FTP Cisco ASA 5540

[loopback_28 10]

Hallo,

 

habe ein Problem mit der Cisco ASA.

ich kann aus dem Trusted Netz kein FTP machen

 

Es ist zwischen source und destination IP ANY freigeschaltet

Der Zugriff ist in beider Richtungen ohne Service Einschränkungen erlaubt.

 

Das gleiche Problem hatte ich mal mit einer Watchguard, dort gab es eine Einstellung unter Global Settings "Enable TCP SYN Checking", Hacken entfernt dann ging es, bei der ASA gibt es sowas nicht, zumindest nicht gefunden, Jemand ne Idee?

 

Habe mit whireshark ein trace gemacht:

Acknowledgment number: Broken TCP. The acknowledge field is nonzero while the ACK flag is not set

 

 

gruss loopback

[Otaku19 33]

zeig mal die konfig

[hegl 10]

ASA Version? Mal logging eingeschaltet? FTP über Client oder CLI?

[loopback_28 10]

FTP über CLI, (Dosbox)

 

Version 8.0(4) und ist als Context aufgesetzt.

 

logging:

 

6 Nov 06 2009 15:36:33 302013 10.10.10.254 8890 10.11.11.1 3935 Built outbound TCP connection 1319074 for outside:10.10.10.254 /8890 (10.10.10.254 /8890) to inside_firewall:10.11.11.1/3935 (10.11.11.1/3935)

 

 

 

6 Nov 06 2009 15:36:34 302014 10.10.10.254 8890 10.11.11.1 3935 Teardown TCP connection 1319074 for outside:10.10.10.254 /8890 to inside_firewall:10.11.11.1/3935 duration 0:00:00 bytes 0 TCP Reset-I

 

 

gruss loopback

[loopback_28 10]

Hallo zusammen,

 

das Problem war hier das der FTP-Server eine 2te Netzwerkkarte hatte die im Trusted Netz war. d.H. die Anfrage ging an die "externe Netzwerkarte" und Antwort kam über die Trusted Netzwerkkarte zurück, das duldet die ASA nicht ohne Konfiguration eines Bypasses. (wäre eine sicherheitsrisiko) Ich habe die Trusted Netzwerkkarte deaktiviert und alles funktioniert wie gewünscht.

 

gruss loopback