Microsoft MVPs inside

MCSEboard.de – IT Pro Forum zu Windows Server 2008 R2 / 2008 / 2003 & Windows 7 / Vista / XP
Zurück   MCSEboard.de MCSE Forum > MCSE Forum & Cisco Forum > Cisco Forum — Allgemein
Seite neu laden ASA VPN Problem mit ein und ausgang auf dem gleichen Interface
  SSL
Registrieren Hilfe Regeln Benutzerliste Suchen Heutige Beiträge Alle Foren als gelesen markieren

Cisco Forum — Allgemein


Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls

Antwort
Seite 1 von 2 1 2
     
Themen-Optionen
Alt 25.11.2010, 09:50   #1
Member
 
Offline
Registriert seit: 07-2005
Beiträge: 152
ASA VPN Problem mit ein und ausgang auf dem gleichen Interface
Hallo allerseits,

wir haben hier folgendes Szenario:

1 ASA 5510 auf ihr wir auf dem Outside interface ein Site 2 Site VPN mit einem zweiten STandort verbunden.
Zusätzlich dazu kann man sich per VPN Client einwählen.
Vpn in das Lan hinter der ASA geht. Versucht man nun aber vom VPNCLient zuhause auf den zweiten Standort zuzugreifen kommt:
Built inbound TCP connection xxx for outside host/port to outside host/port
Teardown TCP connection xxx for outside host/port ti outside host/port duration xx bytes 0 syn timeout.

Ist so etwas überhaupt machbar das man auf dem gleichen Interface rein und raus geht?

MFG

Kwel
    Mit Zitat antworten
Alt 25.11.2010, 10:22   #2
Board Veteran
 
Benutzerbild von Otaku19
 
Offline
Registriert seit: 05-2006
Ort: Wien
Beiträge: 1.699
ich glaube, dazu muss same-security-traffic permit intra-interface aktiv sein

Signatur
Done: 640-801; 640-553; 642-524;642-515; 642-892;642-832;642-504;640-863; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+

    Mit Zitat antworten
Alt 25.11.2010, 10:38   #3
Member
 
Offline
Registriert seit: 07-2005
Beiträge: 152
Hallo otaku19,

das habe ich vergessen zu erwähnen das ist schon aktiviert.
same-security-traffic permit intra-interface aktiv

Vorher kommt ja die Meldung das kein Traffic über das gleiche Interface gehen kann.
    Mit Zitat antworten
Alt 25.11.2010, 10:52   #4
Board Veteran
 
Offline
Registriert seit: 10-2005
Ort: Muenchen
Beiträge: 3.161
Mach mal nen capture drauf, es kommt halt keine Verbindung zustande.

Signatur
Werbung und Links sind hier verboten!!!

    Mit Zitat antworten
Alt 25.11.2010, 10:53   #5
Board Veteran
 
Benutzerbild von Otaku19
 
Offline
Registriert seit: 05-2006
Ort: Wien
Beiträge: 1.699
damit sollte es eigentlich funktionieren, ACLs/NAT muss eben auch noch passen, fertig.

Signatur
Done: 640-801; 640-553; 642-524;642-515; 642-892;642-832;642-504;640-863; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+

    Mit Zitat antworten
Alt 25.11.2010, 10:56   #6
Member
 
Offline
Registriert seit: 07-2005
Beiträge: 152
Mh ok werde mir die ACLs und das NAT noch mal anschauen.
Evenentuell hab ich da was übersehen.
    Mit Zitat antworten
Alt 25.11.2010, 11:24   #7
Board Veteran
 
Benutzerbild von Otaku19
 
Offline
Registriert seit: 05-2006
Ort: Wien
Beiträge: 1.699
zum capturen müsste man halt encryption nullen

packet-tracer kannst du ja auch mal anwerfen, nur hat mir der schon bei nur einem involviertem VPN noch nie was sinnvolles ausgespuckt -.-

Signatur
Done: 640-801; 640-553; 642-524;642-515; 642-892;642-832;642-504;640-863; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+

    Mit Zitat antworten
Alt 25.11.2010, 11:50   #8
Member
 
Offline
Registriert seit: 07-2005
Beiträge: 152
Mh ok so eine Frage wenn das Client VPN auf dem Outside Interface ankommt und von dort auch wieder weg geht.

Benötige ich dann eine NAT 0 Regel für das Outside interface ?
Source dyn_pool destination lan zweiter standort?


Naja der Paket Tracer ausgeführt auf
Outside TCP Source dyn_pool destination lan zweiter standort
sagt mir das die Acceslist Outside das paket dropped.
Geändert von Kweldulf (25.11.2010 um 12:11 Uhr).
    Mit Zitat antworten
Alt 25.11.2010, 12:13   #9
Member
 
Offline
Registriert seit: 07-2005
Beiträge: 152
Habe eine Regel für Outside incoming erstellt vpn_pool adressen nach lan zweiter standort ip permit.
In der Outside Cryptomap ist eingetragen

acceslist outside_cryptomap extend permit ip dyn_pool zeiter_standort

Damit geht er im Paket Manager weiter bis VPN Lookup.
Dann sagt er acl drop flow is denied by configured rule.


Kann es hier auch sein das er die Cryptomap nicht aktualisiert?
    Mit Zitat antworten
Alt 25.11.2010, 13:49   #10
Board Veteran
 
Benutzerbild von Otaku19
 
Offline
Registriert seit: 05-2006
Ort: Wien
Beiträge: 1.699
kommt mir zur "schwammig" vor, grade das nat thema ist sehr versionsabhängig,das muss man sich sehr genau anschauen

Signatur
Done: 640-801; 640-553; 642-524;642-515; 642-892;642-832;642-504;640-863; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+

    Mit Zitat antworten
Antwort
Seite 1 von 2 1 2


Themen-Optionen


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Citrix Web Interface - Problem bei Anmeldung 51th Windows Server Forum 3 04.04.2006 15:28
Wo Exchange Ausgang konfigurieren? simonak MS Exchange Forum 2 26.01.2005 09:13
help bei VGA ausgang xmix Windows Forum — Allgemein 1 20.01.2005 00:34
TV Ausgang nur monochrom! liepoloe Windows Forum — Allgemein 3 28.11.2004 01:01
VGA Ausgang und SCSI ;) CaIvin Off Topic 1 30.03.2004 21:28


Alle Zeitangaben in MEZ/CET. Es ist jetzt 09:26 Uhr. Seite generiert in 0,038 Sekunden.
Alle Foren als gelesen markieren |

- Unsere Partner -
Kontakt - MCSEboard.de - Nach oben - Impressum

Copyright © 2000 – 2012 MCSEboard.de

Sprung zum Seitenanfang