9 Antworten in diesem Thema

[Stefan W]

Hi
ich habe folgende Situation.

Auf einer Kundenfirewall wurde lediglich die externe IP Adresse unserer Firma in der ACL eingetragen, und diverse Ports wurden freigeschaltet. Jedoch lediglich für unsere externe IP.

Wir haben eine ASA 5505 welche wir für VPN Verbindungen der MA nutzen.

Sobald ein MA via VPN verbunden ist, und sich zum Kunden hinverbinden will, kommt er nicht durch. Jedoch - ich habe im Firewalllog mitgeschaut - versucht der MA es nicht über unsere Firewall, sondern geht über seine eigene Internetleitung und scheitert natürlich.

Wo kann ich auf der asa festlegen, dass er eine hand voll bestimmter IPs über den Gateway in der Firma routen soll, und nicht, wie standardmäßig nur IPs in unserem Subnet.

danke
lg

[blackbox]

Hallo,

das ist ja nicht so einfach - überleg mal - wie willst du das Routing mäßig machen - die Firewall hat ja eine Route nach "0.0.0.0" - und welche Route sollen denn dann die VPN Clients bekommen. Einzig was du machen kannst - route doch auf der ASA die "externe" IP des Kunden von dieser auf die andere ASA (als feste Route).

[Otaku19]

nö, das klappt schon, musst eben deinen split-tunnel abkonfigurieren/umkonfigurieren

Möglichkeit 1: du nimmst die ganzen Kundennetze mit auf->eher Käse
Möglichkeit 2: split-tunnel ganz sein lassen, das ist sowieso nicht zu empfehlen.

[Stefan W]

Hallo
Möglichkeit1 gefällt mir, da es sich um lediglich eine einzige IP handelt, und dies lediglich bis maximal Ende des Jahres sein soll.

Möglichkeit2 gefällt mir nicht, wenn ich es richtig verstehe, geht dann jegliche Kommunikation über unsere Firewall und der MA hat zB keine möglichkeit mehr in seinem Heim-Netz etwas zu tun (zB auf Netzwerkdrucker zugreifen) - korrigiert mich wenn ich falsch liege


Zurück zu Möglichkeit 1:
wie ist das zu realisieren?

[Otaku19]

so ist es...aber er kann seien vpn verbindung auch nicht "teilen". ob beabsichtigt oder nciht ist das nämlich ein security hole.

zur möglichkeit 1 gibts eien acl wo die in den tunnel zu routenden Netze/hosts drin stehen, da gibst du einfach die weiteren Adressen dazu. Allerdings habe ich keien Ahnugn wie sich das auf die Perfomance auswirkt, bei ipsec ist zb schwer abzuraten viele verschiedene Ziele zu definieren. Bei ssl vpn spielt das aber glaub ich keinerlei Rolle mehr

[Stefan W]

Hi,
danke für die Antwort
somit fällt Möglichkeit 2 aus dem Rennen und Möglichkeit 1 gewinnt

Das VPN ist damals leider von mir, noch von den Kollegen eingerichtet worden, und ist seitdem nur mehr wenn neue User angelegt wurden, angegriffen worden.
Auf der ASA finde ich mich aufgrund der zig tausend Einstellungen irgendwie nicht 100%ig zu recht.

Ich habe zwar unter
Rem.AccessVPN - Network(Client)Access - Group Policies - NameDerVPNVerbindung - Advanced - Splittunnelling
unter "Network List" etwas gefunden, jedoch kann ich hier nur ACLs definieren.

Bin ich hier überhaupt richtig? falls ja, wie definiere ich die zusätzliche Route?

Danke fürs auf die Sprünge helfen eines Asa Neulings

[Otaku19]

via CLI müsste es einen Eintrag ala:
split-tunnel-policy tunnelspecified
split-tunnel-network-list value blafasel

geben,blafasel ist eine acl ala:

access-list blafasel standard permit 192.168.1.0 255.255.255.0

diese acl erweiterst du dann um deine Handvoll IPs und fertig.

Im ASDM kannst du eben da wo du da grade warst einfach rechts auf manage klicken, da kannst du die acl auch bearbeiten, dazu klickst du die acl an die da angewhlt ist und klickst auf "Add ACE". An welcher Stelle die Einträge sind spielt keine Rolle. Die ACL kannst du auch schnell via "Firewall" - "Advanced" - "Standard ACL" erreichen

[Otaku19]

was ich vergessen habe, ich nehme mal stark an das die VPN User sicher am selben Interface der ASA "ankommen" wie auch die verbindung raus zur Partnerfirma laufen, da muss die Option:
same-security-traffic permit intra-interface
aktiv sein,schaltet man mit exakt dem gleichen Befehl ein. Im ASDM ist das unter Device Setup - Interfaces zu finden, hakerl bei enable traffic between two or more hosts connected to the same interface

[Stefan W]

was ich vergessen habe, ich nehme mal stark an das die VPN User sicher am selben Interface der ASA "ankommen" wie auch die verbindung raus zur Partnerfirma laufen, da muss die Option:
same-security-traffic permit intra-interface
aktiv sein,schaltet man mit exakt dem gleichen Befehl ein. Im ASDM ist das unter Device Setup - Interfaces zu finden, hakerl bei enable traffic between two or more hosts connected to the same interface

DAS war der springende Punkt - den Rest hatte ich bereits richtig konfiguriert gehabt nur darauf bin ich nicht gekommen.

Erfahrung hilft - danke nochmals

[Otaku19]

das weiß auch niemand der sich nicht dauernd damit beschäftigt und selbst dann fällts einem nur so nebenbei ein wie mir grade