Jump to content

ASA5510 Routing

diavolo86

Von diavolo86
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

diavolo86 Contributor

diavolo86   10

Geschrieben
Geschrieben

Hi,

 

wir haben eine ASA5510, und wollen ein Routing durchführen.

Und zwar hat die ASA z.B. die 100.100.100.1 (ext) und 200.200.200.1 (int) wenn aber etwas extern auf die 100.100.100.3 kommt, soll alles was HTTPS verkehr ist auf die 200.200.200.10 weitergeleitet werden.

 

Ist dieses so machbar, oder muss ich die route in unserem Router konfigurieren und das Routing dafür in der ASA freigeben?

 

Danke

 

Lg Tobi

Link zu diesem Kommentar
diavolo86 Contributor

diavolo86   10

Geschrieben
  • Autor
Geschrieben

Das hatte ich schon einmal getestet, doch leider hat dieses nicht funktioniert.

Ich denke das es daran liegt, das die ASA nur die 100.100.100.1 auf dem Ext. Interface besitzt und somit den restlichen Traffic nicht an nimmt.

Ich habe gestern mir nochmals mein ASDM Handbuch angeschaut und dabei ist mir aufgefallen, das man ein "Subinterface" anlegen kann. Damit sollte dieses dann möglich sein oder?

 

Ich werde dieses auf jedenfall einmal austesten am WE.

Danke! :)

Link zu diesem Kommentar
mr._oiso Rising Star

mr._oiso   10

Geschrieben
Geschrieben

hi diavolo86,

 

genau, ja das meine ich.

Ein Beispiel wie ich es im Feld laufen habe:

 

 

interface Ethernet0/0

description External

nameif outside

security-level 0

ip address A.B.C.91 255.255.255.248

global (outside) 1 interface

nat (inside) 0 access-list nonat

nat (inside) 1 172.16.0.0 255.255.0.0

nat (dmz) 0 access-list nonat

nat (dmz) 1 10.0.0.0 255.255.255.0

static (dmz,outside) tcp interface smtp 10.0.0.4 smtp netmask 255.255.255.255

static (dmz,outside) tcp A.B.C.92 www 10.0.0.6 www netmask 255.255.255.255

static (dmz,outside) tcp interface pop3 10.0.0.4 pop3 netmask 255.255.255.255

static (inside,dmz) 10.0.0.102 172.16.1.4 netmask 255.255.255.255

static (inside,dmz) 10.0.0.103 172.16.1.29 netmask 255.255.255.255

 

 

Allerdings hast Du mich jetzt wahrscheinlich auf dem falschen Fuss erwischt :D

 

Ich fahre hier eine ASA5510 mit Version 7.2.2 und ohne Vlan Lizenz.

Jedoch bin ich der Meinung, das die Vlan's hier keine Rolle spielen, da sie

letztlich auch nameif outside konfiguriert sind.

 

Natürlich solltest Du darauf achten, dass Du die allg. NAT Rule im Griff hast und eine "outside_access_in in interface outside" hast, welche den syn https durchlässt.

Ohne den HTTPS von aussen frei zu machen, kann die static PAT (NAT) rule nicht funktionieren.

Ich werde es auf jeden Fall zum Wochenende mal selber im Release 8.0.3 testen, da ich dort auch nen https Citrix WebAccess benötige.

 

Ansonsten ist aus diesem Dokument viel rauszuholen !

Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Configuring NAT  [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

 

Greez

 

Mr. Oiso

Link zu diesem Kommentar
diavolo86 Contributor

diavolo86   10

Geschrieben
  • Autor
Geschrieben

Ich hab das hier nur im ausgedruckten format. Ist aber der ASDM Userguide Version 5.2(1).

 

Mit dem Global outside was meinst du damit? wir konfigurieren die ASA derzeit nut über das ASDM konfig hab ich zwar mal gelernt ist aber auch schon wieder 3 Jahre her und leider nur standart routing mehr nicht. :)

Heist das ich kann einem Interface einen Pool von IP's zuweisen von 1-3??

 

THX :)

LG Tobias

Link zu diesem Kommentar
mr._oiso Rising Star

mr._oiso   10

Geschrieben
Geschrieben

hi diavolo86,

 

hier die Antwort zu letzten Frage: ja !

 

Was meine ich mit global !

 

NAT: Local and Global Definitions  [iP Addressing Services] - Cisco Systems

 

Du legitimierst quasi die ASA damit auf Adress-Räume zu reagieren.

Mit dem Befehl "global (outside) 1 interface"

Bezieht sie sich also genau auf dass, was am Interface konfiguriert wurde.

z.B. einen Adress-Raum 100.100.100.1/24

Diesen Eintrag verwendet sie für ihre Nat-Rules.

Ist der Eintrag z.B. nur 100.100.100.1/32 am Interface, dann

wäre "global (outside) 1 interface" das selbe wie global (outside) 1 100.100.100.1

 

Mit dem Befehl 100.100.100.1-100.100.100.3 beschränkst Du nur den Adr.-Raum für die Adressen die sie dazu verwenden soll.

 

Bei der ASDM müsste ich also erst nachschauen wo Du das einstellen kannst ! :confused:

 

Deshalb wage doch mal den Schritt: telnet 200.200.200.1

und zeige uns hier den Output von "show run"

 

Tip: Nimm bitte sämtliche Passwörter raus, und vergiss dabei DNS-namen nicht, wenn es sich um eine Finale Konfiguration handelt.

 

Somit können wir auch gelich die ACL's mal einsehen !

Die sind nämlich immer gerne "Big-Problems"

 

Greez

 

Mr. Oiso

Link zu diesem Kommentar
diavolo86 Contributor

diavolo86   10

Geschrieben
  • Autor
Geschrieben

Hi Mr._OISO

 

danke schonmal für deine ganze Hilfe

Haben heute einiges probiert sind aber leider nicht zum erwünschten Ziel gekommen. Nach einigem hin und her haben wir in der ASA den Punkt gefunden um die Global konfiguration durchzuführen.

 

somit haben wir zumindest erreicht das die ASA alle unsere IP's blockt :D und antwortet :)

 

Nach vielen versuchen mit der ACL und vielen NAT Rules, haben wir uns dazu entschlossen, dir unsere Running-Config zu posten.

Ich hoffe du kannst uns dabei weiterhelfen, denn wir wissen wirklich nicht mehr weiter.

 

Zur info, die 80.12 ist unser Mail Server, wobei das Routing dorthin auch noch nicht funktioniert. Dieses ist auf unseren alten ASA sehr komplex Konfiguriert, da eine 2. Firewall das routing übernimmt, und die ASA nur mit dem MicroTrend Modul die E-Mails checked.

 

Result of the command: "sh running-config"

: Saved
:
ASA Version 7.2(3) 
!
hostname XXXXXXXX
domain-name XXXXXXXXXXXXXXXXXXX
enable password XXXXXXXXXXXXXXXXXXX encrypted
names
!
interface Ethernet0/0
description Extern
nameif Extern
security-level 0
ip address A.B.C.50 255.255.255.240 
ospf cost 10
!
interface Ethernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
description Intern
nameif Intern
security-level 100
ip address A.B.80.2 255.255.0.0 
ospf cost 10
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.50.1 255.255.255.0 
ospf cost 10
management-only
!
passwd XXXXXXXXXXXXXX encrypted
boot system disk0:/asa723-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Extern
dns domain-lookup Intern
dns server-group DefaultDNS
name-server XXXXXXXXXXXXXX
name-server XXXXXXXXXXXXXX
domain-name XXXXXXXXXXXXXX
object-group network VPN
network-object host A.B.80.50
access-list Extern_nat0_outbound extended permit ip any A.B.0.0 255.255.0.0 
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.40 
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.41 
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.42 
access-list Intertronic standard permit A.B.0.0 255.255.0.0 
access-list Intern_mpc extended permit tcp host A.B.80.12 any eq smtp 
access-list Extern_mpc extended permit tcp any host A.B.80.12 eq smtp 
access-list Extern_nat_static extended permit tcp host A.B.C.53 eq https host A.B.80.15 eq https 
pager lines 24
logging enable
logging asdm debugging
mtu Extern 1500
mtu Intern 1500
mtu management 1500
ip local pool VPN_Intern A.B.80.40-A.B.80.49 mask 255.255.0.0
no failover
monitor-interface Extern
monitor-interface Intern
monitor-interface management
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
nat-control
global (Extern) 1 A.B.C.57-A.B.C.62 netmask 255.255.255.240
global (Extern) 1 A.B.C.53-A.B.C.54 netmask 255.255.255.240
global (Extern) 1 interface
nat (Extern) 0 access-list Extern_nat0_outbound
nat (Intern) 0 access-list Intern_nat0_outbound
nat (Intern) 1 A.B.0.0 255.255.0.0
nat (management) 0 0.0.0.0 0.0.0.0
static (Extern,Extern) A.B.80.50 A.B.80.40 netmask 255.255.255.255 
static (Extern,Intern) A.B.80.51 A.B.80.41 netmask 255.255.255.255 
static (Extern,Intern) A.B.80.52 A.B.80.42 netmask 255.255.255.255 
static (Extern,Extern) A.B.C.53  access-list Extern_nat_static 
route Extern 0.0.0.0 0.0.0.0 A.B.C.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute

Link zu diesem Kommentar
diavolo86 Contributor

diavolo86   10

Geschrieben
  • Autor
Geschrieben

Weiter führung:

 

http server enable
http 192.168.50.2 255.255.255.255 management
http A.B.80.117 255.255.255.255 Intern
http A.B.80.103 255.255.255.255 Intern
http A.B.80.104 255.255.255.255 Intern
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Extern_dyn_map 20 set pfs 
crypto dynamic-map Extern_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map Extern_dyn_map 40 set pfs 
crypto dynamic-map Extern_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map Extern_map 65535 ipsec-isakmp dynamic Extern_dyn_map
crypto map Extern_map interface Extern
crypto isakmp enable Extern
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map Intern-class
match access-list Intern_mpc
class-map inspection_default
match default-inspection-traffic
class-map Extern-class
match access-list Extern_mpc
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map 
 inspect ftp 
 inspect h323 h225 
 inspect h323 ras 
 inspect rsh 
 inspect rtsp 
 inspect esmtp 
 inspect sqlnet 
 inspect skinny 
 inspect sunrpc 
 inspect xdmcp 
 inspect sip 
 inspect netbios 
 inspect tftp 
policy-map Mail1
class Extern-class
 csc fail-open
 inspect esmtp 
policy-map Mail
class Intern-class
 csc fail-open
 inspect esmtp 
!
service-policy global_policy global
service-policy Mail1 interface Extern
service-policy Mail interface Intern
ntp server 194.95.250.35 source Extern prefer
ntp server 194.95.250.36 source Extern
webvpn
svc image disk0:/sslclient-win-1.1.0.154.pkg 1
svc enable

Link zu diesem Kommentar
diavolo86 Contributor

diavolo86   10

Geschrieben
  • Autor
Geschrieben

und der Schluss

 

group-policy DfltGrpPolicy attributes
banner none
wins-server value A.B.80.10 A.B.80.12
dns-server value A.B.80.10 A.B.80.12
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol webvpn
password-storage disable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain value XXXXXXXXXXXXXX
split-dns none
intercept-dhcp 255.255.255.255 disable
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
msie-proxy server none
msie-proxy method no-modify
msie-proxy except-list none
msie-proxy local-bypass disable
nac disable
nac-sq-period 300
nac-reval-period 36000
nac-default-acl none
address-pools none
smartcard-removal-disconnect enable
client-firewall none
client-access-rule none
webvpn
 functions url-entry file-access file-entry file-browsing mapi auto-download
 html-content-filter none
 homepage none
 keep-alive-ignore 4
 http-comp gzip
 filter none
 url-list value XXXXXXXXXXXXXX
 customization value DfltCustomization
 port-forward none
 port-forward-name value Application Access
 sso-server none
 deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information
 svc none
 svc keep-installer installed
 svc keepalive 15
 svc rekey time none
 svc rekey method none
 svc dpd-interval client 30
 svc dpd-interval gateway 30
 svc compression deflate
group-policy VPN internal
group-policy VPN attributes
wins-server value A.B.80.10 A.B.80.12
dns-server value A.B.80.10 A.B.80.12
vpn-filter none
vpn-tunnel-protocol IPSec 
split-tunnel-network-list none
default-domain value XXXXXXXXXXXXXX
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted privilege 0
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted privilege 15
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted
tunnel-group DefaultWEBVPNGroup general-attributes
authorization-server-group LOCAL
tunnel-group DefaultWEBVPNGroup webvpn-attributes
nbns-server A.B.80.10 master timeout 2 retry 2
tunnel-group VPN type ipsec-ra
tunnel-group VPN general-attributes
address-pool VPN_Intern
authorization-server-group LOCAL
authorization-server-group (Extern) LOCAL
default-group-policy VPN
authorization-required
tunnel-group VPN ipsec-attributes
pre-shared-key XXXXXXXXXXXXXX
smtp-server A.B.80.12
prompt hostname context 
Cryptochecksum:XXXXXXXXXXXXXX
: end

Link zu diesem Kommentar
mr._oiso Rising Star

mr._oiso   10

Geschrieben
Geschrieben

hi diavolo86,

 

:suspect:

 

die Konfiguration ist ja starker Tobak !

Aber eine Frage sei erlaubt, was soll die ASA letzt endlich machen.

Ich gehen mal davon aus, dass diese Konfiguration die ist, welche nicht läuft.

 

Daher fangen wir am besten klein an !

Diese NAT Rule ist klar, das Netzwerk A.B.0.0/16 am Internen Interface soll

genattet werden !

Also normales PAT via Extern -> sämtliche Adressen aus A.B.0.0/16 werden über die ASA zu A.B.C.50. (Aussnahmen "access-list Intern_nat0_outbound")

 

bewirkt durch -> nat (Intern) 1 A.B.0.0 255.255.0.0

 

interface Ethernet0/0

description Extern

nameif Extern

security-level 0

ip address A.B.C.50 255.255.255.240

ospf cost 10

---------------------------------------------------

Alle Adresse, welche durch ACL "access-list Intern_nat0_outbound" erkannt werden, sind davon ausgenommen.

Bedeutet, wenn ein Host aus dem Netzwerk A.B.0.0/16 nach host A.B.80.40-42 möchte, soll kein NAT gemacht werden !

 

bewirkt durch -> nat (Intern) 0 access-list Intern_nat0_outbound

 

und

 

access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.40

access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.41

access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.42

 

Im Zusammenhang mit :

ip local pool VPN_Intern A.B.80.40-A.B.80.49 mask 255.255.0.0

sieht es so aus, als wenn die ersten drei Mobilen User (dynamic VPN) ins

Interne Netzwerk dürfen (zumindest könnten) und dies restlichen 43-49 (7)

nicht.

 

Ist das so gewollt ? Interpretiere ich richtig ?

Und Du bist dir bewusst, dass Du für den mobilen User Adressen aus dem Internen Netzwerk verwendest, welche du dort auch frei haben solltest ?

 

Soviel erst einmal zu Teil 1

 

Greez

 

Mr. Oiso

Link zu diesem Kommentar
mr._oiso Rising Star

mr._oiso   10

Geschrieben
Geschrieben

hi diavolo86,

 

re ! :D

 

Wie in Teil 1 beschrieben, trifft PAT natürlich nur zu, wenn hier folgendes zuvor passiert ist. Sofern ein "static" inside to outside konfiguriert ist,

werden die externen Adressen "reserviert", ist das nicht der Fall,

so werden die verfügbaren Adressen A.B.C.53-54 und 57-62 der Reihe nach

aufgebraucht, 1:1 Nat, und dann erst geschieht PAT via Interface, also der 50

 

global (Extern) 1 A.B.C.57-A.B.C.62 netmask 255.255.255.240

global (Extern) 1 A.B.C.53-A.B.C.54 netmask 255.255.255.240

global (Extern) 1 interface

 

Soweit noch alles o.k.

Jetzt aber meine Frage !

access-list Extern_nat0_outbound extended permit ip any A.B.0.0 255.255.0.0

nat (Extern) 0 access-list Extern_nat0_outbound

Alles, was von extern nach intern soll, dafür gilt mit disen zei Einträgen

plötzlich kein Nat mehr ? Wozu ?

Damit sind diese beiden Nat Entries

static (Extern,Intern) A.B.80.51 A.B.80.41 netmask 255.255.255.255

static (Extern,Intern) A.B.80.52 A.B.80.42 netmask 255.255.255.255

 

gleich mal "unwirksam" , wobei ich eher glaube, dass du hier mit der externen IP 51 die interne 41 erreichen willst, und dann sollte der command so aussehen

static (Intern,Extern) A.B.80.51 A.B.80.41 netmask 255.255.255.255

 

Letztendlich zu diesen commands

static (Extern,Extern) A.B.80.50 A.B.80.40 netmask 255.255.255.255

static (Extern,Extern) A.B.C.53 access-list Extern_nat_static

 

welchen Sinn verfolgst du damit ?

Soweit ich das weiss, macht es nur Sinn, in zum Beispiel so einem Fall:

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

 

Aber auch danach sieht es nicht aus !

Und...

static (Extern,Extern) A.B.C.53 access-list Extern_nat_static

 

sollte sicherlich nen https forwarding von der interface extern IP auf die 80.15 intern werden ! oder ?

von dem hier ganz zu schweigen,

static (Extern,Extern) A.B.80.50 A.B.80.40 netmask 255.255.255.255

 

sind 80.50 und 80.40 nicht Adressen......ah, 40-42 waren die aus dem vpn pool....:confused: wieso wieder zu 80.50-52 :confused:

 

Ich glaube eine Netzwerkskizze wäre angebracht.

Und ändere mal A.B.C.53 in reale Zahlen wie 1.2.3.53 und für A.B.80.50

dann 1.2.80.53

 

Irgendwie komme ich mit der Konfiguration noch nicht ganz klar ! :(

Muss da mal ne Nacht mit schlafen ! :o

 

Bimo

 

Greez

 

Mr. Oiso

Link zu diesem Kommentar
diavolo86 Contributor

diavolo86   10

Geschrieben
  • Autor
Geschrieben

Ja die Config ist echt starker Tobak das glaub ich dir :D

 

haben es soweit hinbekommen ;) Mittlerweile verstehen wir auch die Lofik die dahinter steckt, der witz ist nur das das Forwarding mit SMTP nur etwas anders funktioniert hat, KA warum :)

 

Die VPN story ist sehr umständlich gelöst würde ich sagen, aber aus irgendeinem Grund hat es wohl nicht anders funktioniert :)

Die Clients welche sich über VPN einwählen, sollen direkten Zugriff auf das Netzwerk erhalten. Wir hatten es auch soweit, das wir eingewählt waren und eine IP vom DHCP bekommen haben, doch irgendwie hat das routing dann nicht funktioniert :suspect:

Das ist aber derzeit nicht das Problem :)

 

Wie gesagt alle Ports umgebogen, funktioniert auch soweit!

Jetzt wird nur das SSM CSC Module von TrendMicro nicht mehr automatisch für SMTP angesprochen :(

 

LG Tobi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...