Jump to content

Problem mit ASA 5520 - Access-Liste um nur IPsec Tunnel zu erlauben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein Problem bzw. komme bei den Vorbereitungen zu meiner CCSP Cisco Zertifizierung nicht weiter.

 

Kurz zu dem Szenario:

Ich habe auf der einen Seite einen Cisco 2821 und auf der anderen Seite eine ASA 5520. Zwischen den beiden Geräten ist ein 2621er, der quasi das unsichere Internet darstellt.

Der 2821 und die ASA sind mit jeweils einem Ethenet Interface an den 2621er verbunden.

Die Kommunikation von 2821 zu ASA läuft über einen IPsec Tunnel. Die Konfiguration dafür ist auf beiden Seiten eingetragen und der Aufbau des Tunnels, sowie die Datenübertragung funktioniert ohne Probleme.

 

So, nun habe ich auf dem 2821er eine Access-Liste erstellt, die auf dem Interface nach draußen (zum Internet Router 2621) sämtlichen Verkehr - bis eben auf den IPsec Tunnel und Echo-Replys - verbieten soll.

Das hat auch auf den 2821er ohne weiteres geklappt (IPsec Tunnel kann aufgebaut werden und die Hosts hinter 2821 und ASA können sich pingen), nur sobald ich auf der ASA selbiges konfigurieren möchte klappt das nicht.

 

Im Detail sieht entsprechende Konfig des 2821 so aus:

 

.

.

.

interface GigabitEthernet0/0

description to 2621_Internet_Router

ip address 10.0.10.250 255.255.255.0

ip access-group Interface_Security in

duplex auto

speed auto

crypto map IPsec_Tunnel_map

.

.

.

ip access-list extended Interface_Security

permit udp host 192.168.100.250 host 10.0.10.250 eq isakmp

permit esp host 192.168.100.250 host 10.0.10.250

permit icmp any any echo-reply

deny icmp any any log

deny ip any any log

.

.

.

 

Die der ASA (Outside Interface zum 2621_Internet_Router):

 

 

.

.

.

access-list to_2621_Internet extended permit esp host 10.0.10.250 host 192.168.100.250

access-list to_2621_Internet extended permit udp host 10.0.10.250 host 192.168.100.250 eq isakmp

access-list to_2621_Internet extended deny ip any any

.

.

.

access-group to_2621_Internet in Interface Outside

.

.

.

 

Mit oben genannten Einstellungen der ASA, die quasi das Gegenteil der Config des 2821er darstellen baut sich kein Tunnel auf.

Wenn ich jedoch > access-list Internal_ACL extended permit ip any any < oder die Access-Liste auf dem Outside Interface ganz entferne geht alles.

 

Es muss doch einen Weg geben, wie ich das Outside Interface der ASA dicht mache, so dass nur der IPsec Tunnel durchgelassen wird.

Auf dem 2821 geht das ja auch...

 

Was übersehe ich bei der ASA?

Ich hoffe jemand kann mir helfen, ich weiß momentan echt nicht woran das liegen könnte...

 

Danke schonmal vorab

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...