Cisco ASA: DMZ -> Intern (Schlupfloch)

[pete.db]

Hallo,
ich habe vor kurzem eine Cisco ASA hier übernommen.
Mehrere VPNs, mehrere Serverdienste...funktioniert alles wunderbar.
Nur die Kommunikation von Servern der DMZ ins interne Netz (beim IPCop heißt sowas Schlupflöcher) funktioniert nicht. Was muss ich hierfür tun?
Normalerweise doch: static -> ACL -> ACL auf interface binden -> OK

Und schaut euch mal bitte die nat-Statements an. Braucht es die alle? Scheint mir ein bisschen viel, bzw. recht kreuz und quer...

Danke euch schon mal

...die running-config im Anhang.

pete

[hegl]

Als Erstes soltest Du lernen mit dem Real-Time-Log-Viewer im ASDM zu arbeiten. Die GUI des ASDM ist mittlerweile echt hilfreich

Die Kommunikation von der DMZ nach intern kann nicht funktionieren, da das static command fehlt! Dies hättest Du mit dem Viewer ganz einfach gesehen

[pete.db]

Okay, da gebe ich dir recht.
Ich habe meine zahlreichen Versuche alle wieder aus der config rausgenommen.

Mein Eintrag sah so aus:

static (intern,dmz) 192.168.212.5 192.168.112.3 netmask 255.255.255.255
access-list TEST permit ip 192.168.212.5 255.255.255.0 192.168.112.3 255.255.255.0
access-group TEST in interface intern

Funzt nicht.

Zum Log-Viewer:
Das ist das Ding was auf der ersten Seite im ASDM unten angezeigt wird, richtig?
Ich kann schwer einschätzen auf welche Stufe ich das Logging setzen muss damit ich nicht zu wenig und nicht zu viele Infos dort angezeigt bekomme.

Hast du hier einen Tipp für mich?

Danke
pete

[hegl]

Zitat von pete.db Okay, da gebe ich dir recht. Ich habe meine zahlreichen Versuche alle wieder aus der config rausgenommen. Mein Eintrag sah so aus: static (intern,dmz) 192.168.212.5 192.168.112.3 netmask 255.255.255.255 access-list TEST permit ip 192.168.212.5 255.255.255.0 192.168.112.3 255.255.255.0 access-group TEST in interface intern Funzt nicht.

Klar, wenn Du von der DMZ nach intern willst, solltest Du auch die access-group an die DMZ binden! Da Du diese aber schon hast, musst Du Deine ACL entsprechend anpassen!

Zitat von pete.db Zum Log-Viewer: Das ist das Ding was auf der ersten Seite im ASDM unten angezeigt wird, richtig? Ich kann schwer einschätzen auf welche Stufe ich das Logging setzen muss damit ich nicht zu wenig und nicht zu viele Infos dort angezeigt bekomme. Hast du hier einen Tipp für mich? Danke pete

Im ASDM Monitoring wählen, dann Logging und Real-Time-Log-Viewer. Level am besten Debugging und dann auf View gehen. Hier kannst Du dann wunderbar einen Filter auf die IP setzen.

[pete.db]

Danke für die Info mit dem Log-Viewer. Funktioniert gut

Ich habe ja schon eine access-list für das dmz-interface in der config.
access-list DMZ permit ip any any (ich weiß nicht, wofür ich das brauche)
access-group DMZ in interface dmz

Auch wenn ich noch eine auf out interface dmz binde bekomme ich im Log-Viewer angezeigt:
no translation group found for icmp src dmz:192.168.212.5 dst intern: 192.168.112.3

[hegl]

schau mal was ich hier schon zum Besten gegeben habe...

http://www.mcseboard.de/cisco-forum-...rt-131793.html (ASA5505: PortForwarding für RDP funktioniert nicht)

[pete.db]

Okay.
aber wo brauche ich die access-list denn jetzt am dmz interface?
in oder out? Müsste doch eigentlich out sein, da ich ja von der dmz raus nach intern will.

Habe jetzt (nur zu Testzwecken..IT-Sicherheit ist anders, ich weiß) folgendes eingegeben:

access-list dmz permit ip any any
access-group dmz out interface dmz

jetzt bekomme ich angezeigt: deny inbound icmp src: dmz-pc dst: intern-pc
oder wenn ich auf ein netzlaufwerk will: inbound tcp connection denied from dmz-pc to intern-pc on interface dmz

[hegl]

Zitat von pete.db Okay. aber wo brauche ich die access-list denn jetzt am dmz interface? in oder out? Müsste doch eigentlich out sein, da ich ja von der dmz raus nach intern will.

Schau es Dir bildlich im ASDM an, indem Du Dir die Access Rule (unter Configuration\Firewall) anzeigen lässt. Hier bekommst Du im unteren Bereich (Voraussetzung ist, dass der Button Diagramm angeclickt ist) eine schöne bildliche Darstellung. In heisst, der traffic von einem Netz in sein interface rein und out aus seinem interface raus und damit ins angeschlossene Netz.

Also, entweder

access-group xyz in interface dmz oder
access-group xyz out interface intern

OK?

[pete.db]

Hmm...also demnach hätte es mit meiner Config im Anhang plus der dazugehörigen static doch funktionieren müssen.

da steht ja drin :
access-list DMZ permit ip any any
access-group DMZ in interface dmz

dazu dann die static:
static (intern,dmz) dmz-pc intern-pc netmask 255.255.255.255

Aber so funktioniert es nicht. dann bekomme ich "no translation group found for ..." angezeigt. Laut Doku lässt das auf einen Fehler in der nat-Konfiguration schließen.

PS: Danke dir übrigens für deine Geduld.

[pete.db]

Hab den Fehler gefunden.
Ich musste bei der ACL für nat 0 (heißt bei mir cryptoacl) die Kommunikation zwischen internem Netz und der DMZ hinzufügen.
Eigentlich hatte ich diese ACL bislang nur für die Site-to-Site VPNs in Arbeit.
Aber so funktioniet es. Jetzt muss ich die ACLs nur noch ein wenig einschränken.

Jedenfalls noch mal vielen Dank für die Tipps und die Erklärungen.

pete