Cisco Forum — Allgemein

diavolo86 · 08.04.2008, 16:10

Hi,

wir haben eine ASA5510, und wollen ein Routing durchführen.
Und zwar hat die ASA z.B. die 100.100.100.1 (ext) und 200.200.200.1 (int) wenn aber etwas extern auf die 100.100.100.3 kommt, soll alles was HTTPS verkehr ist auf die 200.200.200.10 weitergeleitet werden.

Ist dieses so machbar, oder muss ich die route in unserem Router konfigurieren und das Routing dafür in der ASA freigeben?

Danke

Lg Tobi

mr._oiso · 08.04.2008, 18:56

Hi diavolo86,

ein "forwarding" static sollte hier reichen.

static (inside,outside) tcp 100.100.100.3 https 200.200.200.10 https netmask 255.255.255.255

Greez

Mr. Oiso

diavolo86 · 10.04.2008, 09:15

Das hatte ich schon einmal getestet, doch leider hat dieses nicht funktioniert.
Ich denke das es daran liegt, das die ASA nur die 100.100.100.1 auf dem Ext. Interface besitzt und somit den restlichen Traffic nicht an nimmt.
Ich habe gestern mir nochmals mein ASDM Handbuch angeschaut und dabei ist mir aufgefallen, das man ein "Subinterface" anlegen kann. Damit sollte dieses dann möglich sein oder?

Ich werde dieses auf jedenfall einmal austesten am WE.
Danke!

diavolo86 · 10.04.2008, 10:08

Nur das ich richtig bin du meinst mit dem Forwarding das ich dieses über die "Add a Static Policy NAT Rule" durchführe, oder???

mr._oiso · 10.04.2008, 21:34

hi diavolo86,

genau, ja das meine ich.
Ein Beispiel wie ich es im Feld laufen habe:

interface Ethernet0/0
description External
nameif outside
security-level 0
ip address A.B.C.91 255.255.255.248
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 172.16.0.0 255.255.0.0
nat (dmz) 0 access-list nonat
nat (dmz) 1 10.0.0.0 255.255.255.0
static (dmz,outside) tcp interface smtp 10.0.0.4 smtp netmask 255.255.255.255
static (dmz,outside) tcp A.B.C.92 www 10.0.0.6 www netmask 255.255.255.255
static (dmz,outside) tcp interface pop3 10.0.0.4 pop3 netmask 255.255.255.255
static (inside,dmz) 10.0.0.102 172.16.1.4 netmask 255.255.255.255
static (inside,dmz) 10.0.0.103 172.16.1.29 netmask 255.255.255.255

Allerdings hast Du mich jetzt wahrscheinlich auf dem falschen Fuss erwischt

Ich fahre hier eine ASA5510 mit Version 7.2.2 und ohne Vlan Lizenz.
Jedoch bin ich der Meinung, das die Vlan's hier keine Rolle spielen, da sie
letztlich auch nameif outside konfiguriert sind.

Natürlich solltest Du darauf achten, dass Du die allg. NAT Rule im Griff hast und eine "outside_access_in in interface outside" hast, welche den syn https durchlässt.
Ohne den HTTPS von aussen frei zu machen, kann die static PAT (NAT) rule nicht funktionieren.
Ich werde es auf jeden Fall zum Wochenende mal selber im Release 8.0.3 testen, da ich dort auch nen https Citrix WebAccess benötige.

Ansonsten ist aus diesem Dokument viel rauszuholen !
Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Configuring NAT* [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

Greez

Mr. Oiso

mr._oiso · 10.04.2008, 21:39

hi again,

check out :

global (outside) 1 100.100.100.1-100.100.100.3

Und poste mal den Guide aus dem Du die Sache mit dem Subinterface hast !

Nice evening

Greez

Mr. Oiso

diavolo86 · 11.04.2008, 13:45

Ich hab das hier nur im ausgedruckten format. Ist aber der ASDM Userguide Version 5.2(1).

Mit dem Global outside was meinst du damit? wir konfigurieren die ASA derzeit nut über das ASDM konfig hab ich zwar mal gelernt ist aber auch schon wieder 3 Jahre her und leider nur standart routing mehr nicht.

Heist das ich kann einem Interface einen Pool von IP's zuweisen von 1-3??

THX

LG Tobias

mr._oiso · 11.04.2008, 17:46

hi diavolo86,

hier die Antwort zu letzten Frage: ja !

Was meine ich mit global !

NAT: Local and Global Definitions* [IP Addressing Services] - Cisco Systems

Du legitimierst quasi die ASA damit auf Adress-Räume zu reagieren.
Mit dem Befehl "global (outside) 1 interface"
Bezieht sie sich also genau auf dass, was am Interface konfiguriert wurde.
z.B. einen Adress-Raum 100.100.100.1/24
Diesen Eintrag verwendet sie für ihre Nat-Rules.
Ist der Eintrag z.B. nur 100.100.100.1/32 am Interface, dann
wäre "global (outside) 1 interface" das selbe wie global (outside) 1 100.100.100.1

Mit dem Befehl 100.100.100.1-100.100.100.3 beschränkst Du nur den Adr.-Raum für die Adressen die sie dazu verwenden soll.

Bei der ASDM müsste ich also erst nachschauen wo Du das einstellen kannst !

Deshalb wage doch mal den Schritt: telnet 200.200.200.1
und zeige uns hier den Output von "show run"

Tip: Nimm bitte sämtliche Passwörter raus, und vergiss dabei DNS-namen nicht, wenn es sich um eine Finale Konfiguration handelt.

Somit können wir auch gelich die ACL's mal einsehen !
Die sind nämlich immer gerne "Big-Problems"

Greez

Mr. Oiso

diavolo86 · 12.04.2008, 16:27

Hi Mr._OISO

danke schonmal für deine ganze Hilfe
Haben heute einiges probiert sind aber leider nicht zum erwünschten Ziel gekommen. Nach einigem hin und her haben wir in der ASA den Punkt gefunden um die Global konfiguration durchzuführen.

somit haben wir zumindest erreicht das die ASA alle unsere IP's blockt

und antwortet

Nach vielen versuchen mit der ACL und vielen NAT Rules, haben wir uns dazu entschlossen, dir unsere Running-Config zu posten.
Ich hoffe du kannst uns dabei weiterhelfen, denn wir wissen wirklich nicht mehr weiter.

Zur info, die 80.12 ist unser Mail Server, wobei das Routing dorthin auch noch nicht funktioniert. Dieses ist auf unseren alten ASA sehr komplex Konfiguriert, da eine 2. Firewall das routing übernimmt, und die ASA nur mit dem MicroTrend Modul die E-Mails checked.

Code:

Result of the command: "sh running-config"

: Saved
:
ASA Version 7.2(3) 
!
hostname XXXXXXXX
domain-name XXXXXXXXXXXXXXXXXXX
enable password XXXXXXXXXXXXXXXXXXX encrypted
names
!
interface Ethernet0/0
 description Extern
 nameif Extern
 security-level 0
 ip address A.B.C.50 255.255.255.240 
 ospf cost 10
!
interface Ethernet0/1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 description Intern
 nameif Intern
 security-level 100
 ip address A.B.80.2 255.255.0.0 
 ospf cost 10
!
interface Management0/0
 shutdown
 nameif management
 security-level 100
 ip address 192.168.50.1 255.255.255.0 
 ospf cost 10
 management-only
!
passwd XXXXXXXXXXXXXX encrypted
boot system disk0:/asa723-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Extern
dns domain-lookup Intern
dns server-group DefaultDNS
 name-server XXXXXXXXXXXXXX
 name-server XXXXXXXXXXXXXX
 domain-name XXXXXXXXXXXXXX
object-group network VPN
 network-object host A.B.80.50
access-list Extern_nat0_outbound extended permit ip any A.B.0.0 255.255.0.0 
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.40 
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.41 
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.42 
access-list Intertronic standard permit A.B.0.0 255.255.0.0 
access-list Intern_mpc extended permit tcp host A.B.80.12 any eq smtp 
access-list Extern_mpc extended permit tcp any host A.B.80.12 eq smtp 
access-list Extern_nat_static extended permit tcp host A.B.C.53 eq https host A.B.80.15 eq https 
pager lines 24
logging enable
logging asdm debugging
mtu Extern 1500
mtu Intern 1500
mtu management 1500
ip local pool VPN_Intern A.B.80.40-A.B.80.49 mask 255.255.0.0
no failover
monitor-interface Extern
monitor-interface Intern
monitor-interface management
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
nat-control
global (Extern) 1 A.B.C.57-A.B.C.62 netmask 255.255.255.240
global (Extern) 1 A.B.C.53-A.B.C.54 netmask 255.255.255.240
global (Extern) 1 interface
nat (Extern) 0 access-list Extern_nat0_outbound
nat (Intern) 0 access-list Intern_nat0_outbound
nat (Intern) 1 A.B.0.0 255.255.0.0
nat (management) 0 0.0.0.0 0.0.0.0
static (Extern,Extern) A.B.80.50 A.B.80.40 netmask 255.255.255.255 
static (Extern,Intern) A.B.80.51 A.B.80.41 netmask 255.255.255.255 
static (Extern,Intern) A.B.80.52 A.B.80.42 netmask 255.255.255.255 
static (Extern,Extern) A.B.C.53  access-list Extern_nat_static 
route Extern 0.0.0.0 0.0.0.0 A.B.C.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute

diavolo86 · 12.04.2008, 16:28

Weiter führung:

Code:

http server enable
http 192.168.50.2 255.255.255.255 management
http A.B.80.117 255.255.255.255 Intern
http A.B.80.103 255.255.255.255 Intern
http A.B.80.104 255.255.255.255 Intern
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Extern_dyn_map 20 set pfs 
crypto dynamic-map Extern_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map Extern_dyn_map 40 set pfs 
crypto dynamic-map Extern_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map Extern_map 65535 ipsec-isakmp dynamic Extern_dyn_map
crypto map Extern_map interface Extern
crypto isakmp enable Extern
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map Intern-class
 match access-list Intern_mpc
class-map inspection_default
 match default-inspection-traffic
class-map Extern-class
 match access-list Extern_mpc
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
policy-map Mail1
 class Extern-class
  csc fail-open
  inspect esmtp 
policy-map Mail
 class Intern-class
  csc fail-open
  inspect esmtp 
!
service-policy global_policy global
service-policy Mail1 interface Extern
service-policy Mail interface Intern
ntp server 194.95.250.35 source Extern prefer
ntp server 194.95.250.36 source Extern
webvpn
 svc image disk0:/sslclient-win-1.1.0.154.pkg 1
 svc enable

Cisco Forum — Allgemein

Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls