Cisco ASA 5510 ohne Management port Administrieren

[Andyc1982 10]

Hallo,

ich bin neu hier und falls ich im falschen unterforum bin seid nicht böse. Vielleicht kann es ja ein Mod passend schieben.

 

Aber nun zu meinem Problem.

Wir haben hier in der Firma eine neue Cisco ASA 5510. Diese hat ja einen extra Management port, welche auch super funktioniert. Ich möchte aber einfach per Telnet und ASDM über den Ethernet 0/1 auf die ASA zugreifen können.

Geht das? Was muss ich dafür ändern?

Ich habe noch nicht viel mit Cisco gearbeitet, also können es auch durchaus Anfängerfehler sein.

 

Gruß

Andy

[Wordo 11]

Ueber Console einfach "telnet <dein netz> <dein subnet> inside" angeben.

Oder halt SSH und Key erstellen ...

[Andyc1982 10]

Genau das versuche ich, aber..

Mit Putty versuche ich mich per Telnet oder SSH draufzuschalten und bekomme immer nur ein schwarzes Bild. Normal müßte da doch dann der Name der ASA Stehen (ciscoasa>) oder so ähnlich, wo ich dann mit enable mich einloggen kann.

Aber es steht einfach nichts. Muss ich auf der ASA noch irgendwas freischalten?

[Wordo 11]

Poste doch mal einen "sh run" ...

[Andyc1982 10]

ASA Version 8.2(1)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

nameif extern_asa

security-level 0

ip address 193.152.228.198 255.255.255.224

!

interface Ethernet0/1

nameif intern_asa

security-level 100

ip address 10.110.100.3 255.255.0.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif management

security-level 100

ip address 10.120.100.3 255.255.0.0

management-only

!

ftp mode passive

pager lines 24

logging asdm informational

mtu extern_asa 1500

mtu intern_asa 1500

mtu management 1500

no failover

[Andyc1982 10]

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

global (extern_asa) 101 interface

nat (intern_asa) 101 0.0.0.0 0.0.0.0

route extern_asa 0.0.0.0 0.0.0.0 193.158.253.193 1

route intern_asa 10.100.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.101.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.102.0.0 255.255.0.0 10.110.0.250 1

route management 10.103.0.0 255.255.0.0 10.120.0.250 1

route intern_asa 10.104.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.105.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.106.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.107.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.111.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.112.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.113.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.114.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.121.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.122.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.123.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.124.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.125.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.126.0.0 255.255.0.0 10.110.0.250 1

route intern_asa 10.199.0.0 255.255.0.0 10.110.0.250 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

http server enable

http 10.103.28.23 255.255.255.255 management

http 10.103.28.98 255.255.255.255 management

http 10.120.0.0 255.255.0.0 management

http 10.103.28.98 255.255.255.255 intern_asa

http 10.110.100.0 255.255.255.0 intern_asa

no snmp-server location

no snmp-server contact

[Wordo 11]

Dann isses statt "intern" -> "intern_asa"

[Andyc1982 10]

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac

crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5

crypto map extern_asa_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP

crypto map extern_asa_map interface extern_asa

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

management-access management

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

enable extern_asa

username admin password f3UhLvUj1QsXsuK7 encrypted privilege 15

username admin1 password LkxkEEBDwYHUUSj9 encrypted privilege 15

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:7b55d8e36584157ded48581fb40511e7

: end

 

Das ist die Config.

Muss sagen ich hab eigentlich noch nicht viel dran gemacht, aber hab das Gefühl dass durchs rumprobieren viel Müll rein gekommen ist.

[Andyc1982 10]

was meinst du jetzt?

Muss ich da jetzt was ändern irgendwo?

[Andyc1982 10]

Kann vielleicht jemand mal über die Config gucken ob da was fehlt wegen Telnet zugriff?

Würde ja auch gerne per ASDM über den internen Port drauf kommen.

Komme da aber irgendwie nicht weiter

[Wordo 11]

http 10.103.28.98 255.255.255.255 intern_asa

http 10.110.100.0 255.255.255.0 intern_asa

 

Aus den beiden Netzen/IPs kommst du mit ASDM drauf.

[Andyc1982 10]

http 10.103.28.98 255.255.255.255 intern_asa

http 10.110.100.0 255.255.255.0 intern_asa

 

Aus den beiden Netzen/IPs kommst du mit ASDM drauf.

 

Also mit meinem Rechner 10.103.28.98 komme ich drauf, aber nur auf den Managementport. Auf das intern_asa leider nicht.

Oder liegt der Fehler schon im Routing, dass ich gar nicht bis hin komme?

 

Aber pingen kann ich das Interface

[Wordo 11]

Du routest 10.103 ueber das MNT IF ... dann wird asynchron geroutet.

[Andyc1982 10]

Du routest 10.103 ueber das MNT IF ... dann wird asynchron geroutet.

 

Sorry wie im eingang bereits erwähnt, ich bin nicht so fit mit sowas.

Was bedeutet das für mich?

Wie muss ich das routen?

[Wordo 11]

conf t

no route management 10.103.0.0 255.255.0.0 10.120.0.250 1

route intern_asa 10.103.0.0 255.255.0.0 10.110.0.250 1

 

http 10.103.28.23 255.255.255.255 intern_asa

http 10.103.28.98 255.255.255.255 intern_asa

 

telnet 10.103.28.23 255.255.255.255 intern_asa

telnet 10.103.28.98 255.255.255.255 intern_asa