ASA5510 Routing

[diavolo86]

und der Schluss

Code:

group-policy DfltGrpPolicy attributes
 banner none
 wins-server value A.B.80.10 A.B.80.12
 dns-server value A.B.80.10 A.B.80.12
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout 30
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol webvpn
 password-storage disable
 ip-comp disable
 re-xauth disable
 group-lock none
 pfs disable
 ipsec-udp disable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain value XXXXXXXXXXXXXX
 split-dns none
 intercept-dhcp 255.255.255.255 disable
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem disable
 backup-servers keep-client-config
 msie-proxy server none
 msie-proxy method no-modify
 msie-proxy except-list none
 msie-proxy local-bypass disable
 nac disable
 nac-sq-period 300
 nac-reval-period 36000
 nac-default-acl none
 address-pools none
 smartcard-removal-disconnect enable
 client-firewall none
 client-access-rule none
 webvpn
  functions url-entry file-access file-entry file-browsing mapi auto-download
  html-content-filter none
  homepage none
  keep-alive-ignore 4
  http-comp gzip
  filter none
  url-list value XXXXXXXXXXXXXX
  customization value DfltCustomization
  port-forward none
  port-forward-name value Application Access
  sso-server none
  deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information
  svc none
  svc keep-installer installed
  svc keepalive 15
  svc rekey time none
  svc rekey method none
  svc dpd-interval client 30
  svc dpd-interval gateway 30
  svc compression deflate
group-policy VPN internal
group-policy VPN attributes
 wins-server value A.B.80.10 A.B.80.12
 dns-server value A.B.80.10 A.B.80.12
 vpn-filter none
 vpn-tunnel-protocol IPSec 
 split-tunnel-network-list none
 default-domain value XXXXXXXXXXXXXX
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted privilege 0
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted privilege 15
username XXXXXXXXXXXXXX password XXXXXXXXXXXXXX encrypted
tunnel-group DefaultWEBVPNGroup general-attributes
 authorization-server-group LOCAL
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server A.B.80.10 master timeout 2 retry 2
tunnel-group VPN type ipsec-ra
tunnel-group VPN general-attributes
 address-pool VPN_Intern
 authorization-server-group LOCAL
 authorization-server-group (Extern) LOCAL
 default-group-policy VPN
 authorization-required
tunnel-group VPN ipsec-attributes
 pre-shared-key XXXXXXXXXXXXXX
smtp-server A.B.80.12
prompt hostname context 
Cryptochecksum:XXXXXXXXXXXXXX
: end

[mr._oiso]

hi diavolo86,



die Konfiguration ist ja starker Tobak !
Aber eine Frage sei erlaubt, was soll die ASA letzt endlich machen.
Ich gehen mal davon aus, dass diese Konfiguration die ist, welche nicht läuft.

Daher fangen wir am besten klein an !
Diese NAT Rule ist klar, das Netzwerk A.B.0.0/16 am Internen Interface soll
genattet werden !
Also normales PAT via Extern -> sämtliche Adressen aus A.B.0.0/16 werden über die ASA zu A.B.C.50. (Aussnahmen "access-list Intern_nat0_outbound")

bewirkt durch -> nat (Intern) 1 A.B.0.0 255.255.0.0

interface Ethernet0/0
description Extern
nameif Extern
security-level 0
ip address A.B.C.50 255.255.255.240
ospf cost 10
---------------------------------------------------
Alle Adresse, welche durch ACL "access-list Intern_nat0_outbound" erkannt werden, sind davon ausgenommen.
Bedeutet, wenn ein Host aus dem Netzwerk A.B.0.0/16 nach host A.B.80.40-42 möchte, soll kein NAT gemacht werden !

bewirkt durch -> nat (Intern) 0 access-list Intern_nat0_outbound

und

access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.40
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.41
access-list Intern_nat0_outbound extended permit ip A.B.0.0 255.255.0.0 host A.B.80.42

Im Zusammenhang mit :
ip local pool VPN_Intern A.B.80.40-A.B.80.49 mask 255.255.0.0
sieht es so aus, als wenn die ersten drei Mobilen User (dynamic VPN) ins
Interne Netzwerk dürfen (zumindest könnten) und dies restlichen 43-49 (7)
nicht.

Ist das so gewollt ? Interpretiere ich richtig ?
Und Du bist dir bewusst, dass Du für den mobilen User Adressen aus dem Internen Netzwerk verwendest, welche du dort auch frei haben solltest ?

Soviel erst einmal zu Teil 1

Greez

Mr. Oiso

[mr._oiso]

hi diavolo86,

re !

Wie in Teil 1 beschrieben, trifft PAT natürlich nur zu, wenn hier folgendes zuvor passiert ist. Sofern ein "static" inside to outside konfiguriert ist,
werden die externen Adressen "reserviert", ist das nicht der Fall,
so werden die verfügbaren Adressen A.B.C.53-54 und 57-62 der Reihe nach
aufgebraucht, 1:1 Nat, und dann erst geschieht PAT via Interface, also der 50

global (Extern) 1 A.B.C.57-A.B.C.62 netmask 255.255.255.240
global (Extern) 1 A.B.C.53-A.B.C.54 netmask 255.255.255.240
global (Extern) 1 interface

Soweit noch alles o.k.
Jetzt aber meine Frage !
access-list Extern_nat0_outbound extended permit ip any A.B.0.0 255.255.0.0
nat (Extern) 0 access-list Extern_nat0_outbound
Alles, was von extern nach intern soll, dafür gilt mit disen zei Einträgen
plötzlich kein Nat mehr ? Wozu ?
Damit sind diese beiden Nat Entries
static (Extern,Intern) A.B.80.51 A.B.80.41 netmask 255.255.255.255
static (Extern,Intern) A.B.80.52 A.B.80.42 netmask 255.255.255.255

gleich mal "unwirksam" , wobei ich eher glaube, dass du hier mit der externen IP 51 die interne 41 erreichen willst, und dann sollte der command so aussehen
static (Intern,Extern) A.B.80.51 A.B.80.41 netmask 255.255.255.255

Letztendlich zu diesen commands
static (Extern,Extern) A.B.80.50 A.B.80.40 netmask 255.255.255.255
static (Extern,Extern) A.B.C.53 access-list Extern_nat_static

welchen Sinn verfolgst du damit ?
Soweit ich das weiss, macht es nur Sinn, in zum Beispiel so einem Fall:
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Aber auch danach sieht es nicht aus !
Und...
static (Extern,Extern) A.B.C.53 access-list Extern_nat_static

sollte sicherlich nen https forwarding von der interface extern IP auf die 80.15 intern werden ! oder ?
von dem hier ganz zu schweigen,
static (Extern,Extern) A.B.80.50 A.B.80.40 netmask 255.255.255.255

sind 80.50 und 80.40 nicht Adressen......ah, 40-42 waren die aus dem vpn pool.... wieso wieder zu 80.50-52

Ich glaube eine Netzwerkskizze wäre angebracht.
Und ändere mal A.B.C.53 in reale Zahlen wie 1.2.3.53 und für A.B.80.50
dann 1.2.80.53

Irgendwie komme ich mit der Konfiguration noch nicht ganz klar !
Muss da mal ne Nacht mit schlafen !

Bimo

Greez

Mr. Oiso

[diavolo86]

Ja die Config ist echt starker Tobak das glaub ich dir

haben es soweit hinbekommen Mittlerweile verstehen wir auch die Lofik die dahinter steckt, der witz ist nur das das Forwarding mit SMTP nur etwas anders funktioniert hat, KA warum

Die VPN story ist sehr umständlich gelöst würde ich sagen, aber aus irgendeinem Grund hat es wohl nicht anders funktioniert
Die Clients welche sich über VPN einwählen, sollen direkten Zugriff auf das Netzwerk erhalten. Wir hatten es auch soweit, das wir eingewählt waren und eine IP vom DHCP bekommen haben, doch irgendwie hat das routing dann nicht funktioniert
Das ist aber derzeit nicht das Problem

Wie gesagt alle Ports umgebogen, funktioniert auch soweit!
Jetzt wird nur das SSM CSC Module von TrendMicro nicht mehr automatisch für SMTP angesprochen

LG Tobi