Cisco ASA: DMZ -> Intern (Schlupfloch)

[pete.db 10]

Hallo,

ich habe vor kurzem eine Cisco ASA hier übernommen.

Mehrere VPNs, mehrere Serverdienste...funktioniert alles wunderbar.

Nur die Kommunikation von Servern der DMZ ins interne Netz (beim IPCop heißt sowas Schlupflöcher) funktioniert nicht. Was muss ich hierfür tun?

Normalerweise doch: static -> ACL -> ACL auf interface binden -> OK

 

Und schaut euch mal bitte die nat-Statements an. Braucht es die alle? Scheint mir ein bisschen viel, bzw. recht kreuz und quer...

 

Danke euch schon mal

 

...die running-config im Anhang.

 

pete

runcfg.txt

[hegl 10]

Als Erstes soltest Du lernen mit dem Real-Time-Log-Viewer im ASDM zu arbeiten. Die GUI des ASDM ist mittlerweile echt hilfreich :)

 

Die Kommunikation von der DMZ nach intern kann nicht funktionieren, da das static command fehlt! Dies hättest Du mit dem Viewer ganz einfach gesehen ;)

[pete.db 10]

Okay, da gebe ich dir recht.

Ich habe meine zahlreichen Versuche alle wieder aus der config rausgenommen.

 

Mein Eintrag sah so aus:

 

static (intern,dmz) 192.168.212.5 192.168.112.3 netmask 255.255.255.255

access-list TEST permit ip 192.168.212.5 255.255.255.0 192.168.112.3 255.255.255.0

access-group TEST in interface intern

 

Funzt nicht.

 

Zum Log-Viewer:

Das ist das Ding was auf der ersten Seite im ASDM unten angezeigt wird, richtig?

Ich kann schwer einschätzen auf welche Stufe ich das Logging setzen muss damit ich nicht zu wenig und nicht zu viele Infos dort angezeigt bekomme.

 

Hast du hier einen Tipp für mich?

 

Danke

pete

[hegl 10]

Okay, da gebe ich dir recht.

Ich habe meine zahlreichen Versuche alle wieder aus der config rausgenommen.

 

Mein Eintrag sah so aus:

 

static (intern,dmz) 192.168.212.5 192.168.112.3 netmask 255.255.255.255

access-list TEST permit ip 192.168.212.5 255.255.255.0 192.168.112.3 255.255.255.0

access-group TEST in interface intern

 

Funzt nicht.

 

Klar, wenn Du von der DMZ nach intern willst, solltest Du auch die access-group an die DMZ binden! Da Du diese aber schon hast, musst Du Deine ACL entsprechend anpassen!

 

Zum Log-Viewer:

Das ist das Ding was auf der ersten Seite im ASDM unten angezeigt wird, richtig?

Ich kann schwer einschätzen auf welche Stufe ich das Logging setzen muss damit ich nicht zu wenig und nicht zu viele Infos dort angezeigt bekomme.

 

Hast du hier einen Tipp für mich?

 

Danke

pete

 

Im ASDM Monitoring wählen, dann Logging und Real-Time-Log-Viewer. Level am besten Debugging und dann auf View gehen. Hier kannst Du dann wunderbar einen Filter auf die IP setzen.

[pete.db 10]

Danke für die Info mit dem Log-Viewer. Funktioniert gut ;)

 

Ich habe ja schon eine access-list für das dmz-interface in der config.

access-list DMZ permit ip any any (ich weiß nicht, wofür ich das brauche)

access-group DMZ in interface dmz

 

Auch wenn ich noch eine auf out interface dmz binde bekomme ich im Log-Viewer angezeigt:

no translation group found for icmp src dmz:192.168.212.5 dst intern: 192.168.112.3

[hegl 10]

schau mal was ich hier schon zum Besten gegeben habe...

 

http://www.mcseboard.de/cisco-forum-allgemein-38/asa5505-portforwarding-rdp-funktioniert-131793.html

[pete.db 10]

Okay.

aber wo brauche ich die access-list denn jetzt am dmz interface?

in oder out? Müsste doch eigentlich out sein, da ich ja von der dmz raus nach intern will.

 

Habe jetzt (nur zu Testzwecken..IT-Sicherheit ist anders, ich weiß) folgendes eingegeben:

 

access-list dmz permit ip any any

access-group dmz out interface dmz

 

jetzt bekomme ich angezeigt: deny inbound icmp src: dmz-pc dst: intern-pc

oder wenn ich auf ein netzlaufwerk will: inbound tcp connection denied from dmz-pc to intern-pc on interface dmz

[hegl 10]

Okay.

aber wo brauche ich die access-list denn jetzt am dmz interface?

in oder out? Müsste doch eigentlich out sein, da ich ja von der dmz raus nach intern will.

 

Schau es Dir bildlich im ASDM an, indem Du Dir die Access Rule (unter Configuration\Firewall) anzeigen lässt. Hier bekommst Du im unteren Bereich (Voraussetzung ist, dass der Button Diagramm angeclickt ist) eine schöne bildliche Darstellung. In heisst, der traffic von einem Netz in sein interface rein und out aus seinem interface raus und damit ins angeschlossene Netz.

 

Also, entweder

 

access-group xyz in interface dmz oder

access-group xyz out interface intern

 

OK?

[pete.db 10]

Hmm...also demnach hätte es mit meiner Config im Anhang plus der dazugehörigen static doch funktionieren müssen.

 

da steht ja drin :

access-list DMZ permit ip any any

access-group DMZ in interface dmz

 

dazu dann die static:

static (intern,dmz) dmz-pc intern-pc netmask 255.255.255.255

 

Aber so funktioniert es nicht. dann bekomme ich "no translation group found for ..." angezeigt. Laut Doku lässt das auf einen Fehler in der nat-Konfiguration schließen.

 

PS: Danke dir übrigens für deine Geduld.

[pete.db 10]

Hab den Fehler gefunden.

Ich musste bei der ACL für nat 0 (heißt bei mir cryptoacl) die Kommunikation zwischen internem Netz und der DMZ hinzufügen.

Eigentlich hatte ich diese ACL bislang nur für die Site-to-Site VPNs in Arbeit.

Aber so funktioniet es. Jetzt muss ich die ACLs nur noch ein wenig einschränken.

 

Jedenfalls noch mal vielen Dank für die Tipps und die Erklärungen. :)

 

pete

[hegl 10]

schau mal hier: PIX/ASA 7.x: Enable/Disable Communication Between Interfaces - Cisco Systems