Zum Inhalt wechseln


Foto

ASA 5506X & ACL Probleme


  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 23. Dezember 2016 - 05:17

Guten Morgen alle zusammen,

 

vielleicht weis von euch jemand woran das bei mir hier scheitert?

 

Ich habe mir eine ASA 5506X zugelegtund bin im großen und ganzen sehr zufrieden damit!

Allerdings scheiter ich gerade an einem Punkt wo ich echt nicht mehr weiter weis!

 

Auf der asa sind drei interfaces deviniert ein Inside mit Sec level 100

ein wan mit seclevel 0 und ein PPTP mit seclevel 10 an diesem seclevel hängt ein 1812 der einen VPN Tunnel side to side aufbaut der auch funktioniert soweit!

Auf dem 1812er sind nat Regeln hinterlegt die an die ASA weitergereicht werden! Bis hier ist alles GUT!

 

An der asa habe ich NAT regeln definiert die von PPTP zu inside gehen sollen und auch die ACL´s sind erstellt 

Allerdings  werden diese gedropt?

3 Dec 23 2016 06:15:10   188.195.187.223 54547 192.168.2.23 443 access-list PPTP_access_in permitted tcp PPTP/188.195.187.223(54547) -> inside/192.168.2.23(443) hit-cnt 1 first hit [0x141f56c9, 0x0]

Und das ist der Punkt was ich nicht verstehe?

ich habe gegooglet wie b***d aber nich passendes war dabei!

vielleicht hat von Euch jemand eine IDEE?

 

oder wenn Ihr noch was genaueres wissen müsst einfach was sagen....

Danke schon mal im Vorfeld...


Iceman ist Überall und Nirgendwo

#2 Otaku19

Otaku19

    Expert Member

  • 1.939 Beiträge

 

Geschrieben 23. Dezember 2016 - 08:40

hier wird nix gedropt. hier wird erlaubt.


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX


#3 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 23. Dezember 2016 - 09:54

Es läuft allerdings auf Error? und die Port´s sind nach wie vor geschlossen?!


das kommt raus wenn ich ein Packet tracer laufen lasse 

Type - NAT Subtype - rpf-check Action - DROP . Config object network SIP_TLS
nat (inside,PPTP) static interface no-proxy-arp service tcp https https
Iceman ist Überall und Nirgendwo

#4 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 29. Dezember 2016 - 07:00

Guten Morgen,

hat keiner nen Tipp woran es liegen könnte warum ich bei den Besagten ACL trotz Permitted einen Error bekomme?


Iceman ist Überall und Nirgendwo

#5 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 29. Dezember 2016 - 16:06

Hi,

 

so ohne die Configs dazu - denke ich wird da keiner schlau raus und kann was dazu sagen. Es kann ja alles sein.


Done: CCNP ; CCDP ; CCNA Video - Voice - Security - Wireless ; HP Master ASE Network 2011 ; ASE Blade V8 ; ASE Proliant V8;


#6 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 03. Januar 2017 - 09:22

Guten Morgen Erstmal

Also ich konnte nun das Problem schon mal eingrenzen es liegt wohl nicht an der besagten ASA sondern am besagten Router der einen PPTP Tunnel aufmacht!

Mein dortiges Problem ist das alle UDP Nats gemacht werden aber die TCP´s nicht?!

Anbei mal die besagte Config ;) 

 

 
Building configuration...
 
Current configuration : 7403 bytes
!
! Last configuration change at 10:15:23 Berlin Tue Jan 3 2017 by Admin
! NVRAM config last updated at 10:13:49 Berlin Tue Jan 3 2017 by Admin
! NVRAM config last updated at 10:13:49 Berlin Tue Jan 3 2017 by Admin
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
boot-start-marker
boot-end-marker
!
!
logging buffered 52000
logging console critical
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
enable password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authentication ppp default local
aaa authorization network ciscocp_vpn_group_ml_1 local 
!
!
!
!
!
aaa session-id common
!
no process cpu autoprofile hog
clock timezone Berlin 1 0
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-3478252759
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3478252759
 revocation-check none
 rsakeypair TP-self-signed-3478252759
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
 subject-name e=sdmtest@sdmtest.com
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3478252759
 certificate self-signed 01
  XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33343738 32353237 3539301E 170D3136 30323235 31393538 
  30325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 34373832 
  35323735 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  81009BE4 832432D2 354B4CAD 57D8309F 7B6EC354 C00A263F C81B1864 309D92F9 
  7696B46F 485FBFDB 1AD9DDC1 F82B6CC4 51CAA244 EB722E4E 36A1FA67 08C0F7DD 
  FBFCBBE8 A38B0ABF E76C59B6 0F387A6F 5B3B4337 10DDEF08 FED5B370 BDC329C4 
  D2158910 676CD0A9 42744CCB FD9D7A09 EDBBA197 2E4F258C 467266AE 0E7508D6 
  B74F0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 
  551D2304 18301680 14FE5C6C 75AB641B 9011EF94 65ABD2BC D0901D2B 36301D06 
  03551D0E 04160414 FE5C6C75 AB641B90 11EF9465 ABD2BCD0 901D2B36 300D0609 
  2A864886 F70D0101 05050003 81810040 C6618E17 A4A48250 142069F3 05DF9ECA 
  40DF7A1F D6412254 40F1633E 8B23E39D 74BD70FD 0DAE2058 55113BE7 1A94C6B1 
  F85003F5 920640C4 3BD367FF 6EC62157 2B52E04F 07BFD88D 51929012 C2E826CE 
  931542A5 1B26D45C 80BAC76D 8A63AF04 2BDFC4A2 BE31694B 6DDCD7A4 96056A3E 
  D6CA5BED 6B0324F4 8767D643 6B372E
  quit
crypto pki certificate chain test_trustpoint_config_created_for_sdm
dot11 syslog
ip source-route
no ip gratuitous-arps
!
!
!
!
!
ip cef
ip flow-cache timeout active 5
ip domain name XXX.XXX
ip name-server 188.246.0.34
ip name-server 217.144.128.34
ip inspect WAAS flush-timeout 10
no ipv6 cef
l2tp-class L2TPVPN
 hidden
!
!
multilink bundle-name authenticated
!
vpdn enable
!
parameter-map type regex sdm-regex-nonascii
 
!
!
license udi pid CISCO1812/K9 sn FCZ1109227U
username XXXXXXXX privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
username XXXXXXXX privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
!
ip ssh version 2
pseudowire-class L2TPVPN-PW
 encapsulation l2tpv2
 protocol l2tpv2 L2TPVPN
 ip local interface Vlan20
 ip pmtu
!
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key XXXXXXXXXXXX address 188.246.XXX.XXX
crypto isakmp nat keepalive 30
!
!
crypto ipsec transform-set PTYIPSEC esp-aes 
 mode transport
!
crypto map PTYL2TPMAP 10 ipsec-isakmp 
 set peer 188.246.XXX.XXX
 set transform-set PTYIPSEC 
 match address PTY_ACL_L2TPIPSEC
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2
 description Uplink DMZ Fritzbox
 switchport access vlan 20
 no ip address
 no cdp enable
!
interface FastEthernet3
 description PPTP LAN
 switchport access vlan 30
 no ip address
!
interface FastEthernet4
 no ip address
 shutdown
!
interface FastEthernet5
 no ip address
 shutdown
!
interface FastEthernet6
 no ip address
 shutdown
!
interface FastEthernet7
 no ip address
 shutdown
!
interface FastEthernet8
 no ip address
 shutdown
!
interface FastEthernet9
 no ip address
 shutdown
!
interface Virtual-PPP1
 ip address negotiated
 ip mtu 1460
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 ip tcp adjust-mss 1420
 ppp chap hostname XXXXXXXXX
 ppp chap password 0 XXXXXXX
 no cdp enable
 pseudowire 188.246.XXX.XXX 11 pw-class L2TPVPN-PW
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan20
 description Uplink DMZ Fritzbox
 ip address 192.168.20.4 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 crypto map PTYL2TPMAP
!
interface Vlan30
 description PPTP LAN 
 ip address 192.168.30.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
ip http secure-port 1025
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip flow-export version 5
ip flow-export destination 192.168.2.7 2055
!
ip nat pool MEDIA 192.168.30.1 192.168.30.1 netmask 255.255.255.0 type rotary
ip nat inside source list 150 interface Virtual-PPP1 overload
ip nat inside source static udp 192.168.30.1 53 46.41.XXX.XXX 53 extendable
ip nat inside source static tcp 192.168.30.1 443 46.41.XXX.XXX 443 extendable
ip nat inside source static tcp 192.168.30.1 444 46.41.XXX.XXX 444 extendable
ip nat inside source static tcp 192.168.30.1 3478 46.41.XXX.XXX 3478 extendable
ip nat inside source static udp 192.168.30.1 3478 46.41.XXX.XXX 3478 extendable
ip nat inside source static tcp 192.168.30.1 5061 46.41.XXX.XXX 5061 extendable
ip nat inside source static tcp 192.168.30.1 5269 46.41.XXX.XXX 5269 extendable
ip nat inside source static tcp 192.168.30.1 8787 46.41.XXX.XXX 8787 extendable
ip nat inside destination list 100 pool MEDIA
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 188.246.XXX.XXX 255.255.255.255 192.168.20.2 permanent
!
ip access-list extended PTY_ACL_L2TPIPSEC
 permit udp host 192.168.20.4 eq 1701 host 188.246.XXX.XXX eq 1701
!
access-list 150 permit tcp any any range 50000 59999
no cdp run
!
!
!
!
snmp-server community cisco RW
snmp-server location XXXXXXXXXXXXXXXXXXXXXXXXXX
snmp-server contact XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
snmp-server enable traps ospf cisco-specific state-change shamlink neighbor
snmp-server enable traps dot11-qos
snmp-server enable traps switch-over
snmp-server enable traps rogue-ap
snmp-server enable traps wlan-wep
snmp-server enable traps atm subif
snmp-server enable traps ipsec tunnel stop
snmp-server enable traps ipsec too-many-sas
snmp-server host 192.168.2.253 cisco 
!
!
!
!
control-plane
!
!
 
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 access-class 10 in
 password XXXXXXX
 transport input ssh
!
ntp master
ntp server 192.168.20.2
end

Iceman ist Überall und Nirgendwo

#7 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 07. Januar 2017 - 10:14

Hallo,

 

wenn das PPTP über die ASA läuft - hast du mal dort geschaut, ob das Inspect dafür aktiv ist - das hilft häufig gerade für PPTP.


Done: CCNP ; CCDP ; CCNA Video - Voice - Security - Wireless ; HP Master ASE Network 2011 ; ASE Blade V8 ; ASE Proliant V8;


#8 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 09. Januar 2017 - 10:43

Die sind auf der ASA schon Aktiv...


Ich denke das das dortige Routing nicht passt, es kommt die Antwort über die WAN Schnittstelle und nicht über die besagte PPP1 ...


Iceman ist Überall und Nirgendwo

#9 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 12. Januar 2017 - 05:53

Guten Morgen,

Also das Problem ist Leider nach wie vor nicht behoben :(

Wir konnten es Gestern auf die ASA eingrenzen....

UDP´s werden akzeptiert und TCP´s bleiben geblockt warum auch immer :(

Die ganzen Ispections sind global gesetzt,

Hat Jemand von Euch noch eine IDEE????


Iceman ist Überall und Nirgendwo

#10 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 14. Januar 2017 - 09:55

Hi,

 

hast du auch davon eine Config - so ist es blingflug und auch einen Log Mitschnitt.


Done: CCNP ; CCDP ; CCNA Video - Voice - Security - Wireless ; HP Master ASE Network 2011 ; ASE Blade V8 ; ASE Proliant V8;


#11 Iceman7

Iceman7

    Member

  • 228 Beiträge

 

Geschrieben 17. Januar 2017 - 13:14   Lösung

Hi Leute also das Thema kann nun wirklich geschlossen werden!

 

Hier war das Problem das das besagte Routing nicht vorhanden war :(

In der ASA hat man noch ein Routing mit einer Sekundär Funktion hinzufügen müssen und schon ging alles!

 

Danke Euch aber trotzdem!


Iceman ist Überall und Nirgendwo

#12 blackbox

blackbox

    Board Veteran

  • 1.078 Beiträge

 

Geschrieben 17. Januar 2017 - 17:39

Hi,

 

was verstehst du unter Routing mit einer Sekundär Funktion?!?


Done: CCNP ; CCDP ; CCNA Video - Voice - Security - Wireless ; HP Master ASE Network 2011 ; ASE Blade V8 ; ASE Proliant V8;