Webwalker 10 Geschrieben 10. August 2007 Melden Teilen Geschrieben 10. August 2007 Hallo zusammen, ich habe ein Problem bzw. komme bei den Vorbereitungen zu meiner CCSP Cisco Zertifizierung nicht weiter. Kurz zu dem Szenario: Ich habe auf der einen Seite einen Cisco 2821 und auf der anderen Seite eine ASA 5520. Zwischen den beiden Geräten ist ein 2621er, der quasi das unsichere Internet darstellt. Der 2821 und die ASA sind mit jeweils einem Ethenet Interface an den 2621er verbunden. Die Kommunikation von 2821 zu ASA läuft über einen IPsec Tunnel. Die Konfiguration dafür ist auf beiden Seiten eingetragen und der Aufbau des Tunnels, sowie die Datenübertragung funktioniert ohne Probleme. So, nun habe ich auf dem 2821er eine Access-Liste erstellt, die auf dem Interface nach draußen (zum Internet Router 2621) sämtlichen Verkehr - bis eben auf den IPsec Tunnel und Echo-Replys - verbieten soll. Das hat auch auf den 2821er ohne weiteres geklappt (IPsec Tunnel kann aufgebaut werden und die Hosts hinter 2821 und ASA können sich pingen), nur sobald ich auf der ASA selbiges konfigurieren möchte klappt das nicht. Im Detail sieht entsprechende Konfig des 2821 so aus: . . . interface GigabitEthernet0/0 description to 2621_Internet_Router ip address 10.0.10.250 255.255.255.0 ip access-group Interface_Security in duplex auto speed auto crypto map IPsec_Tunnel_map . . . ip access-list extended Interface_Security permit udp host 192.168.100.250 host 10.0.10.250 eq isakmp permit esp host 192.168.100.250 host 10.0.10.250 permit icmp any any echo-reply deny icmp any any log deny ip any any log . . . Die der ASA (Outside Interface zum 2621_Internet_Router): . . . access-list to_2621_Internet extended permit esp host 10.0.10.250 host 192.168.100.250 access-list to_2621_Internet extended permit udp host 10.0.10.250 host 192.168.100.250 eq isakmp access-list to_2621_Internet extended deny ip any any . . . access-group to_2621_Internet in Interface Outside . . . Mit oben genannten Einstellungen der ASA, die quasi das Gegenteil der Config des 2821er darstellen baut sich kein Tunnel auf. Wenn ich jedoch > access-list Internal_ACL extended permit ip any any < oder die Access-Liste auf dem Outside Interface ganz entferne geht alles. Es muss doch einen Weg geben, wie ich das Outside Interface der ASA dicht mache, so dass nur der IPsec Tunnel durchgelassen wird. Auf dem 2821 geht das ja auch... Was übersehe ich bei der ASA? Ich hoffe jemand kann mir helfen, ich weiß momentan echt nicht woran das liegen könnte... Danke schonmal vorab Zitieren Link zu diesem Kommentar
thematrix 10 Geschrieben 11. August 2007 Melden Teilen Geschrieben 11. August 2007 Hallo, versuch mal mit diesem Befehlauf der ASA: sysopt connection permit-ipsec Gruss, thematrix Zitieren Link zu diesem Kommentar
Webwalker 10 Geschrieben 11. August 2007 Autor Melden Teilen Geschrieben 11. August 2007 Dieser Befehl sagt ja lediglich, das IPsec Traffic (VPN Traffic) ohne Prüfung an den Access-Lists vorbeigeschleust wird. Eigentlich möchte ich ja genau das Gegenteil. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.