Kein Zugriff von internal zu internal

[xunil2]

Hallo @all,

ich habe auf einer ASA 5510 3 verschiedene Zonen.
1. outside --> connect to the world, Sec Level 0
2. DMZ --> Sec Level 20
3. internal --> Sec Level 80
4. Admin ---> Sec Level 100

Nun möchte ich von internal nach Admin via http/https zugreifen, bekomme jedoch immer folgende Fehlermeldung:

Code:

12:28:37	302014	Rechner1 	34695	Websrv	443	Teardown TCP connection 693452 for internal:Rechner1/34695 to Admin:Websrv/443 duration 0:00:15 bytes 0 TCP Reset-O

Das Regelwerk erlaubt einen Zugriff von überall via http, aus unerem Office ist auch ein Zugriff auf die Admin Zone möglich.

Ich bin ein bischen ratlos.

Achso, pings gehen einwandfrei durch...

Für Tips wo ich suchen kann bin ich sehr dankbar.

VG

Xunil

[Wordo]

Entweder weils https ist und kein http, oder weil der Dienst nicht laeuft.

[xunil2]

Der Webdienst läuft kann ja aus unserem Office einwandfrei zugreifen :-)
In der "internal" Zone steht unser Nagios, dem Rechner ist es auch möglich zu pingen.
Andere Webserver sind auch nicht zu erreichen...

Ein ganz komisches Phänomen...

Achso, via Packet Tracer habe ich geschaut ob die Pakete erlaubt sind, und das sind sie.

[Wordo]

Zitat von Wordo Entweder weils https ist und kein http, oder weil der Dienst nicht laeuft.

.....

[blackbox]

Du schreibst "von überall via http" (Port 80) - und du machst "https" (Port 443) ?!?

Und ansonsten hilft nur "CONFIG"

[xunil2]

Du schreibst "von überall via http" (Port 80) - und du machst "https" (Port 443) ?!? Und ansonsten hilft nur "CONFIG"

Hi Blackbox,

ich erlaube natürlich auch https.

Was mich vielmehr interessiert ist warum ein TCP Reset -O kommt obwohl der Packet Tracer die Packet erlaubt und auch der Zugriff aus anderen Netzen möglich ist.

[Wordo]

Stell das Verhalten, dass Resets geschickt werden auf der ASA mal aus und probiers noch mal. Du kannst auch auf dem Server mal nen Sniffer installieren und schauen ob da was ankommt.

[Otaku19]

was soll schon weider dieses config verheimliche....

[blackbox]

@otaku19 - keine Ahnung was die haben - das nervt wirklich - erst viel erzählen - aber nicht zeigen was man gemacht hat. Werde auch dazu übergehen da nur noch oberflächlich zu helfen.

[xunil2]

dickes sorry Jungs, wollte nicht wirklich was verheimlichen und bin auch immer wieder froh wenn Ihr unterstützt !!!
Ganz dickes Lob an euch beide !!!
Setzte gerade unsere Ersatz ASA auf, da ich einen Hardwarefehler auf der oben erwähnten ASA habe.

Vielen Dank für eure Unterstützung !!!