Asa5505

[MYOEY 10]

Hallo,

Ich hab hier ein kleines Problem mit einer ASA5505! die ASA ist für PPPOE konfiguriert und bekommt IP Adresse (x.x.x.x) zugewiesen, es funkioniert alles funderbar bis auf folgendes:

 

Ein Notebook ist auf der ASA eingesteckt und bekommt auch einen IP Adresse(192.168.1.2) per DHCP zugewiesen, der kann aber nicht ins Internet anpingen!

Sobal ich von dem Notebook einen ping auf z. B. 141.1.1.1 aufsetzte, sehe ich folgende Meldung im Logg:

%ASA-7-609001: Built local-host outside:141.1.1.1

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session

%ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02

 

 

Obwohl ich von der ASA die Adresse und jede andere Adresse anpingen kann!

 

 

Hab ich da was übersehen oder fehlt noch eine Zeile??

 

Danke für jede Hilfe bzw. Tipp!

 

PS:Config als Anhang!

 

Groß

 

MYOEY

DSL-ASA5505.txt

[MYOEY 10]

wird da was geblockt und ich habs übersehen??

[thematrix 10]

Hi,

 

Du musst mit dem Befehl:

 

icmp permit/deny <ip-addresse/netz> <netmask> <ifname>

 

icmp explizit erlauben.

 

Bsp.:

 

icmp permit 192.168.0.0 255.255.255.0 inside

 

mit: clear icmp

kannste konfig löschen.

 

 

Gruss, thematrix

[MYOEY 10]

Danke für deine Antwort.

 

Ich habe folgende commands nun drin:

 

icmp permit any outside

icmp permit 192.168.1.0 255.255.255.0 inside

 

Trotzdem hats nichts gebracht, weiterhin keine Anwort und die selbe Fehlmeldung im logg:

 

%ASA-7-609001: Built local-host outside:141.1.1.1

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session

%ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02

 

Hat jemand noch eine Idee??

 

 

Gruß

 

MYOEY

[thematrix 10]

so hab ich es gemacht:

 

 

icmp permit 0.0.0.0 0.0.0.0 outside

[mturba 10]

"icmp permit" bezieht sich nur auf den ICMP-Traffic der ASA-Interfaces selbst, nicht aber auf den Verkehr, der durch die ASA durchgeht.

 

Du solltest also noch ICMP-Inspection anschalten:

 

policy-map global_policy
class inspection_default
   inspect icmp

[thematrix 10]

"icmp permit" bezieht sich nur auf den ICMP-Traffic der ASA-Interfaces selbst, nicht aber auf den Verkehr, der durch die ASA durchgeht.

 

Du solltest also noch ICMP-Inspection anschalten:

 

policy-map global_policy
class inspection_default
   inspect icmp

 

 

Soviel ich verstanden habe, will er die ASA anpingbar haben ....

[hegl 10]

Soviel ich verstanden habe, will er die ASA anpingbar haben ....

 

Nein, er schreibt doch oben, dass er vom Notebook aus pingt!

 

CISCO sagt zu dem Fehler:

 

313004

Error Message: %PIX|ASA-4-313004: Denied ICMP type=icmp_type, from source_address oninterface interface_name to dest_address:no matching session Explanation

ICMP packets were dropped by the security appliance because of security checks added by the stateful ICMP feature that are usually either ICMP echo replies without a valid echo request already passed across the security appliance or ICMP error messages not related to any TCP, UDP, or ICMP session already established in the security appliance.

 

Recommended Action: None required.

 

Also würde ich in Deinem Fall auch auf das ICMP-Inspection setzen!

[mturba 10]

Wobei er zusätzlich noch

permit icmp any any unreachable 
permit icmp any any time-exceeded 

in seine Outside-Accessliste aufnehmen sollte, damit auch ein Traceroute durch die PIX funktioniert. Im Gg.satz zu der IOS-Firewall oder dem FWSM kann die ICMP-Inspection der ASA nur mit ICMP-Echos umgehen.

[MYOEY 10]

Danke für die Antworten!

jep, mit "policy-map" wie mturba beschrieben hat, geht der ping durch.

 

Aber ich habe nun ein anderes Problem:

Der PC hinter der ASA soll über RDP (Port 3389) und http(port 80) erreichbar sein.

Folgende Port-forwarding bzw. Freischaltung hab ja eingerichet:

 

static (inside,outside) tcp x.x.x.x 25080 192.168.1.2 80 netmask 255.255.255.255

static (inside,outside) tcp x.x.x.x 33389 192.168.1.2 3389 netmask 255.255.255.255

 

 

access-list outside extended permit tcp any host x.x.x.x eq 33389

access-list outside extended permit tcp any host x.x.x.x eq 25080

 

Aber leider sobald ich mir über RDP oder http mit dem PC verbinden möchte, geht nicht und sehe ich folgende Fehlmeldung auf der ASA:

 

%ASA-7-710005: TCP request discarded from y.y.y.y/9795 to outside:x.x.x.x/33389

%ASA-7-710005: TCP request discarded from y.y.y.y/9847 to outside:x.x.x.x/25080

 

 

Kann jemand da vielleicht helfen?

Muß ich ja was noch freischalten oder was?

Hängt es wieder mit der "policy-map" irgendiwe zusammen?

 

 

Danke im voruas

 

Gruß

 

MYOEY

[MYOEY 10]

wieso lehnt eigentlich die ASA die Verbindungen ab??

ne Idee vielleicht??

[hegl 10]

wieso lehnt eigentlich die ASA die Verbindungen ab??

ne Idee vielleicht??

 

Eine Idee habe ich auch nicht. Der Fehler tritt laut CISCO dann auf, wenn für das Paket keine Beziehung auf der ASA besteht.

 

Wie sieht denn mittlerweile deine conf aus? Oben hast du eine access-group outside-access, die für deine einkommenden Verbindungen zuständig ist. In deinem letzten Beispiel hast du eine access-group outside. Wie ist die gebunden?

[MYOEY 10]

die access-list sehen momentan folgendermassen aus:

 

access-list outside_access_in extended permit icmp any any

access-list outside_access_in extended permit tcp any host x.x.x.x eq ssh

access-list outside_access_in extended permit tcp any host x.x.x.x eq 30080

access-list outside_access_in extended permit tcp any host x.x.x.x eq 33389

 

access-list inside_access_in extended permit ip any any

 

 

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

 

Der Traffic wird durch keine access-list geblockt sonst hätte man ja entsprechenden Hinweis im logg sehen können.

 

z. B. :

Deny udp src inside:10.10.1.23/1026 dst outside1:141.1.1.1/53 by access-group "inside"

 

 

Die ASA lehnt einfach die Verbindungen aus mir bis jetzt unbekanntem Grund ab, obwohl ich per SSH ohne Problem drauf komme!!!

[mturba 10]

Welche Adressen verwendest Du denn als Destination-Adressen in deiner Access-Liste outside_access_in? Die Adresse deines Dialer-Interfaces oder die internen Adressen? Zu dem Zeitpunkt, zu dem diese Access-Liste ausgewertet wird, ist nämlich noch kein NAT passiert...

[MYOEY 10]

Als destination-adresse verwende ich die feste-IP Adresse des DSL-Anschlußes, da es DSL mit fest-IP Adresse! und ich versuche die Verbindung per RDP oder http erst aufzubauen, nachdem die outside interface die feste-IP (x.x.x.x) zugewiesen wurde und ansprechbar ist!

 

Ich hab auch mit einer feste-IP Adresse versucht also ohne DSL aber leider auch ohne Erfolg!! die gleiche Fehlmeldung!!!!