Probleme mit ASA5505 und Trunk

[ShineDaStar 10]

ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup 1_IN_Data_Net
dns domain-lookup 4_IN_Admin_Net
dns domain-lookup 2_IN_Voice_Net
dns domain-lookup 3_IN_Wlan_Net
dns server-group DefaultDNS
name-server 192.168.2.1
name-server 4.2.2.4
domain-name painlan.local
same-security-traffic permit inter-interface
access-list inside_access_in extended permit ip any any 
access-list inside_access_in extended permit ip host UC520_PBX 192.168.0.0 255.255.255.0 
access-list 2_IN_Voice_Net_access_in extended permit ip any any 
pager lines 24
logging enable
logging asdm informational
mtu 5_Out_Peer 1500
mtu 1_IN_Data_Net 1500
mtu 4_IN_Admin_Net 1500
mtu 2_IN_Voice_Net 1500
mtu 3_IN_Wlan_Net 1500
ip verify reverse-path interface 5_Out_Peer
ip verify reverse-path interface 4_IN_Admin_Net
ip verify reverse-path interface 3_IN_Wlan_Net
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (5_Out_Peer) 1 interface
nat (1_IN_Data_Net) 1 0.0.0.0 0.0.0.0 dns
static (1_IN_Data_Net,2_IN_Voice_Net) 192.168.4.0 192.168.0.0 netmask 255.255.255.0 dns 
static (2_IN_Voice_Net,1_IN_Data_Net) 192.168.0.0 192.168.4.0 netmask 255.255.255.0 dns 
access-group inside_access_in in interface 1_IN_Data_Net
access-group 2_IN_Voice_Net_access_in in interface 2_IN_Voice_Net
timeout xlate 3:00:00
timeout conn 1:30:00 half-closed 0:05:00 udp 0:01:00 icmp 0:00:03
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 1:00:00 sip_media 0:05:00 sip-invite 0:05:00 sip-disconnect 0:05:00
timeout sip-provisional-media 0:05:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http server idle-timeout 4
http server session-timeout 2
http 192.168.0.0 255.255.255.0 1_IN_Data_Net
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 1_IN_Data_Net
ssh timeout 5
console timeout 0
dhcp-client client-id interface 5_Out_Peer
dhcpd auto_config 5_Out_Peer
!
: end

[ShineDaStar 10]

dhcpd address 192.168.0.10-192.168.0.60 1_IN_Data_Net
dhcpd dns 192.168.0.1 192.168.2.1 interface 1_IN_Data_Net
dhcpd domain painlan.local interface 1_IN_Data_Net
dhcpd auto_config 5_Out_Peer interface 1_IN_Data_Net
dhcpd enable 1_IN_Data_Net
!

threat-detection basic-threat
threat-detection scanning-threat shun except ip-address 192.168.0.0 255.255.255.0
threat-detection scanning-threat shun except ip-address 192.168.4.0 255.255.255.0
threat-detection scanning-threat shun duration 15
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 192.168.2.1 source 5_Out_Peer prefer
webvpn
username opi password Iya.88encrypted privilege 15
!
class-map type inspect http match-all asdm_medium_security_methods
match not request method head
match not request method post
match not request method get
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-all asdm_high_security_methods
match not request method head
match not request method get
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
 id-randomization
 id-mismatch action log
 tsig enforced action log
policy-map type inspect http InspectHTTP
parameters
 protocol-violation action drop-connection
class asdm_medium_security_methods
 drop-connection
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map 
 inspect ftp 
 inspect h323 h225 
 inspect h323 ras 
 inspect rsh 
 inspect rtsp 
 inspect esmtp 
 inspect sqlnet 
 inspect skinny  
 inspect sunrpc 
 inspect xdmcp 
 inspect sip  
 inspect netbios 
 inspect tftp 
 inspect ctiqbe 
 inspect dcerpc 
 inspect http 
 inspect icmp 
 inspect icmp error 
 inspect ils 
 inspect ipsec-pass-thru 
 inspect mgcp 
 inspect pptp 
 inspect snmp 
 inspect waas 
policy-map type inspect sip InspectSip
parameters
 max-forwards-validation action drop log
 state-checking action drop log
 rtp-conformance 
policy-map type inspect ipsec-pass-thru InspectIPSecPass
parameters
 esp per-client-max 10 timeout 0:00:30 
 ah per-client-max 10 timeout 0:00:30 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:

[Otaku19 33]

elegant meine frage umschifft...aber ich vermute jetzt mal du aus dem Netz 192.168.0.0/24 kommend auf die IP 192.168.4.2 zugreifen willst ?

 

1.du hast acl definiert, sie aber nirgends via access-group gebunden

 

2.du hast "same-security-traffic permit inter-interface" konfiguriert, die beiden interfaces vlan 1 und vlan 4 haben das gleiche level. somit ist traffic möglich (solange du nicht irgendwo anfängst acls zu binden ohne zu überlegen)

 

3. deine applikation ist anscheiend eh schon verbunden, somit kann es eigentlich nix mehr acl sachen zu tun haben. keine Ahnung was ccp->uc tut oder was du damit meinst, aber bei sowas würde ich mal auf die schnelle "no service-policy global_policy global" verscuehn, du hast da relativ umfangreiche inspections drin

 

4.wozu wird die mtu fix hinterlegt ?

 

5. hier sollte nat-control per default aus sein, das ist in den ASA Release default, taucht daher nicht in der config auf. Mit sh run all oder sh run nat-control müsstest das verifizieren können. Somit nat statements hinfällig

und so wie du das da konfiguriert hast, also in beide Richtungen statisch das gesamte Netz hab ich das überhaupt noch nicht gesehen, das schaut mir suspekt aus. Afaik teilt da die ASA "dynamisch" das nat zu, also sagen wir aus 192.168.0.25 wird 192.168.4.128, nur hab ich keine Ahnugn ob die ASA vorher irgendwie überprüft ob diese Adresse nicht schon irgendwie benutzt wird, das könnte zu groben Problem in beiden Netzen führen.

[ShineDaStar 10]

ich richte das über asdm ein... da ich mir die cisco thematik selbst beibringe, so als hobby, bin ich in der cli für eine asa einfach noch nicht so fit, dass ich mich mit der materie so gut auskenne ;-)

bzw. ich finde auch nicht, wo ich die entsprechende acl aktiviere.

 

Ich kann mich verbinden grade via ccp, aber nach der Passwortabfrage steht des kästle auf rot mit connection to device failed...

 

Dabei habe ich das mal so funktionierend hinbekommen... ich steh grad echt voll auf dem schlauch...

 

ja genau so will ich zugreifen ;-)

 

Ich habe das nur so eingerichtet, wie der wizard das tat... und dann mal hier ne regel freigegeben, bis das internet wieder ging... so dass ich nach und nach den fehler finden könnte, aber das is echt tierisch schwer

bearbeitet 2. Dezember 2009 von ShineDaStar

[Otaku19 33]

hm, so ist das Pfusch. Besorg dir mal n paar Unterlagen und lerne grundlegend mit dem Gerät umzugehen.

 

Und CLI Wissen ist einfach Pflicht, es gibt einige Dinge die man besser nur via ASDm macht, aber das sind ganz sicher nicht die Dinge die du jetzt benötigst

[ShineDaStar 10]

Ich habe das Buch zur ASA. Nur habe ich das Gefühl, dass seit dem letzten Reset zur Werkseinstellung, Grundliegende Dinge nicht mehr funktionieren...

 

Was ich in dem Buch halt auch nicht verstanden habe, is der Unterschied, bzw. das Zusammenspiel, von NAT, ACL, Filter, erweitertes ACL... das ist ziemlich verwirrend. Die CLI meiner Switche und Router sind für mich irgendwie verständlicher ;-)

[Otaku19 33]

üben üben üben :) vor allem via CLI

 

aber vielleicht nicht an der FW die du da im Betrieb hast sondern im GNS3, das was du da alles machst schafft man auch mit einem pix image.

[ShineDaStar 10]

eine gute Idee, danke Dir.

 

Aber kannst Du mir kurz anführen, worin der Unterschied besteht: ACL, erweiterte ACL, Filter, Dyn NAT.

 

Also die Funktion einer ACL und diese Sachen sind mir klar, aber wie mir scheint, muss man bspw- erst via ACL die Verbindung erlauben, mit dem Filter prüfen und per Dyn Nat in ein anderes Netz umsetzen. Das verstehe ich nicht so ganz.

[Otaku19 33]

also, eine ASA/PIX mit aktiven nat-control (oder uraltem image) MUSS für jede Verbindung ein nat statement vorfinden, und wenn es auch ein nat 0 ist, sonst geht da einfach nix.

 

ACL an sich heisst einfach nur access-list, es gibt standard und extended acls, standard acl können nur ne Source angeben, erweiterte acl source,destination und protokoll/port. Auf einer ASA gibts dann noch spezielle acl die man zb auf einer transparenten FW nutzt->ethertype acls.

 

dyn NAT heisst das hier eine sourceadresse dynamisch auf eine Adresse aus einem Pool zugewiesen wird. Verwendet man imho eher selten, geläufiger wäre dynamic PAT und static NAT, nciht zu vergessen polic NATs für spezielel (nicht-)Übersetzungen.

 

Was meisnt du mit filter ?

[ShineDaStar 10]

weil man da Filter Rules setzen kann.

 

Ich habe gerade meine ASA total abgeschossen, auch mit dem ASDM, wenn ich sie auf Factory default setze, sind die Einstellungen danach wieder da.

 

Sehr wars***einlich stimmt was mit dem config register nicht. Denn der Reset Knopf, der Funktioniert nicht, wie ich am WE herausgefunden habe, da habe ich dann erase configuration, bzw. den dazu passenden Befehl für die ASA, eingesetzt. Dann hat er nach dem starten aber ein en passwort, was keiner kennt, wie ich im Internet las.

 

Da musste ich das register umsetzen, für passwort recover, und dann wieder zurück setzen. Dann musste ich sie neu konfigurieren... das ging dann.

 

Nun geht aber nichts... ich habe das Problem ausgemacht: Aus irgendeinem Grund ist es wurst was ich eingebe, denn nach dem Neustart ist es wie vorher...

 

Wie setze ich die ASA denn in den 100% werks Auslieferungszustand zurück?

[blackbox 10]

Hi,

 

wenn du das Password Recovery gelesen und als PDF hast - da steht am Ende auch das Config Register wieder drin - wie es sein muss.

 

Es gibt keinen Auslieferungszustand - es gibt nur eine "leere" ASA - wobei die 5505er ne Mini Config drauf haben - die du aber nicht mehr "zurück" holen kannst wenn sie gelöscht ist. Sicherst du dir den nie deine Config zustände ?

[ShineDaStar 10]

Hi,

 

wenn du das Password Recovery gelesen und als PDF hast - da steht am Ende auch das Config Register wieder drin - wie es sein muss.

 

Es gibt keinen Auslieferungszustand - es gibt nur eine "leere" ASA - wobei die 5505er ne Mini Config drauf haben - die du aber nicht mehr "zurück" holen kannst wenn sie gelöscht ist. Sicherst du dir den nie deine Config zustände ?

 

doch, aber genau DA habe ich es vergessen, dass ist ja das schlimme.

Und aus irgendeinem Grund zickt die ASA seit dem rum...

Wenn ich nur das image nochmal neu aufspielen könnte...

[blackbox 10]

Hi,

 

oben schreibst du - das du sie neu konfigurien musstest - da musst du doch nen IOS drauf haben. Sonst hast du ja nur ca. 10 Settings. Welches Image meinst du ?

[ShineDaStar 10]

Ja das IOS habe ich und ich bin vorgegangen wie in der Anleitung.

Als ich das Ganze dann per ASDM konfiguriert habe, ging es. Dann habe ich in der Console das Mapping geändert, dann ging nichts mehr.

Dann habe ich ASDM neu geladen, und egal was ich änderte, es war wie vorher.

Wenn ich sie nun per ASDM zurück setze, ist wieder alles so, wie es war, also hat das rücksetzen nichts gebracht.

 

Da dachte ich mir, wenn ich das IOS neu aufspielen könnte, das ich dann die ASA wieder so habe, wie frisch aus dem Karton genommen, dass ich sie von neuem komplett configgen kann...

[Otaku19 33]

so, zu aller erst wirst du mal versuchen dich weiter vom ASDm zu entfernen, öffne dazu mal Tools-Preferences und aktiviere "Preview commands beefore sending them to the device"

 

So wird dir alles was der ASDm macht zuerst mal als CLI Befehl angezeigt, jetzt weiß ich auch was du mit filter gemeint hast, das sind Möglichkeiten um activeX und Java destination/source bezogen direkt auf der ASA zu filtern, ebenso kann man Url filter darüber machen, dazu brauchts aber einen externen Server auf dem diese Listen lagern