ASA 5510 konfigurationsproblem

[xunil2]

Hallo Leute,

ich bräuchte Hilfe bei der Konfiguration meiner ASA 5510 Secplus.
Umgebung:
Windows Domäne mit einem DC (DNS, DHCP), 30 Clients Office1 IP Addressen über DHCP, 10 Clients Office2 statische IP Addressen.

Die Konfiguration habe ich mir folgendermaßen vorgestellt:
Die Clients in Office1 als auch in Office2 nutzen den DC als File und DNS Server.
Internet: int e0/0 192.168.21.0 /24 angeschlossen an DSL Modem
Office1: int e0/1 192.168.3.0 /24
Office2: int e0/2 192.168.2.0 /24

Also soll folgendermaßen funktionieren:
Die Netze Office1 und Office2 sollen über die ASA ins Internet gehen und miteinander kommunizieren können.

Was funktioniert:
Office1 kann ins Internet und kann Hosts in Office 2 pingen.
Office2 kann ins Internet (sofern ein öffentlicher DNS Server angeben).

Was funktioniert nicht:
Office2 kann nicht nach Office1 pingen. Die Ausnahme ist, wenn ein Client aus Office1 eine verbindung mit einem Client in Office2 initiiert hat. Dann kann der Host aus Office2 den Client der die Verbindung initiiert hat auch anpingen. Andere Clients allerdings kann er nicht anpingen.

Ich bin am verzweifeln. Bitte helft mir.

Code:

: Saved
:
ASA Version 8.0(2) 
!
hostname fw02a
domain-name test.net
names
!
interface Ethernet0/0
 nameif office1
 security-level 100
 ip address 192.168.3.2 255.255.255.0 
 ospf cost 10
!
interface Ethernet0/1
 nameif office2
 security-level 100
 ip address 192.168.2.1 255.255.255.0 
 ospf cost 10
!
interface Ethernet0/2
 shutdown
 nameif officerz
 security-level 100
 ip address 192.168.4.253 255.255.255.0 
 ospf cost 10
!
interface Ethernet0/3
 nameif outside
 security-level 0
 ip address 192.168.21.2 255.255.255.0 
 ospf cost 10
!
interface Management0/0
 shutdown
 nameif management
 security-level 100
 ip address 192.168.5.1 255.255.255.0 
 ospf cost 10
!
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup office1
dns domain-lookup office2
dns server-group DefaultDNS
 name-server 192.168.3.252
 domain-name test.net
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol DM_INLINE_PROTOCOL_1
 protocol-object udp
 protocol-object tcp
access-list office2_access_in extended permit ip any any 
access-list office1_access_in extended permit ip any any 
pager lines 24
logging enable
logging asdm informational
mtu office1 1500
mtu office2 1500
mtu officerz 1500
mtu outside 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any time-exceeded outside
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 101 192.168.21.3 netmask 255.255.255.0
nat (office1) 101 192.168.3.0 255.255.255.0
nat (office2) 101 192.168.2.0 255.255.255.0
static (office1,office2) 192.168.3.0 192.168.3.0 netmask 255.255.255.0 
static (office2,office1) 192.168.2.0 192.168.2.0 netmask 255.255.255.0 
access-group office1_access_in in interface office1
access-group office2_access_in in interface office2
route outside 0.0.0.0 0.0.0.0 192.168.21.1 101
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.3.0 255.255.255.0 office1
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 192.168.3.0 255.255.255.0 office1
telnet timeout 25
ssh timeout 5
console timeout 0
management-access office1
!
no threat-detection basic-threat
threat-detection statistics access-list
!
!

: end
asdm image disk0:/asdm-602.bin
no asdm history enable

[blackbox]

Hi,

ich wundere mich etwas über deine NAT Einträge weil du ja same-security-traffic permit drin hast ?

[xunil2]

ohne nat hat es gar nicht funktioniert.
auch nicht mit "no nat-control".

[xunil2]

Hallo Leute,

habe jetzt zum test auf factory zurückgesetzt und nur das notwendigste konfiguriert.
Das heißt, nur 2 interne Interfaces mit dem gleichen Ergebnis. Aus dem 192.168.3.0 /24 kann ich in das 192.168.2.0 /24 pingen aber nicht umgekehrt.

Bin mit meinem Latein am Ende.

Code:

: Saved
:
ASA Version 7.0(8)
!
hostname fw02a
enable password xyzz encrypted
passwd xyz encrypted
names
dns-guard
!
interface Ethernet0/0
 speed 100
 nameif office1
 security-level 100
 ip address 192.168.3.2 255.255.255.0
!
interface Ethernet0/1
 speed 100
 nameif office2
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.5.1 255.255.255.0
 management-only
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging asdm informational
mtu management 1500
mtu office1 1500
mtu office2 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.5.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.5.2-192.168.5.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
Cryptochecksum:c31e34eb6f2613db15d78e76860ae21b
: end

[hegl]

Was sagt denn das logging im ASDM?