Stefan W 14 Geschrieben 5. Juli 2012 Melden Teilen Geschrieben 5. Juli 2012 Hi ich habe folgende Situation. Auf einer Kundenfirewall wurde lediglich die externe IP Adresse unserer Firma in der ACL eingetragen, und diverse Ports wurden freigeschaltet. Jedoch lediglich für unsere externe IP. Wir haben eine ASA 5505 welche wir für VPN Verbindungen der MA nutzen. Sobald ein MA via VPN verbunden ist, und sich zum Kunden hinverbinden will, kommt er nicht durch. Jedoch - ich habe im Firewalllog mitgeschaut - versucht der MA es nicht über unsere Firewall, sondern geht über seine eigene Internetleitung und scheitert natürlich. Wo kann ich auf der asa festlegen, dass er eine hand voll bestimmter IPs über den Gateway in der Firma routen soll, und nicht, wie standardmäßig nur IPs in unserem Subnet. danke lg Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 5. Juli 2012 Melden Teilen Geschrieben 5. Juli 2012 Hallo, das ist ja nicht so einfach - überleg mal - wie willst du das Routing mäßig machen - die Firewall hat ja eine Route nach "0.0.0.0" - und welche Route sollen denn dann die VPN Clients bekommen. Einzig was du machen kannst - route doch auf der ASA die "externe" IP des Kunden von dieser auf die andere ASA (als feste Route). Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 5. Juli 2012 Melden Teilen Geschrieben 5. Juli 2012 nö, das klappt schon, musst eben deinen split-tunnel abkonfigurieren/umkonfigurieren Möglichkeit 1: du nimmst die ganzen Kundennetze mit auf->eher Käse Möglichkeit 2: split-tunnel ganz sein lassen, das ist sowieso nicht zu empfehlen. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 6. Juli 2012 Autor Melden Teilen Geschrieben 6. Juli 2012 Hallo Möglichkeit1 gefällt mir, da es sich um lediglich eine einzige IP handelt, und dies lediglich bis maximal Ende des Jahres sein soll. Möglichkeit2 gefällt mir nicht, wenn ich es richtig verstehe, geht dann jegliche Kommunikation über unsere Firewall und der MA hat zB keine möglichkeit mehr in seinem Heim-Netz etwas zu tun (zB auf Netzwerkdrucker zugreifen) - korrigiert mich wenn ich falsch liege Zurück zu Möglichkeit 1: wie ist das zu realisieren? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 6. Juli 2012 Melden Teilen Geschrieben 6. Juli 2012 so ist es...aber er kann seien vpn verbindung auch nicht "teilen". ob beabsichtigt oder nciht ist das nämlich ein security hole. zur möglichkeit 1 gibts eien acl wo die in den tunnel zu routenden Netze/hosts drin stehen, da gibst du einfach die weiteren Adressen dazu. Allerdings habe ich keien Ahnugn wie sich das auf die Perfomance auswirkt, bei ipsec ist zb schwer abzuraten viele verschiedene Ziele zu definieren. Bei ssl vpn spielt das aber glaub ich keinerlei Rolle mehr Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 9. Juli 2012 Autor Melden Teilen Geschrieben 9. Juli 2012 Hi, danke für die Antwort somit fällt Möglichkeit 2 aus dem Rennen und Möglichkeit 1 gewinnt :) Das VPN ist damals leider von mir, noch von den Kollegen eingerichtet worden, und ist seitdem nur mehr wenn neue User angelegt wurden, angegriffen worden. Auf der ASA finde ich mich aufgrund der zig tausend Einstellungen irgendwie nicht 100%ig zu recht. Ich habe zwar unter Rem.AccessVPN - Network(Client)Access - Group Policies - NameDerVPNVerbindung - Advanced - Splittunnelling unter "Network List" etwas gefunden, jedoch kann ich hier nur ACLs definieren. Bin ich hier überhaupt richtig? falls ja, wie definiere ich die zusätzliche Route? Danke fürs auf die Sprünge helfen eines Asa Neulings :P Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 9. Juli 2012 Melden Teilen Geschrieben 9. Juli 2012 via CLI müsste es einen Eintrag ala: split-tunnel-policy tunnelspecified split-tunnel-network-list value blafasel geben,blafasel ist eine acl ala: access-list blafasel standard permit 192.168.1.0 255.255.255.0 diese acl erweiterst du dann um deine Handvoll IPs und fertig. Im ASDM kannst du eben da wo du da grade warst einfach rechts auf manage klicken, da kannst du die acl auch bearbeiten, dazu klickst du die acl an die da angewhlt ist und klickst auf "Add ACE". An welcher Stelle die Einträge sind spielt keine Rolle. Die ACL kannst du auch schnell via "Firewall" - "Advanced" - "Standard ACL" erreichen Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 9. Juli 2012 Melden Teilen Geschrieben 9. Juli 2012 was ich vergessen habe, ich nehme mal stark an das die VPN User sicher am selben Interface der ASA "ankommen" wie auch die verbindung raus zur Partnerfirma laufen, da muss die Option: same-security-traffic permit intra-interface aktiv sein,schaltet man mit exakt dem gleichen Befehl ein. Im ASDM ist das unter Device Setup - Interfaces zu finden, hakerl bei enable traffic between two or more hosts connected to the same interface Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 9. Juli 2012 Autor Melden Teilen Geschrieben 9. Juli 2012 was ich vergessen habe, ich nehme mal stark an das die VPN User sicher am selben Interface der ASA "ankommen" wie auch die verbindung raus zur Partnerfirma laufen, da muss die Option:same-security-traffic permit intra-interface aktiv sein,schaltet man mit exakt dem gleichen Befehl ein. Im ASDM ist das unter Device Setup - Interfaces zu finden, hakerl bei enable traffic between two or more hosts connected to the same interface DAS war der springende Punkt - den Rest hatte ich bereits richtig konfiguriert gehabt :) nur darauf bin ich nicht gekommen. Erfahrung hilft - danke nochmals :) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 9. Juli 2012 Melden Teilen Geschrieben 9. Juli 2012 das weiß auch niemand der sich nicht dauernd damit beschäftigt :D und selbst dann fällts einem nur so nebenbei ein wie mir grade :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.