ASA5505 Frage?

[MYOEY]

Ich denke schon! hier sind alle ACL's

access-list inside_access_in extended permit ip 192.168.4.0 255.255.255.0 any
access-list inside_access_in extended permit icmp 192.168.4.0 255.255.255.0 any

access-list outside_access_in extended permit ip 10.20.1.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list outside_access_in extended permit icmp any any

access-list noNAT extended permit ip 192.168.4.0 255.255.255.0 10.20.1.0 255.255.255.0
access-list IPSec_ACL extended permit ip 192.168.4.0 255.255.255.0 10.20.1.0 255.255.255.0



Fehlt noch was vielleicht?

[MYOEY]

Ich hab's nun soweit hingekriegt, dass die dhcp requests drüben ankommen :-)
Die DHCP Requests kommen nun an der Gegenstelle (ASA5520) an aber sie werden gedropt, hier ist die Zeile aus Log:

Aug 10 10:38:16 X.X.X.X %ASA-3-713061: Group = Remote-Office, IP = X.X.X.X, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 10.20.1.1/255.255.255.255/0/0 on interface outside


die ACL auf der Centrale Office sieht wie folgt:

access-list noNAT extended permit ip 10.20.1.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list IPSec_ACL extended permit ip 10.20.1.0 255.255.255.0 192.168.4.0 255.255.255.0

wie kann ich nun die ASA in der Zentrale dazu bringen, diesen Request suaber an den DHCP Server (IP:10.20.1.1) weiterzuleiten?


welche command fehlen noch?


Thanks im voraus!

[MYOEY]

Na leute, keine Idee/Tipp ... die Clients hinter der ASA5505 kriegen weiterhin keine IP's vom DHCP server!

Muß was spezielles an der ASA5520 in der Zentrale konfiguriert werden?


Gruß

[hegl]

Zitat von MYOEY @hegl: was meinst du genauer? was sollte noch konfigurieret werden? bitte commands! vielleicht liegt es noch daran!

Für die Remote-ASA:

Code:

access-list outside_cryptomap_10 permit ip host Remote-ASA-outside-IP host DNS-Server 
access-list outside_cryptomap_10 permit ip <Remote-LAN> <LAN-RZ>
access-list 100 permit ip host Remote-ASA-outside-IP host DNS-Server 
access-list 100 permit ip < Remote-LAN> <LAN-RZ>

Analog musst Du natürlich dies auch auf der zentralen ASA konfigurieren.

Wenn das laufen sollte, kannst du die ACL´s natürlich auf die nötigsten Ports beschränken.

[Otaku19]

wenn man sich mit ACLS gerne verhaspelt dann bitte immer captures aufsetzen (bei tunneln halt leider nicht auf beiden Interfaces möglich) und den packet-tracer Befehl nutzen. Dann muss hier auch niemand raten was du so alles in den ACLs stehen hast

[MYOEY]

@hegl:
vielen dank, es hat geklappt, nachdem ich wie vorgeschlagen die Peer IP's im cryptomap aufgenommen hab.

@all
Danke noch mal!


Grüße

[hegl]

Zitat von MYOEY @hegl: vielen dank, es hat geklappt, nachdem ich wie vorgeschlagen die Peer IP's im cryptomap aufgenommen hab.

...und das, obwohl ich statt DHCP-Server, DNS-Server geschrieben habe...aber man ist ja flexibel