firsttime 10 Geschrieben 24. September 2010 Melden Teilen Geschrieben 24. September 2010 Hallo zusammen, folgendes Szenario. Ein VPN steht zwischen zwei ASA 5505. Auf der einen Seite die Zentrale und auf der anderen Seite die Zweigstelle. Die Zweigstelle soll über den webproxy in der Zentrale auf das Internet zu greifen. Welche statischen Routen muss ich hier setzen und auf welcher Seite? Wenn mir hier jemand behilflich sein könnte. Das Ganze mit IPs gefüllt. Die Zweigstelle 10.10.10.0/24 LAN -> Default GW 10.10.10.1 -> Public IP 1.1.1.1 Eine statische Route 0.0.0.0 0.0.0.0 1.1.1.1 (outside) Die Zentrale: 10.10.20.0/24 LAN -> Default GW 10.10.20.254 -> Public IP 2.2.2.2 Eine statische Route 0.0.0.0 0.0.0.0 2.2.2.2 (outside) Aus der zentrale komme ich ins Inet, aus der Zweigstelle nicht. Aus der Zweigstelle kann ich auf das LAN der Zentrale zu greifen (z.B. rdp) Danke & Gruß Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. September 2010 Melden Teilen Geschrieben 24. September 2010 Du musst doch nur in der Zweigstelle auf den Clients den Proxy von Zentrale eintragen? Ansonsten ist es nur eine Firewallregel (RDP geht ja) Zitieren Link zu diesem Kommentar
firsttime 10 Geschrieben 24. September 2010 Autor Melden Teilen Geschrieben 24. September 2010 Ein wenig wundert mich das auch, da rdp klappt. Aber so bald ich http, icmp Pakete Richtung WAN sende, kommt nichts zurück. Im ASDM gibt es ja so ein Tool der den Path abläuft (habe kein ASDM vor mir und komme nicht auf den Namen). Dieses Tool gibt mir ebenfalls ein Reverse-path verify failed zurück. Deswegen vermute ich, dass es am Routing liegt. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. September 2010 Melden Teilen Geschrieben 24. September 2010 Namen? telnet ip portnummer Nix Name .. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 24. September 2010 Melden Teilen Geschrieben 24. September 2010 Hi, kannst du auch den Proxy erreichen - ist da evtl. definiert für welche IP Range er antworten soll ? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. September 2010 Melden Teilen Geschrieben 25. September 2010 Ein wenig wundert mich das auch, da rdp klappt. Aber so bald ich http, icmp Pakete Richtung WAN sende, kommt nichts zurück. Im ASDM gibt es ja so ein Tool der den Path abläuft (habe kein ASDM vor mir und komme nicht auf den Namen). Dieses Tool gibt mir ebenfalls ein Reverse-path verify failed zurück. Deswegen vermute ich, dass es am Routing liegt. Das ist der packet-tracer, der ist aber in Verbindung mit VPN nicht so toll. Bitte mal die sinnvollenConfigteile posten Zitieren Link zu diesem Kommentar
firsttime 10 Geschrieben 25. September 2010 Autor Melden Teilen Geschrieben 25. September 2010 Also ich meinte den Namen des Tools. Aber es ist der paket-tracer, wie Otaku19 richtig geschrieben hat. Aber der Proxy kann mal weggelassen werden. Den habe ich für das Troubleshooting ausgeschaltet, und das slebe Bild. Wären die Einträge für das statische Routing so ausreichend? Also ein ipconfig der Ausstellen-PCs (Die sollen über das GW 10.10.20.254 ins Inet) 10.10.10.5 255.255.255.0 10.10.10.1 ipconfig zentrale (Inet klappt): 10.10.20.4 255.255.255.0 10.10.20.254 Konfig Aussenstelle: access-list outside_crypto extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-list inside_in extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-group inside_in in interface inside route outside 0.0.0.0 0.0.0.0 1.1.1.1 1 Mehr Regeln sind eigentlich erst mal nicht definiert. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. September 2010 Melden Teilen Geschrieben 25. September 2010 Ähh - mal langsam - du routest bei der Aussenstelle "default" auf deine Firewall dort - es gibt aber nur nen VPN Tunnel (denke der NoNat spiegelt den wieder) für Traffik von 10.10.10.0/24 nach 10.10.20.0/24 -> somit geht natürlich dein Traffik an der Firewall (sofern es dort noch ein NAT gibt) direkt raus. Den du schreibst - den Proxy soll man aussen vor lassen !?!. Ich glaube du solltest über deine Struktur nochmal nachdenken - entweder du routest "ALLEN Traffik" in einen VPN Trunnel in die Zentral - dann würde er dort über die Firewall rausgehen - soll er aber über den Proxy rausgehen - "MUST" du einen Proxy auf den Clients eintragen und nur die Applikation die den Proxy verwendet - geht den weg - den du möchtest. Dann würde das "nonat" so passen - vorrausgesetzt der Proxy kennt die Routen und mag auf für die IP´s antworten. Zitieren Link zu diesem Kommentar
firsttime 10 Geschrieben 28. September 2010 Autor Melden Teilen Geschrieben 28. September 2010 Hi, es gibt nur ein "nonat".. Sprich soll die Außenstelle nur über den Tunnel kommunizieren. Ein Proxy ist auch eingetragen. Nur kommt kein traffic zurück. Also wird er bestimmte Routen nicht kennen. Die muss ich wohl auf der zentralen FW eintragen. Die Frage, die ich mir Stelle ist ,welche statischen Routen setzt ich? Müsste auf der zentralen ein route inside 10.10.10.0 255.255.255.0 10.10.10.1 gesetzt werden? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 30. September 2010 Melden Teilen Geschrieben 30. September 2010 Hallo, wenn ich das hier ansehe : "Konfig Aussenstelle: access-list outside_crypto extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-list nonat extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-list inside_in extended permit ip 10.10.10.0 255.255.255.0 10.10.20.0 255.255.255.0 access-group inside_in in interface inside route outside 0.0.0.0 0.0.0.0 1.1.1.1 1" da steht was anderes was du sagst - da laufen nur die Pakete von 10.10.10.0 nach 10.10.20.0 in den Tunnel - alles andere nicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.