Cisco Forum — Allgemein

MYOEY · 30.05.2007, 17:17

Hallo,
Ich hab hier ein kleines Problem mit einer ASA5505! die ASA ist für PPPOE konfiguriert und bekommt IP Adresse (x.x.x.x) zugewiesen, es funkioniert alles funderbar bis auf folgendes:

Ein Notebook ist auf der ASA eingesteckt und bekommt auch einen IP Adresse(192.168.1.2) per DHCP zugewiesen, der kann aber nicht ins Internet anpingen!
Sobal ich von dem Notebook einen ping auf z. B. 141.1.1.1 aufsetzte, sehe ich folgende Meldung im Logg:
%ASA-7-609001: Built local-host outside:141.1.1.1
%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768
%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1
%ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session
%ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside
%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1
%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768
%ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02

Obwohl ich von der ASA die Adresse und jede andere Adresse anpingen kann!

Hab ich da was übersehen oder fehlt noch eine Zeile??

Danke für jede Hilfe bzw. Tipp!

PS:Config als Anhang!

Groß

MYOEY

MYOEY · 31.05.2007, 13:38

wird da was geblockt und ich habs übersehen??

thematrix · 31.05.2007, 13:46

Hi,

Du musst mit dem Befehl:

icmp permit/deny <ip-addresse/netz> <netmask> <ifname>

icmp explizit erlauben.

Bsp.:

icmp permit 192.168.0.0 255.255.255.0 inside

mit: clear icmp
kannste konfig löschen.

Gruss, thematrix

MYOEY · 31.05.2007, 15:02

Danke für deine Antwort.

Ich habe folgende commands nun drin:

icmp permit any outside
icmp permit 192.168.1.0 255.255.255.0 inside

Trotzdem hats nichts gebracht, weiterhin keine Anwort und die selbe Fehlmeldung im logg:

%ASA-7-609001: Built local-host outside:141.1.1.1
%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768
%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1
%ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session
%ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside
%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1
%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768
%ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02

Hat jemand noch eine Idee??

Gruß

MYOEY

thematrix · 31.05.2007, 16:20

so hab ich es gemacht:

icmp permit 0.0.0.0 0.0.0.0 outside

mturba · 31.05.2007, 21:53

"icmp permit" bezieht sich nur auf den ICMP-Traffic der ASA-Interfaces selbst, nicht aber auf den Verkehr, der durch die ASA durchgeht.

Du solltest also noch ICMP-Inspection anschalten:

Code:

policy-map global_policy
 class inspection_default
    inspect icmp

thematrix · 01.06.2007, 09:40

Zitat von mturba

"icmp permit" bezieht sich nur auf den ICMP-Traffic der ASA-Interfaces selbst, nicht aber auf den Verkehr, der durch die ASA durchgeht.

Du solltest also noch ICMP-Inspection anschalten:
Code:
policy-map global_policy
 class inspection_default
    inspect icmp

Soviel ich verstanden habe, will er die ASA anpingbar haben ....

hegl · 01.06.2007, 12:54

Zitat von thematrix

Soviel ich verstanden habe, will er die ASA anpingbar haben ....

Nein, er schreibt doch oben, dass er vom Notebook aus pingt!

CISCO sagt zu dem Fehler:

313004
Error Message: %PIX|ASA-4-313004: Denied ICMP type=icmp_type, from source_address oninterface interface_name to dest_address:no matching session Explanation
ICMP packets were dropped by the security appliance because of security checks added by the stateful ICMP feature that are usually either ICMP echo replies without a valid echo request already passed across the security appliance or ICMP error messages not related to any TCP, UDP, or ICMP session already established in the security appliance.

Recommended Action: None required.

Also würde ich in Deinem Fall auch auf das ICMP-Inspection setzen!

mturba · 01.06.2007, 14:11

Wobei er zusätzlich noch

Code:

permit icmp any any unreachable 
permit icmp any any time-exceeded

in seine Outside-Accessliste aufnehmen sollte, damit auch ein Traceroute durch die PIX funktioniert. Im Gg.satz zu der IOS-Firewall oder dem FWSM kann die ICMP-Inspection der ASA nur mit ICMP-Echos umgehen.

MYOEY · 04.06.2007, 12:58

Danke für die Antworten!
jep, mit "policy-map" wie mturba beschrieben hat, geht der ping durch.

Aber ich habe nun ein anderes Problem:
Der PC hinter der ASA soll über RDP (Port 3389) und http(port 80) erreichbar sein.
Folgende Port-forwarding bzw. Freischaltung hab ja eingerichet:

static (inside,outside) tcp x.x.x.x 25080 192.168.1.2 80 netmask 255.255.255.255
static (inside,outside) tcp x.x.x.x 33389 192.168.1.2 3389 netmask 255.255.255.255

access-list outside extended permit tcp any host x.x.x.x eq 33389
access-list outside extended permit tcp any host x.x.x.x eq 25080

Aber leider sobald ich mir über RDP oder http mit dem PC verbinden möchte, geht nicht und sehe ich folgende Fehlmeldung auf der ASA:

%ASA-7-710005: TCP request discarded from y.y.y.y/9795 to outside:x.x.x.x/33389
%ASA-7-710005: TCP request discarded from y.y.y.y/9847 to outside:x.x.x.x/25080

Kann jemand da vielleicht helfen?
Muß ich ja was noch freischalten oder was?
Hängt es wieder mit der "policy-map" irgendiwe zusammen?

Danke im voruas

Gruß

MYOEY

Cisco Forum — Allgemein

Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls