rob_67 10 Geschrieben 20. Oktober 2010 Melden Teilen Geschrieben 20. Oktober 2010 (bearbeitet) Hi, habe da mal ein Problem, habe eine ASA 5505 (7.2.5) aufgesetzt und NAT Regeln geschaffen jedoch ist NAT-control aus. Die ASA verwirft auf dem internen VLAN Pakete und loggt dies nicht. Ich nehme an, daß das die Rückpakete sind, die noch genatet sind. Muß NAT-control zwingend an sein, wenn ich aufs outside interface NAten will? Bei einer ASA 5510 SW Stand 8.2 ists egal, NAT control an oder aus interessiert nicht, da ja NAT Regeln da sind... Gruß Rob bearbeitet 20. Oktober 2010 von rob_67 Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Oktober 2010 Melden Teilen Geschrieben 20. Oktober 2010 jetzt mal Klartext, wer will wohin und was passiert ? Sprich: config Teile her log Einträge Fehlerbeschreibungen mit welchen man auch was anfangen kann ... Es hilft auch immer als erstes mal den packet-tracer anzuwerfen und zu capturen, dann erübrigen sich fast alle weiteren Fragen. nat-control an heisst lediglich das es nat rules geben MUSS, und wenn es eine exemption ist. Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Oktober 2010 Autor Melden Teilen Geschrieben 20. Oktober 2010 Hier die Konfig: : Saved : ASA Version 7.2(5) ! hostname ciscoasa domain-name default.domain.invalid names name 10.0.0.200 a name 10.100.100.160 b name 10.100.200.0 c name 172.16.0.48 d name 172.32.0.33 e ! interface Vlan2 nameif inside security-level 20 ip address 192.168.1.254 255.255.255.0 ! interface Vlan100 nameif outside security-level 0 ip address 192.168.2.146 255.255.255.252 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 switchport access vlan 100 ! ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid object-group network LAN_Test_clients description Erlaubte LAN PCs network-object host 192.168.1.100 network-object host 192.168.1.101 network-object host 192.168.1.102 network-object host 192.168.1.103 network-object host 192.168.1.104 network-object host 192.168.1.105 network-object host 192.168.1.106 network-object host 192.168.1.107 network-object host 192.168.1.108 network-object host 192.168.1.109 network-object host 192.168.1.10 network-object host 192.168.1.110 network-object host 192.168.1.111 network-object host 192.168.1.112 network-object host 192.168.1.113 network-object host 192.168.1.114 network-object host 192.168.1.115 network-object host 192.168.1.116 network-object host 192.168.1.117 network-object host 192.168.1.118 network-object host 192.168.1.119 network-object host 192.168.1.11 network-object host 192.168.1.12 network-object host 192.168.1.13 network-object host 192.168.1.14 network-object host 192.168.1.15 network-object host 192.168.1.16 network-object host 192.168.1.17 network-object host 192.168.1.18 network-object host 192.168.1.19 network-object host 192.168.1.20 network-object host 192.168.1.21 network-object host 192.168.1.22 network-object host 192.168.1.23 network-object host 192.168.1.24 network-object host 192.168.1.25 network-object host 192.168.1.26 network-object host 192.168.1.27 network-object host 192.168.1.28 network-object host 192.168.1.35 network-object host 192.168.1.37 network-object host 192.168.1.40 network-object host 192.168.1.41 network-object host 192.168.1.42 network-object host 192.168.1.9 object-group network Inside_NAT_Hosts network-object host 192.168.1.29 network-object host 192.168.1.2 network-object host 192.168.1.30 network-object host 192.168.1.32 network-object host 192.168.1.33 network-object host 192.168.1.36 network-object host 192.168.1.38 Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Oktober 2010 Autor Melden Teilen Geschrieben 20. Oktober 2010 object-group network DM_INLINE_NETWORK_3 group-object LAN_Test_clients group-object Inside_NAT_Hosts object-group network DM_INLINE_NETWORK_4 group-object LAN_Test_clients group-object Inside_NAT_Hosts object-group network DM_INLINE_NETWORK_5 group-object LAN_Test_clients group-object Inside_NAT_Hosts object-group network DM_INLINE_NETWORK_6 network-object b 255.255.255.240 network-object b 255.255.254.0 network-object d 255.255.255.240 network-object a 255.255.255.248 network-object host e object-group network DM_INLINE_NETWORK_7 group-object LAN_Test_clients group-object Inside_NAT_Hosts object-group network Outside_NAT_Addresses network-object host 192.168.1.2 network-object host 192.168.5.1 network-object host 192.168.5.2 network-object host 192.168.5.3 network-object host 192.168.5.4 network-object host 192.168.5.5 network-object host 192.168.5.6 network-object host 192.168.2.150 access-list inside_access_in extended permit icmp object-group DM_INLINE_NETWORK_1 192.168.2.144 255.255.255.252 log access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_2 a 255.255.255.248 log access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_3 b 255.255.254.0 log access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_4 b 255.255.255.240 log access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_5 d 255.255.255.240 log access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_7 host e log access-list inside_access_in extended deny ip any any log access-list outside_access_in extended permit ip object-group DM_INLINE_NETWORK_6 object-group Outside_NAT_Addresses log access-list outside_access_in extended deny ip any any log pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip verify reverse-path interface outside icmp unreachable rate-limit 1 burst-size 1 icmp permit 192.168.1.0 255.255.255.0 inside icmp deny any inside icmp permit any echo-reply outside icmp permit host 192.168.2.145 echo outside icmp deny any outside asdm image disk0:/asdm-525.bin no asdm history enable arp timeout 14400 nat (inside) 1 192.168.1.0 255.255.255.0 static (inside,outside) 192.168.2.150 192.168.1.38 netmask 255.255.255.255 static (inside,outside) 192.168.5.2 192.168.1.29 netmask 255.255.255.255 static (inside,outside) 192.168.5.3 192.168.1.30 netmask 255.255.255.255 static (inside,outside) 192.168.5.4 192.168.1.32 netmask 255.255.255.255 static (inside,outside) 192.168.5.5 192.168.1.33 netmask 255.255.255.255 static (inside,outside) 192.168.5.6 192.168.1.36 netmask 255.255.255.255 static (inside,outside) 192.168.5.1 192.168.1.2 netmask 255.255.255.255 access-group inside_access_in in interface inside access-group outside_access_in in interface outside route inside 0.0.0.0 0.0.0.0 192.168.1.1 1 route outside d 255.255.255.240 192.168.2.145 1 route outside a 255.255.255.248 192.168.2.145 1 route outside b 255.255.254.0 192.168.2.145 1 route outside c 255.255.255.240 192.168.2.145 1 route outside e 255.255.255.255 192.168.2.145 1 Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Oktober 2010 Autor Melden Teilen Geschrieben 20. Oktober 2010 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute aaa authentication http console LOCAL aaa authentication ssh console LOCAL http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no vpn-addr-assign aaa no vpn-addr-assign dhcp no vpn-addr-assign local telnet timeout 5 ssh 192.168.1.0 255.255.255.0 inside ssh timeout 5 console timeout 0 management-access inside ! ! prompt hostname context Cryptochecksum:6287c2aa299b962db513d2a622bc085f : end global (outside) 1 interface object-group network DM_INLINE_NETWORK_1 group-object LAN_Test_clients group-object Inside_NAT_Hosts object-group network DM_INLINE_NETWORK_2 group-object LAN_Test_clients group-object Inside_NAT_Hosts Logfile habe ich leider nicht, da die ASA nichts loggt, die Pakete sind erlaubt, werden genatet und gehen raus, auch die Antwort kommt zurück, jedoch kommt diese nicht beim client an. Beide Interfaces sind UP, nur das Inside VLAN zählt gedroppte Pakete hoch. Leider komme ich nicht dauernd an diese ASA ran... So daß das die Fehlersuche stark einschränkt. Habe auch schon gesniffert, genatete Pakete kommen am Gateway an. Diese werden laut externem Diensleister auch zurückgesendet... Bin ein bisschen ratlos. Ist eigentlich nichts gewaltiges. Die 5510, die ich im Ensatz habe funzt problemlos. Habe nachträglich ICMP Regeln eingefügt, da bekomme ich zumindest mal auf einen Ping nach außen eine Antwort, aber TCP in andere Netze geht nicht, kann dahinein leider nicht pingen. Gruß Rob Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Oktober 2010 Autor Melden Teilen Geschrieben 20. Oktober 2010 Packet Tracer sagt, alles OK Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Oktober 2010 Autor Melden Teilen Geschrieben 20. Oktober 2010 Anbei noch einmal die Konfig, da wohl ein bißchen durcheinander geraten ist durch die Zeichenbeschränkung FW-edit.txt Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 21. Oktober 2010 Autor Melden Teilen Geschrieben 21. Oktober 2010 Hi, also es ist doch nicht die ASA, der Dienstleister hat mir nicht die Wahrheit gesagt, ich habe ein Konfigfehler auf die falsche NAT Adresse und hinter der ASA hängt ein VPN Router, darüber gehts in andere Private Netze mit Firewalls und die Interface Adresse scheint nicht erlaubt zu sein, sondern ich muss einfach mal auf die richtige Adresse NATen, die gedroppten Pakete sind dann doch LAN Geschichten. Mich hat bloß erstaunt, daß die ASA loggen soll, was sie auch macht, aber irgendwelche LAN Geschichten loggt sie halt doch nicht mit... Gruss Rob Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 21. Oktober 2010 Melden Teilen Geschrieben 21. Oktober 2010 Hi, doch sie loggt wenn du den packet-tracer richtig einstellst "alles" - das kannst du dir dann nur nicht mehr in der ASA anschauen - sondern nur mit PCAP Programme Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 21. Oktober 2010 Autor Melden Teilen Geschrieben 21. Oktober 2010 Hi Blackbox, dann wäre ich über einen kleinen Tip dankbar, wie das geht... Gruß Rob Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 21. Oktober 2010 Melden Teilen Geschrieben 21. Oktober 2010 das ist nicht der packet-tracer, das ist dann capture ;) und da sieht man nicht warum ein Paket vielleicht auf der einen Seite rein, aber nicht auf der anderen wieder raus gekommen ist Also jetz tmal bei Butter bei de Fisch...von WO nach WO soll WAS transportierte werden, und zwar diesmal in IP Adressen Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 21. Oktober 2010 Melden Teilen Geschrieben 21. Oktober 2010 Ups - habe gesehen - das du noch ne 7er Version am rennen hast. Glaube das ging erst ab der 8er :-( Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 21. Oktober 2010 Melden Teilen Geschrieben 21. Oktober 2010 tracer gibts ab 7.2 afaik Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 21. Oktober 2010 Melden Teilen Geschrieben 21. Oktober 2010 Hi Otaku19, du kannst damit doch gut sehen ob die Kiste ein Paket dropt oder es weiterreicht - wenn es gedropt wird - kommt es auch hinten im Capture nicht mehr raus. Da sieht man auch ob die Pakete überhaupt ankommen - und das war hier genau das Problem Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 22. Oktober 2010 Melden Teilen Geschrieben 22. Oktober 2010 ich sagte ja auch WARUM nicht WENN/OB ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.