Hoi Jungs!
Habe da ein etwas verzwicktes Problem mit einer Cisco ASA - bzw. ich kapiers nicht ganz - die ASA kann eh nichts dafür
.
Und zwar .. ich hab eine etwas komplizierte WAN Infrastruktur .. daher hierzu ein kleine skizze:
Erklärung:
Ich hab einen Cisco 3560 Switch der über einen (nonswitchport) ein /27 WAN Netz geroutet bekommt (via einem vermittlungsnetz). Von diesem Switch aus geht es wieder weiter (über ein VLAN weil jede menge andere infra dazwischen ist) via STATIC ROUTE zur ASA (dafür wieder ein vermittlungsnetz 10.10.2.0). Die ASA hat dann auf einem anderen (virtuellen) Interface (VLAN 200) die erste nutzbare IP des gerouteten Subnetztes.
Somit .. kann man von einem Routing in ein DMZ sprechen .. alle weiteren IPs hinter der ASA im VLAN 200 sind somit über die ASA nutzbar und mit ACLs für einzelne Services versehen - soweit auch kein Problem.
Allerdings .. mein Problem nun:
Ich will auf dem Eth0/1.200 Interface IPSEC Remote und Site2Site Tunnel
terminieren lassen (Tunnel Endpunkt). Das ist aber allerdings ein Ding der Unmöglichkeit weil ich es irgednwie nicht schaffe dort ein Paket hinzubekommen - alle Ips dahinter (in der DMZ) kann ich problemlos erreichen - nur die eigene der ASA nicht (von der DMZ zur ASA gehts allerdings). Es steht auch dazu NICHTS im Logg.
ACLs hab ich dazu auch runtergeschraubt das man eigentlich "fast alles" darf. Ausserdem müsste ich dann ein DENY sehen ..
Hat jemand eine Idee dazu ?
PS: Komplette Config (weil sehr sehr lang und mächtig) will ich euch jetzt nicht zuposten .. es geht mir viel mehr ums grundverständnis und um einen event. denkfehler .. aber wenns hilft tus ichs trotzdem gern.
DANKE & mfg
Cyver
