MYOEY

Als destination-adresse verwende ich die feste-IP Adresse des DSL-Anschlußes, da es DSL mit fest-IP Adresse! und ich versuche die Verbindung per RDP oder http erst aufzubauen, nachdem die outside interface die feste-IP (x.x.x.x) zugewiesen wurde und ansprechbar ist! Ich hab auch mit einer feste-IP Adresse versucht also ohne DSL aber leider auch ohne Erfolg!! die gleiche Fehlmeldung!!!!

die access-list sehen momentan folgendermassen aus: access-list outside_access_in extended permit icmp any any access-list outside_access_in extended permit tcp any host x.x.x.x eq ssh access-list outside_access_in extended permit tcp any host x.x.x.x eq 30080 access-list outside_access_in extended permit tcp any host x.x.x.x eq 33389 access-list inside_access_in extended permit ip any any access-group outside_access_in in interface outside access-group inside_access_in in interface inside Der Traffic wird durch keine access-list geblockt sonst hätte man ja entsprechenden Hinweis im logg sehen können. z. B. : Deny udp src inside:10.10.1.23/1026 dst outside1:141.1.1.1/53 by access-group "inside" Die ASA lehnt einfach die Verbindungen aus mir bis jetzt unbekanntem Grund ab, obwohl ich per SSH ohne Problem drauf komme!!!

wieso lehnt eigentlich die ASA die Verbindungen ab?? ne Idee vielleicht??

Danke für die Antworten! jep, mit "policy-map" wie mturba beschrieben hat, geht der ping durch. Aber ich habe nun ein anderes Problem: Der PC hinter der ASA soll über RDP (Port 3389) und http(port 80) erreichbar sein. Folgende Port-forwarding bzw. Freischaltung hab ja eingerichet: static (inside,outside) tcp x.x.x.x 25080 192.168.1.2 80 netmask 255.255.255.255 static (inside,outside) tcp x.x.x.x 33389 192.168.1.2 3389 netmask 255.255.255.255 access-list outside extended permit tcp any host x.x.x.x eq 33389 access-list outside extended permit tcp any host x.x.x.x eq 25080 Aber leider sobald ich mir über RDP oder http mit dem PC verbinden möchte, geht nicht und sehe ich folgende Fehlmeldung auf der ASA: %ASA-7-710005: TCP request discarded from y.y.y.y/9795 to outside:x.x.x.x/33389 %ASA-7-710005: TCP request discarded from y.y.y.y/9847 to outside:x.x.x.x/25080 Kann jemand da vielleicht helfen? Muß ich ja was noch freischalten oder was? Hängt es wieder mit der "policy-map" irgendiwe zusammen? Danke im voruas Gruß MYOEY

Danke für deine Antwort. Ich habe folgende commands nun drin: icmp permit any outside icmp permit 192.168.1.0 255.255.255.0 inside Trotzdem hats nichts gebracht, weiterhin keine Anwort und die selbe Fehlmeldung im logg: %ASA-7-609001: Built local-host outside:141.1.1.1 %ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768 %ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1 %ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session %ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside %ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1 %ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768 %ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02 Hat jemand noch eine Idee?? Gruß MYOEY

wird da was geblockt und ich habs übersehen??

Hallo, Ich hab hier ein kleines Problem mit einer ASA5505! die ASA ist für PPPOE konfiguriert und bekommt IP Adresse (x.x.x.x) zugewiesen, es funkioniert alles funderbar bis auf folgendes: Ein Notebook ist auf der ASA eingesteckt und bekommt auch einen IP Adresse(192.168.1.2) per DHCP zugewiesen, der kann aber nicht ins Internet anpingen! Sobal ich von dem Notebook einen ping auf z. B. 141.1.1.1 aufsetzte, sehe ich folgende Meldung im Logg: %ASA-7-609001: Built local-host outside:141.1.1.1 %ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768 %ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1 %ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session %ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside %ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1 %ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768 %ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02 Obwohl ich von der ASA die Adresse und jede andere Adresse anpingen kann! Hab ich da was übersehen oder fehlt noch eine Zeile?? Danke für jede Hilfe bzw. Tipp! PS:Config als Anhang! Groß MYOEY DSL-ASA5505.txt

Danke für die Antwort! Ja, ganz genau. könntest du mir mal vielleicht ein config example für die ASA posten? Es wäre sehr hilfsreich Gruß MYOEY

Moin Moin, Ich möchte eine Site-to-Site VPN Tunnel zwischen einer ASA5505 und einem DSL Anschluß mit dynamischer IP Adresse aufbauen! Wie lässt sich sowas machen? kann die ASA mit dynamischer IP arbeiten? Das übliche ist doch mit "peer ip address" daher muss eine feste-IP vorhanden sein! Hat man schon damit Erfahrungen oder Idee? Danke im voraus! Gruß MYOEY

Danke für die Antwort! Gibt es vielleicht vergleichbarer command für die PIX bzw. command mit der gleichen Wirkung auf der PIX? Gruß MYOEY

Moin Moin, könnte jemand mir mal genauer erklären, was diese command auf einer Cisco PIX bzw. Router bewirkt: access-list outside permit tcp any any eq established Vielen Dank im voruas! Gruß MYOEY

Hallo, wozu ist eigentlich GRE gut bzw. was sind die typischen Einsatzsgebiete? Üblicherweise realisiert man Site-to-Site Anbindungen mit IPSec aber angeblich auch mit "GRE over IPSEC"? Danke im voraus für jede Antwort! Gruß MYOEY

Moin Moin, Mit welchen Befehlen kann ich eine PIX515 dazu bringen, die Authentification der users (via ssh, telnet,...) über den TACACS-Server auszuhandeln und die Administrationsaktivitäten auf dem TACACS-Server zu protokollieren? Momentan wird alles lokal authentifiziert und die Administrationsaktivitäten nicht auf dem TACACS protokolliert. Folgendes ist momentan drauf: aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local aaa-server My-TACACS protocol tacacs+ aaa-server My-TACACS max-failed-attempts 3 aaa-server My-TACACS deadtime 10 aaa-server My-TACACS (inside) host x.x.x.x [key string] timeout 10 aaa authentication telnet console LOCAL aaa authentication enable console LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL Ich wäre für jede Antwort dankbar Gruß MYOEY

Danke für die Antwort. Ich hab irgendwo gelesen, dass es der Port 445 freigeschaltet werden soll! dynamisch kann ich mir bei source-port vorstellen aber bei destination-port soll doch festgelegt werden oder? PS:wofür ist der link? Gruß MYOEy

Hallo, Mit Hilfe einer Access-liste steuere ich den Zugriff zwischen den RechnerA(192.168.1.1) und RechnerB(192.168.1.2). Auf dem RechnerA muss ein Laufwerk vom RechnerB gemountet werden! welcher Port soll für RechnerA auf RechnerB freigeschaltete werden damit es nur diese Laufwerkfreigabe erlaubt werden und nichts anders! z. B. access-list extended test permit [tcp/udp] host 192.168.1.1 host 192.168.1.2 eq [port] welcher Port und in welcher Richtung soll die Freischaltung stattfinden? Wie sollte dann die access-list aussehen? Vielen Dank im voraus Gruß MYOEY

Hallo, ich hab's mal mit VLAN Maps getestet aber leider nicht zum gewünschten Ergebnis geführt: Der PC1(10.10.10.77) darf mit PC3(10.10.10.2) kommunizieren aber der PC2(10.10.10.11) darf nicht mit dem PC3(10.10.10.2)! Problem: Sobald ich die den command "vlan filter test vlan-list 2" setzte, kann keiner mit keinem kommunizieren, nicht mal anpingen! vlan access-map test 10 action forward match ip address server vlan access-map test 20 action drop match ip address clients vlan filter test vlan-list 2 ip access-list extended server permit ip host 10.10.10.77 host 10.10.10.2 ip access-list extended clients permit ip host 10.10.10.11 host 10.10.10.2 Die Rechner hängen auf einem Catalyst3750, auf dem Switch ist folgende VLAN interface angelegt: int vlan 2 ip address 10.10.10.254 255.255.255.0 Befor ich die VLAN-Map an das VLAN binde, kann jeder mit jedem kommunizieren und sobald ich den Befehl "vlan filter test vlan-list 2" setze, läuft nichts mehr! Hab ich das was übersehen oder was mach ich da falsch?? Danke im voruas Gruß MYOEY

und wie geht's dann mit MAPS? Ich hab ein Cisco Catalyst 3750 Switch Gruß MYOEY

Hallo, Ich habe folgende debug eingeschaltet: debug pppoe event debug pppoe packet debug pppoe error debug ppp error debug ppp negotiation Könnte man da was erkenne? Sehe bitte den Log (Anhang)! Gruß MYOEY ppp_debug.txt

Hallo, In einem VLAN sind einiger Clients und darf nur Client1(10.10.10.1) mit Client2(10.10.10.2) kommunizieren und sonmst nichts! Folgendes hab ja vor: z. B. alle Client in VLAN5 (10.10.10.0/24) ip access-list extended access_in permit ip host 10.10.10.1 host 10.10.10.2 log deny ip any any log ip access-list extended access_out permit ip host 10.10.10.2 host 10.10.10.1 log deny ip any any log int vlan 5 ip address 10.10.10.254 255.255.255.0 ip access-group access_in in ip access-group access_out out Ist es so richtig oder muß man das anders machen? oder wie kann ich den Zugriff so kontroliere dass nur Client1 mit Client2 kommunizieren darf? Danke & Gruß MYOEY

Kann sein dass es vielleicht Zusammenhang mit MTU-Size gibt? Ich hab mit folgenden Werte getestet: MTU 1500 MTU 1456 (empfehlt T-COM für DSL6000 Business Anschluss) MTU 1492 Gruss MYOEY

Das kannst du aber ganz genauer überprüfen, indem du "debug cry isakmp" einschaltest aber sehr Vorsichtig mit den beiden commands da sie Performance Probleme verusachen können!! z. B. isakmp keepalive 60 10 debug crypto isakmp Gruß MYOEY

ja, ich habe einfach den Befehl "isakmp keepalive ... " auf der zentralen PIX eingesetzt und dann lief es problemlos. welche Fehlermedlung bekommst du dann von der neugestarteten PIX? Gruß MYOEY

vielen herzlichen Dank... ich hab DPD aktiviert und somit ist das Problem weg :) Gruß MYOEY

Erst mal vielen Dank für die Antworten. Ja, es sieht so aus als die nicht neugestartete PIX irgendwie nicht mitbekommt dass die Session neu verhandelt werden muss! Natürlich ich kann mit "clear" die session beenden aber ich möchte das es automatisch läuft. was bewirkt "DPD " und wie kann ich das bitte aktivieren? Gruß MYOEY

Hallo, Eine Site-to-Site VPN-Anbindung zwischen einer PIX515 und einer PIX506 wird nach dem Neustart einer der PIXs nicht mehr automatisch aufgebaut trotz laufendem Traffic. Der Tunnel wird sauber aufgebaut und Traffic läuft auch in beiden Richtungen durch aber wenn ich die PIX506 neustarte, wird kein tunnel aufgebaut solange bis ich auf der PIX515 den command"clear cry isa sa" setze dann wird der tunnel aufgebaut und läuft Traffic durch! Wenn ich mir den Logg auf der PIX506 anschaue, sehe ich folgendes: 402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=esp, spi=0x74440591(1950614929) 402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=esp, spi=0x74440591(1950614929) 402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=esp, spi=0x74440591(1950614929) 402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=esp, spi=0x74440591(1950614929) 402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=x.x.x.x, prot=esp, spi=0x74440591(1950614929) Könnte man mir dies Verhalten irgendwie klären und wie man das Problem lösen könnte sodass trotz bestehender Verbindung nach dem Neustarten einer der PIXs dannach doch der Tunnel aufgebaut wird! Ich wäre für jede Antwort dankbar. Gruß MYOEY