Cisco ASA & NAT

[MYOEY]

Hallo leute,
ich bitte um eure Hilfe bei dem folgenden Problem:

Client mit der IP:172.16.1.3 kann den Webserver hinter der ASA weder pingen noch darauf zugreifen (Siehe Anhang) aber er kann die outside IP der ASA(10.0.0.254) problemlos anpingen, Traffic für den Webserver kommt einfach an der ASA nicht an!

wenn ich vom Client aus die outside IP der ASA anpinge, sehe ich es auch im log der ASA aber ich sehe den an Webserver gerichteten Traffic im log der ASA überhaupt nicht!!!

Ich hab mich zwischen dem Router(outside) und ASA(outside) im Netz10.0.0.0/24 mit Wireshark gehängt und sehe nur ARP Request vom Router mit folgendem Inhalt:

"who has 10.0.0.245? Tell 10.0.0.253"

aber keine Antwort von der ASA!!! obwohl NAT stimmt (Siehe config im Anhang)

Fehlt noch was im config oder hab etwas übersehen?


Danke für eure Hilfe!

[Otaku19]

sieht ok aus, eth0/0 geht sicher zum router ? ist da evtl noch ein Switch dazwischen ? capture auf der firewall schon aktiviert und geschaut was passiert ? log ?

[MYOEY]

ja sicher, eth0/0 geht zum router! ich kann doch vom Client die ASA(10.0.0.254) anpingen.

Router ist nur zum routen hier und lässt alles zu -- keine ACL's oder sonstiges!

ASA5505# sho capture
capture cap1 type raw-data interface outside [Capturing - 1503 bytes]
ASA5505#
ASA5505#
ASA5505# sho capture cap1

16 packets captured

1: 14:21:53.418847 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253
2: 14:21:58.919599 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253
3: 14:22:04.420418 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

aber wieso sagt die ASA nicht, ja ich kenne 10.0.0.245 und herdamit?

[blackbox]

Hi,

mach mal eine Access List - die auch den eingehenden Traffik für die IP erlaubt - du erlaubst ja nur "access in" auf dem Interface Outside - aber nicht auf der NAT IP

[Otaku19]

nimm das mal weg:

sysopt noproxyarp outside

die acl die er gebunden hat kanns net sein, abgesehen davon muss die ASA ja trotzdem auf den ARP erst mal antworten, vermute mal stark durch obiges kommando darf sie das nicht. das musst du aber per hand reinkonfiguriert haben

[MYOEY]

"access-list outside_access_in permit ip any any" läßt doch jeden Traffic durch, egal an welche IP! also daran liegt's nicht!

und trotzdem habe ich die u. s. Zeilen hinzugefügt:

access-list outside_access_in permit tcp any host 10.0.0.245 eq 80
access-list outside_access_in permit tcp any host 10.0.0.245 eq 443
access-list outside_access_in permit icmp any host 10.0.0.245

aber kein match's und weiterhin ohne Erfolg!

was ich nicht verstehe, warum die ASA die NAT IP(10.0.0.245) nicht propagiert und sagt die kenne ich bzw. antwortet auf die ARP Request vom Router! wieso ignoriert sie einfach diesen Traffic für den Server?
Auf dem Router soll auch keine statische route für 10.0.0.245 zu 10.0.0.254 eingetragen sein, da das Netz doch directly connected ist!

wie verhält sich eigentlich die ASA bei einem sattic NAT Eintrag? was wirdnach außen(outside) propagiert?




es ist einfach rätselhaft!!!

noch ne' Idee vielleicht?

[Otaku19]

ja, mach das was ich gesagt habe:

no sysopt noproxyarp outside

und konfigurier nicht irgendwas rein von dem du nicht weißt was es tut

[MYOEY]

tatsächlich, es lag am sch*** command "sysopt noproxyarp outside"
gerade rausgenommen und schon funktioniert...


@Otaku19: besten Dank! du bist ein Meister ;-)


Gruß

[Otaku19]

Spezialisten leisten eben mehr

[Wordo]

Hoch solln se leben ...