.250 1 route intern_asa 10.104.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.105.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.106.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.107.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.111.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.112.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.113.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.114.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.121.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.122.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.123.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.124.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.125.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.126.0.0 255.255.0.0 10.110.0.250 1 route intern_asa 10.199.0.0 255.255.0.0 10.110.0.250 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 10.103.28.23 255.255.255.255 management http 10.103.28.98 255.255.255.255 management http 10.120.0.0 255.255.0.0 management http 10.103.28.98 255.255.255.255 intern_asa http 10.110.100.0 255.255.255.0 intern_asa no snmp-server location no snmp-server contact

ASA Version 8.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 nameif extern_asa security-level 0 ip address 193.152.228.198 255.255.255.224 ! interface Ethernet0/1 nameif intern_asa security-level 100 ip address 10.110.100.3 255.255.0.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 10.120.100.3 255.255.0.0 management-only ! ftp mode passive pager lines 24 logging asdm informational mtu extern_asa 1500 mtu intern_asa 1500 mtu management 1500 no failover

Genau das versuche ich, aber.. Mit Putty versuche ich mich per Telnet oder SSH draufzuschalten und bekomme immer nur ein schwarzes Bild. Normal müßte da doch dann der Name der ASA Stehen (ciscoasa>) oder so ähnlich, wo ich dann mit enable mich einloggen kann. Aber es steht einfach nichts. Muss ich auf der ASA noch irgendwas freischalten?