Failed to locate egress Interface

[Dutch_OnE 39]

Hallo,

 

ich habe eine Cisco ASA 5505 Firewall. Die Ersteinrichtung hat funktioniert und die FW ist auch online. Jedenfalls steht das Outside Interface auf Up.

 

Port 0 ist Vlan2 (Outside), alle anderen sind Vlan1 (Inside)

 

Wenn ich nun von einem Notebook auf 141.1.1.1 pinge, kommt die o.g. Meldung.

 

Meiner Meinung nach fehlt die Default Route, denn während bei Source sein eigenes Interface steht, ist Destination leer.

 

M.M. nach wechselt er nicht auf das Outside Interface. Jemand eine Idee ?

 

Gruß DO

[blackbox 10]

Hallo,

 

so default wird von der ASA ICMP geblockt - abgehend nicht aber die Rückantwort. Das ganze so zu sage - ohne Config ist wie Kaffeesatz lesen.

 

Lass uns doch deine Config zukommen (ohne DSL Daten) - dann können wir schauen!

[Otaku19 33]

ansonsten ist das troubleshooting in solchen Dingen IMMER gleich:

1.packet-tracer anwerfen, egal ob via CLI oder ASDM. der zeigt natürlich keine eventuellen Antwortpakete an, der kann nur eien Richtung simulieren

2.mitsniffern,geht ebenfalls via CLI und ASDM

3.log lesen und auf geblockte Pakete schauen.bei wenig traffic geht das sogar via CLI, im ASDM kann man aber sehr schön filtern,ansonsten->syslog server verwenden

[Dutch_OnE 39]

Hallo,

 

ich habe im Parameter pppoe vom vlan 2 noch setroute geschrieben. Nun scheint das Problem gelöst zu sein.

 

Jetzt machen die ACLs Probleme.

 

Ich habe den Router 192.168.12.254 und eine Notebook 192.168.12.100.

Diese Notebook soll ins Internet. Dazu habe ich dem Interface Inside http / https / icmp ins Interface Outside erlaubt.

 

Dennoch geht kein Ping und kein Seitenaufbau. Deny icmp src inside ... type 8 code 0. Beim Browsen steht nichts im Log. Der Router ist aber online.

 

Vermutlich da kein DNS und von außen kein icmp möglich.

Hat jemand eine Beispiel Konfig für einen normalen Internetzugang für mich ?

 

Im zweiten Schritt würde ich gerne den FTP Zugang von Outside nach Inside auf die IP 192.168.12.251 ermöglichen.

 

Dazu muss ich das in die ACL bauen und das Gerät in den NAT Rules eintragen?

 

Gruß DO

 

Anbei die Config:

 

ASA Version 8.4(3)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.12.254 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

pppoe client vpdn group Telekom

ip address pppoe setroute

!

ftp mode passive

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

object network obj_any

subnet 0.0.0.0 0.0.0.0

object service ftp

service tcp destination eq ftp

description FTP

pager lines 24

logging enable

logging asdm informational

mtu inside 1492

mtu outside 1492

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

object network obj_any

nat (inside,outside) dynamic interface

timeout xlate 3:00:00

timeout pat-xlate 0:00:30

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

http server enable

http 192.168.12.0 255.255.255.0 inside

http 217.91.68.22 255.255.255.255 outside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

telnet 192.168.12.0 255.255.255.0 inside

telnet timeout 5

ssh 217.91.68.22 255.255.255.255 outside

ssh timeout 5

console timeout 0

vpdn group Telekom request dialout pppoe

vpdn group Telekom localname feste-ip7/************@t-online-com.de

vpdn group Telekom ppp authentication pap

vpdn username feste-ip7/************@t-online-com.de password *****

 

dhcpd auto_config outside

!

dhcpd address 192.168.12.100-192.168.12.110 inside

dhcpd dns 192.168.12.254 interface inside

dhcpd lease 100000 interface inside

dhcpd enable inside

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

!

!

prompt hostname context

no call-home reporting anonymous

Cryptochecksum:262aab8c21f6d410bb07e561a896cd2c

: end

 

bearbeitet 15. Mai 2012 von Dutch_OnE

[MikeS 10]

leider funktioniert die ASA nicht als DNS weiterleitung, nachfolgend sollte ergo ein interner oder externer DNS Server stehen:

dhcpd dns 192.168.12.254 interface inside

 

auf der ASA geht ohne inspect kein icmp durch mit dem nachfolgenden sollte es aber passen:

policy-map global_policy
class inspection_default
 inspect icmp

 

Hiermit solltest Du die ASA auch pingen können:

icmp permit 192.168.12.0 255.255.255.0 inside

 

 

Für NAT zum FTP sollte es so passen (ab Version 8.3)

Erst ein Object anlegen:

object network FTP-Server

 

Die IP Adresse definieren:

host 192.168.12.251

 

NAT für das Object:

nat (inside,outside) static interface service tcp ftp ftp

 

Hier die Accessliste für das Object:

access-list outside_in extended permit tcp any object FTP-Server eq ftp

 

Damit die ACL an das Interface binden:

access-group outside_in in interface outside

 

 

 

Beste Grüße,

 

MikeS