-
Gesamte Inhalte
955 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von rob_67
-
-
Hi,
also es ist doch nicht die ASA, der Dienstleister hat mir nicht die Wahrheit gesagt, ich habe ein Konfigfehler auf die falsche NAT Adresse und hinter der ASA hängt ein VPN Router, darüber gehts in andere Private Netze mit Firewalls und die Interface Adresse scheint nicht erlaubt zu sein, sondern ich muss einfach mal auf die richtige Adresse NATen, die gedroppten Pakete sind dann doch LAN Geschichten. Mich hat bloß erstaunt, daß die ASA loggen soll, was sie auch macht, aber irgendwelche LAN Geschichten loggt sie halt doch nicht mit...
Gruss
Rob
-
Anbei noch einmal die Konfig, da wohl ein bißchen durcheinander geraten ist durch die Zeichenbeschränkung
-
Packet Tracer sagt, alles OK
-
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
no vpn-addr-assign local
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 5
console timeout 0
management-access inside
!
!
prompt hostname context
Cryptochecksum:6287c2aa299b962db513d2a622bc085f
: end
global (outside) 1 interface
object-group network DM_INLINE_NETWORK_1
group-object LAN_Test_clients
group-object Inside_NAT_Hosts
object-group network DM_INLINE_NETWORK_2
group-object LAN_Test_clients
group-object Inside_NAT_Hosts
Logfile habe ich leider nicht, da die ASA nichts loggt, die Pakete sind erlaubt, werden genatet und gehen raus, auch die Antwort kommt zurück, jedoch kommt diese nicht beim client an. Beide Interfaces sind UP, nur das Inside VLAN zählt gedroppte Pakete hoch. Leider komme ich nicht dauernd an diese ASA ran... So daß das die Fehlersuche stark einschränkt. Habe auch schon gesniffert, genatete Pakete kommen am Gateway an. Diese werden laut externem Diensleister auch zurückgesendet... Bin ein bisschen ratlos. Ist eigentlich nichts gewaltiges. Die 5510, die ich im Ensatz habe funzt problemlos. Habe nachträglich ICMP Regeln eingefügt, da bekomme ich zumindest mal auf einen Ping nach außen eine Antwort, aber TCP in andere Netze geht nicht, kann dahinein leider nicht pingen.
Gruß
Rob
-
object-group network DM_INLINE_NETWORK_3
group-object LAN_Test_clients
group-object Inside_NAT_Hosts
object-group network DM_INLINE_NETWORK_4
group-object LAN_Test_clients
group-object Inside_NAT_Hosts
object-group network DM_INLINE_NETWORK_5
group-object LAN_Test_clients
group-object Inside_NAT_Hosts
object-group network DM_INLINE_NETWORK_6
network-object b 255.255.255.240
network-object b 255.255.254.0
network-object d 255.255.255.240
network-object a 255.255.255.248
network-object host e
object-group network DM_INLINE_NETWORK_7
group-object LAN_Test_clients
group-object Inside_NAT_Hosts
object-group network Outside_NAT_Addresses
network-object host 192.168.1.2
network-object host 192.168.5.1
network-object host 192.168.5.2
network-object host 192.168.5.3
network-object host 192.168.5.4
network-object host 192.168.5.5
network-object host 192.168.5.6
network-object host 192.168.2.150
access-list inside_access_in extended permit icmp object-group DM_INLINE_NETWORK_1 192.168.2.144 255.255.255.252 log
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_2 a 255.255.255.248 log
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_3 b 255.255.254.0 log
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_4 b 255.255.255.240 log
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_5 d 255.255.255.240 log
access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_7 host e log
access-list inside_access_in extended deny ip any any log
access-list outside_access_in extended permit ip object-group DM_INLINE_NETWORK_6 object-group Outside_NAT_Addresses log
access-list outside_access_in extended deny ip any any log
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
icmp permit 192.168.1.0 255.255.255.0 inside
icmp deny any inside
icmp permit any echo-reply outside
icmp permit host 192.168.2.145 echo outside
icmp deny any outside
asdm image disk0:/asdm-525.bin
no asdm history enable
arp timeout 14400
nat (inside) 1 192.168.1.0 255.255.255.0
static (inside,outside) 192.168.2.150 192.168.1.38 netmask 255.255.255.255
static (inside,outside) 192.168.5.2 192.168.1.29 netmask 255.255.255.255
static (inside,outside) 192.168.5.3 192.168.1.30 netmask 255.255.255.255
static (inside,outside) 192.168.5.4 192.168.1.32 netmask 255.255.255.255
static (inside,outside) 192.168.5.5 192.168.1.33 netmask 255.255.255.255
static (inside,outside) 192.168.5.6 192.168.1.36 netmask 255.255.255.255
static (inside,outside) 192.168.5.1 192.168.1.2 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route inside 0.0.0.0 0.0.0.0 192.168.1.1 1
route outside d 255.255.255.240 192.168.2.145 1
route outside a 255.255.255.248 192.168.2.145 1
route outside b 255.255.254.0 192.168.2.145 1
route outside c 255.255.255.240 192.168.2.145 1
route outside e 255.255.255.255 192.168.2.145 1
-
Hier die Konfig:
: Saved
:
ASA Version 7.2(5)
!
hostname ciscoasa
domain-name default.domain.invalid
names
name 10.0.0.200 a
name 10.100.100.160 b
name 10.100.200.0 c
name 172.16.0.48 d
name 172.32.0.33 e
!
interface Vlan2
nameif inside
security-level 20
ip address 192.168.1.254 255.255.255.0
!
interface Vlan100
nameif outside
security-level 0
ip address 192.168.2.146 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport access vlan 100
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group network LAN_Test_clients
description Erlaubte LAN PCs
network-object host 192.168.1.100
network-object host 192.168.1.101
network-object host 192.168.1.102
network-object host 192.168.1.103
network-object host 192.168.1.104
network-object host 192.168.1.105
network-object host 192.168.1.106
network-object host 192.168.1.107
network-object host 192.168.1.108
network-object host 192.168.1.109
network-object host 192.168.1.10
network-object host 192.168.1.110
network-object host 192.168.1.111
network-object host 192.168.1.112
network-object host 192.168.1.113
network-object host 192.168.1.114
network-object host 192.168.1.115
network-object host 192.168.1.116
network-object host 192.168.1.117
network-object host 192.168.1.118
network-object host 192.168.1.119
network-object host 192.168.1.11
network-object host 192.168.1.12
network-object host 192.168.1.13
network-object host 192.168.1.14
network-object host 192.168.1.15
network-object host 192.168.1.16
network-object host 192.168.1.17
network-object host 192.168.1.18
network-object host 192.168.1.19
network-object host 192.168.1.20
network-object host 192.168.1.21
network-object host 192.168.1.22
network-object host 192.168.1.23
network-object host 192.168.1.24
network-object host 192.168.1.25
network-object host 192.168.1.26
network-object host 192.168.1.27
network-object host 192.168.1.28
network-object host 192.168.1.35
network-object host 192.168.1.37
network-object host 192.168.1.40
network-object host 192.168.1.41
network-object host 192.168.1.42
network-object host 192.168.1.9
object-group network Inside_NAT_Hosts
network-object host 192.168.1.29
network-object host 192.168.1.2
network-object host 192.168.1.30
network-object host 192.168.1.32
network-object host 192.168.1.33
network-object host 192.168.1.36
network-object host 192.168.1.38
-
Hi,
habe da mal ein Problem, habe eine ASA 5505 (7.2.5) aufgesetzt und NAT Regeln geschaffen jedoch ist NAT-control aus. Die ASA verwirft auf dem internen VLAN Pakete und loggt dies nicht. Ich nehme an, daß das die Rückpakete sind, die noch genatet sind. Muß NAT-control zwingend an sein, wenn ich aufs outside interface NAten will? Bei einer ASA 5510 SW Stand 8.2 ists egal, NAT control an oder aus interessiert nicht, da ja NAT Regeln da sind...
Gruß
Rob
-
Hi,
habs schon gelesen, habe dann aber mal bei dyndns.com gesucht und nichts gefunden, außer kostenpflichtig, d.h. ich würde es erstmal mit http versuchen, wenn das geht, dann mit https.
gruss
rob
-
Funzt dyndns.com überhaupt mit nichtkostenpflichtigen Zertifikaten? Für https brauchst du auf jedenfall ein cert und ich habe da keine erfahrung. probiers doch erstmal mit http.
gruss
rob
-
Hi nochmal,
dann poste doch mal die gesamte Config (ohne user und passwörter) und spiel eventuell mal ein neueres ios ein. 12.4.3a würde ich nicht nehmen, dann lieber ein hohes 12.3 er, aber da weiß ich nicht, ob die schon https unterstützen.
Gruss
rob
-
Hi,
genau die meinte ich:
int <interface>
ip ddns update hostname example.dyndns.org
ip ddns update example_dyndns
Gruss
rob
-
Hi,
die Definition auf dem Interface?
Gruss
rob
-
Danke für den guten Tip, auf Tracking war ich schon gekommen, wußte aber nicht, wonach ich bei Cisco suchen sollte....
-
nein, wie du siehst sind es 2 parallele scripts
-
nein, routen nehmen wir nicht raus (es geht um ISDN Kundeneinwahl per multilink über mehrere chassis, es dürfen sich keine kunden einwählen),
der tip mit dem eem war super,
hier für alle, die teilhaben wollen:
event manager applet rob
event track 1 state up
action 1 cli command "enable"
action 2 cli command "config terminal"
action 3 cli command "interface fastethernet1"
action 4 cli command "no shutdown"
event manager applet rob-down
event track 1 state down
action 1 cli command "enable"
action 2 cli command "config terminal"
action 3 cli command "interface fastethernet1"
action 4 cli command "shutdown"
als track 1 ist interface fastethernet2 line-protocol definiert, mit kurzer verzögerung gehen beide interfaces up & down (auf dem prodsystem wollte ich das aber nicht testen, deswegen 2x fastethernet)
-
Hi,
gibts eine Möglichkeit, wenn bei einem CIsco das LAN down geht, automatisch das serielle Interface mit abzuschalten?
Gruß
Rob
-
Hi,
sieht aber eher nach ein Problem mit der dialer list aus (immer nach 2 Minuten Standardtimer wieder aufgelegt)... wie sieht die denn aus? Ich mißbrauche meine Telekom Flat auch für Datenübertragungen, zur Not kann man das data flag manipulieren...
Gruß
Rob
-
Hi Wordo,
war nur ne Info...
Gruß
Rob
-
Hi,
schon den neuen Patch für die ASA eingespielt?
Gruß
Rob
-
Hi,
danke für die Auskunft. Bei Cisco kriegt man das schlecht raus.
Gruß
Rob
-
Hi, könnte mir vorstellen, daß das nicht das richtige ios ist. beim 876 brauche ich auch ein ganz spezielles ios, damit ich das ISDN vollständig nutzen kann. solltest mal mit deinem ios bei cisco den feature navigator nutzen (login erforderlich). Die Zielnummer solltest du aus dem Posting nehmen, die kenn ich auch, aber das ist kein 836...
Gruß
Rob
-
Hi,
8000 ist schon ne Menge Holz, unser 3660 er kann 1400. Der 2821 soll diesen ersetzen, da eol.
Gruß
Rob
-
Dank dir,
das reicht mir, er darf nur nicht weniger haben.
Gruß
Rob
-
Hi,
kann mir jemand sagen, wieviel dialer ein cisco 2821 unterstützt?
Befehl:
router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#in dia ?
<0-1399> Dialer interface number
Hier vom 3660, diser unterstützt maximal 1399 dialer.
Danke & Gruß
Rob
ASA 5505 droppt Pakete
in Cisco Forum — Allgemein
Geschrieben
Hi Blackbox,
dann wäre ich über einen kleinen Tip dankbar, wie das geht...
Gruß
Rob