Probleme mit ASA5505 und Trunk

[ShineDaStar 10]

Also ich habe nun alles via console gemacht, und was soll ich sagen? Kaum macht mans richtig, schon geht es ;-)

 

Ich nutz das ASDM jetzt einfach zum monitoren und halt um herauszufinden, welche commands was machen...

 

Oh mann, hätt ichs nur gleich so gemacht ;-)

[Otaku19 33]

ASDM verwendet man imho für genau einen Zweck: wenn man SSL VPN macht.

[ShineDaStar 10]

Also nun habe ich folgende config:

 

: Saved
:
ASA Version 8.2(1)
!
hostname ASA01
domain-name painlan.local
enable password encrypted
passwd Jencrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan3
nameif WLC_Wlan_Control
security-level 80
ip address 192.168.3.1 255.255.255.0
!
interface Vlan4
nameif AdminWEB
security-level 99
ip address 192.168.4.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.2.1
name-server 4.2.2.4
name-server 208.67.222.222
domain-name painlan.local
access-list outside_in extended permit icmp any any echo-reply
access-list outside_in extended deny ip any any log
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu WLC_Wlan_Control 1500
mtu AdminWEB 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
global (outside) 1 192.168.2.2 netmask 255.255.255.0
global (WLC_Wlan_Control) 1 192.168.3.2-192.168.3.254 netmask 255.255.255.0
global (WLC_Wlan_Control) 1 192.168.3.0 netmask 255.255.255.0
global (AdminWEB) 1 192.168.4.2-192.168.4.254 netmask 255.255.255.0
nat (inside) 1 192.168.0.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
nat (WLC_Wlan_Control) 1 192.168.3.0 255.255.255.0
nat (AdminWEB) 1 192.168.4.0 255.255.255.0
access-group outside_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
http server enable
http server idle-timeout 4
http server session-timeout 2
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
dhcpd dns 192.168.2.1
dhcpd auto_config outside
!
dhcpd address 192.168.0.20-192.168.0.68 inside
dhcpd dns 192.168.0.1 192.168.2.1 interface inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username cisco password jahoo encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect rsh
 inspect rtsp
 inspect esmtp
 inspect sqlnet
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
!
service-policy global_policy global
prompt hostname context

[ShineDaStar 10]

Was ich nun noch machen will, es aber nicht so recht hinbekomme ist folgendes:

 

die asa soll

 

->Als DNS Server für das interne lan fungieren, mit den dns auf dem defaultDNS pool

->die niedrigeren Sicherheitsnetze sollen auch die asa als dns benutzen und problemlos mit dem Internet kommunizieren können

->von intern soll man in die perimeternetze zusätzlich zum normalen internetzugang kommen.

->das WLAN Netz soll bedingt mit dem internen Lan kommunizieren dürfen

->von intern nach extern soll eine pptp l2tp verbindung von einem host ins internet aufgebaut werden können.

 

Wie löse ich das nun am geschicktesten?

 

Was auch nicht geht:

 

Wenn ich bei den clients die IP meines Routers als DNS angebe, dann geht alles prima.

Gebe ich die IP der ASA an, geht nichts in Richtung DNS und ich komme nicht drauf, warum das so ist...

bearbeitet 6. Dezember 2009 von ShineDaStar

[Otaku19 33]

warum wollen eigentlich immer alle ihr eigenes Device als nameserver hernehmen....das ist wohl so ne Unart die aus den Privatklump stammt. Die ASA hat nun mal keinen NS Service am laufen der diese anfragen entgegen nimmt, fertig. Da lässt sich auch nix konfigurieren wie das auf nem Router zB ginge.

Ich will mal EINEN guten Grund hören warum du in deinem Fall nicht einfach DNS Anfragen durch die ASA auf nen Namesever durchlässt, ggf mit einer inspection.

Am Router hat der NS auch nur dann Sinn wenn du interne Einträge da drin verwaltest, ansonsten ist das vollkommen unsinnig.

 

Mit den Begriffen extern/intern/WLAN bla fängt kein Mensch was an, sprich in IP Adressen, dann weiß man was du willst

[ShineDaStar 10]

Ok, dachte nur, weil die Router das auch können, dass die ASA vllt. selbiges kann... ( ich meine cisco router ).

 

Was ich nun in Zahlen ausdrücken will:

 

1. Ich würde gerne bei den clients die interne IP, 192.168.0.1/24, als dns server angeben. Die an die IP gesendeten DNS Anfragen sollen an die 192.168.2.1/24, also mein router, weitergeleitet haben, dabei sollen sie einen inspect durchlaufen.

 

2. Aus dem Internen Netz 192.168.0.1/24 soll eine L2TP PPTP Verbindung ins Internet möglich sein. D.h. die Daten sollen von 192.168.0.1/24 nach 192.168.2.1/24 genattet werden, so dass man sich von einem Internen Laptop per VPN in die Arbeit einwählen kann.

 

3.Aus dem Internen 192.168.0.1/24 soll eine uneingeschränkte, aber via inspect überwachte verbindung zu AdminNet 192.168.4.0/24 möglich sein, gleichermaßen sollen Syslog Messages vom adminnet ins interne Netz inspected geroutet werden.

 

4. Aus dem Wlan Netz 192.168.3.0/24 sollen Verbindungen mit authentication ins Interne Netz möglich sein und vom wlan netz, ins 192.168.2.0/24 perimeter Netz, von wo aus es ins Internet geroutet wird, soll: http, https, dns, smtp, pop3 und imap mit inspects möglich sein.

 

5. besteht die Frage, ob man den ASA internen AAA Server dazu verwenden kann, dass der router die Berechtigungsdaten des Admins von der ASA empfängt, der Router ist im 192.168.2.0/24 netz und hat da die ip 192.168.2.1/24.

 

Ein Vernünftigen Grund gibt es sehr wars***einlich nicht, ausser dass ich mehrere Forwarder gerne eintrage, also auf dem router, so dass wenn an die router IP von der ASA die Anfrage kommt, er den pool abklappern kann. Wenn man das schon auf der ASA machen könnte, so dass die internen clients nur die IP der ASA als DNS kennen müssen, wäre das super, es würde aber auch gehen, wenn die internen clients die ip der asa als dns nehmen und die asa das netz ins perimternetz inspected und natted und dann meinen router frägt.

 

Dann würde ich noch gerne ein paar sicherheitsfeatures an haben, welche stichworte wären denn hier hauptsächlich interessant, von den vielen Möglichkeiten, die einem die ASA bietet?

 

Danke schonmal für die Hilfe.

Ich muss auch sagen, dass sich das leichter über die bekannte cli programmieren lässt, als über die asdm...

[ShineDaStar 10]

Ok, dachte nur, weil die Router das auch können, dass die ASA vllt. selbiges kann... ( ich meine cisco router ).

 

Was ich nun in Zahlen ausdrücken will:

 

1. Ich würde gerne bei den clients die interne IP, 192.168.0.1/24, als dns server angeben. Die an die IP gesendeten DNS Anfragen sollen an die 192.168.2.1/24, also mein router, weitergeleitet haben, dabei sollen sie einen inspect durchlaufen.

 

2. Aus dem Internen Netz 192.168.0.1/24 soll eine L2TP PPTP Verbindung ins Internet möglich sein. D.h. die Daten sollen von 192.168.0.1/24 nach 192.168.2.1/24 genattet werden, so dass man sich von einem Internen Laptop per VPN in die Arbeit einwählen kann.

 

3.Aus dem Internen 192.168.0.1/24 soll eine uneingeschränkte, aber via inspect überwachte verbindung zu AdminNet 192.168.4.0/24 möglich sein, gleichermaßen sollen Syslog Messages vom adminnet ins interne Netz inspected geroutet werden.

 

4. Aus dem Wlan Netz 192.168.3.0/24 sollen Verbindungen mit authentication ins Interne Netz möglich sein und vom wlan netz, ins 192.168.2.0/24 perimeter Netz, von wo aus es ins Internet geroutet wird, soll: http, https, dns, smtp, pop3 und imap mit inspects möglich sein.

 

5. besteht die Frage, ob man den ASA internen AAA Server dazu verwenden kann, dass der router die Berechtigungsdaten des Admins von der ASA empfängt, der Router ist im 192.168.2.0/24 netz und hat da die ip 192.168.2.1/24.

 

Ein Vernünftigen Grund gibt es sehr wars***einlich nicht, ausser dass ich mehrere Forwarder gerne eintrage, also auf dem router, so dass wenn an die router IP von der ASA die Anfrage kommt, er den pool abklappern kann. Wenn man das schon auf der ASA machen könnte, so dass die internen clients nur die IP der ASA als DNS kennen müssen, wäre das super, es würde aber auch gehen, wenn die internen clients die ip der asa als dns nehmen und die asa das netz ins perimternetz inspected und natted und dann meinen router frägt.

 

Dann würde ich noch gerne ein paar sicherheitsfeatures an haben, welche stichworte wären denn hier hauptsächlich interessant, von den vielen Möglichkeiten, die einem die ASA bietet?

 

Danke schonmal für die Hilfe.

Ich muss auch sagen, dass sich das leichter über die bekannte cli programmieren lässt, als über die asdm...

 

 

hat mir hier jemand ne idee dazu? Ich bekomme das irgendwie nicht ganz so recht hin....