mels

mtu inside 1500

mtu outside 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) 195.1xx.2xx.246 192.168.30.8 netmask 255.255.255.255

static (inside,outside) 195.1xx.2xx.243 192.168.30.1 netmask 255.255.255.255

static (inside,outside) 195.1xx.2xx.245 192.168.30.5 netmask 255.255.255.255

static (outside,inside) 192.168.30.2 195.1xx.2xx.244 netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

route outside 0.0.0.0 0.0.0.0 195.1xx.2xx.241 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

http server enable

http p_Inside-PC-LAN_0.30 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac

crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map outside_map0 1

crypto map outside_map0 1 set peer 81

crypto map outside_map0 1

crypto map outside_map0 2 match address outside_cryptomap_1

crypto map outside_map0 2 set peer 92

crypto map outside_map0 2

crypto map outside_map0 interface outside

crypto ca server

shutdown

smtp from-address admin@gatway1.null

crypto isakmp identity hostname

crypto isakmp enable outside

crypto isakmp policy 5

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

crypto isakmp policy 10

authentication pre-share

encryption des

hash sha

group 2

lifetime 86400

crypto isakmp policy 20

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400

crypto isakmp policy 30

authentication pre-share

encryption aes

hash sha

group 2

lifetime 86400

crypto isakmp policy 65535

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

telnet p_Inside-PC-LAN_0.30 255.255.255.0 inside

telnet timeout 5

ssh p_Inside-PC-LAN_0.30 255.255.255.0 inside

ssh timeout 5

console timeout 0

dhcpd dns 192.168.30.2 interface inside

!

vpnclient server 192.168.4.0

vpnclient mode client-mode

vpnclient vpngroup VPN_User password ********

threat-detection basic-threat

threat-detection statistics port

threat-detection statistics protocol

threat-detection statistics access-list

threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

tftp-server inside 192.168.30.8 CiscoTFTP

webvpn

Hier noch mal die aktuelle Konfig!

 

: Saved

:

ASA Version 8.2(1)

!

hostname gatway1

name 192.168.30.0 _Inside-PC-LAN_0.30

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.30.3 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address 195.1xx.2xx.242 255.255.255.224

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

ftp mode passive

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

dns server-group DefaultDNS

domain-name p.local

same-security-traffic permit intra-interface

object-group service mSuite tcp

description mSuite

port-object eq 1700

port-object eq 603

port-object eq 605

port-object eq 607

object-group service Port_3000 tcp

description Port _3000

port-object eq 3000

object-group service Port_5432 tcp

description Port_5432

port-object eq 5432

object-group service Port_8000 tcp

description Port_8000

port-object eq 8000

object-group service Semiramis tcp

description Semiramis

port-object eq 8843

port-object eq 8888

access-list outside_cryptomap extended permit ip p_Inside-PC-LAN_0.30 255.255.255.0 m_168.190 255.255.255.0

access-list outside_cryptomap_1 extended permit ip p_Inside-PC-LAN_0.30 255.255.255.0 h_Net_10.0.0. 255.255.255.128

access-list outside_access_in extended permit ip any host 195.1xx.2xx.242

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.242

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.243 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.243 object-group Semiramis

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq echo

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq www

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq lotusnotes

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 object-group mSuite

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq smtp

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.245 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.245 object-group Semiramis

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq lotusnotes

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq www

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 object-group mSuite

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq smtp

access-list outside_access_in extended permit ip host 92. host 195.1xx.2xx.242

access-list outside_access_in extended permit ip host 81. host 195.1xx.2xx.242

access-list outside_access_in extended permit ip p_Inside-PC-LAN_0.30 255.255.255.0 h_Net_10.0.0. 255.255.255.128

access-list outside_access_in extended permit ip p_Inside-PC-LAN_0.30 255.255.255.0 host h_SAP_228.155

access-list inside_access_in extended permit tcp p_Inside-PC-LAN_0.30 255.255.255.0 host 195.1xx.2xx.244 eq lotusnotes

access-list inside_access_in extended permit ip any any

pager lines 24

logging enable

logging timestamp

logging standby

logging emblem

logging buffered emergencies

logging trap notifications

logging history notifications

logging asdm notifications

logging mail notifications

logging from-address

logging recipient-address level notifications

logging host inside 192.168.30.8 6/1470 secure

logging debug-trace

Hallo!

 

Jetzt bekomme ich doch eine Auflösung, auf dem Server mit der 30.2 --> .244!

 

Da wird die IP aufgelöst und ich bekomme auch eine Antwort!

 

lg

Jörg

Hallo! Nein wird nicht aufgelöst!

Was muß ich da aufmachen auf der Firewall das ich da einen request bekomme?

 

Danke im voraus!

 

lg

Jörg

Hallo! Danke mal für die Info!

Könntest Du noch mal auf .244 testen ob sich da auch der SMTP meldet?

 

Wegen DNS was und wo muß ich das einstellen?

 

Vielen dank im Voraus!

 

lg

Jörg

Hallo! Der Router ist heute ab ca 12 Uhr wieder am Netzt!

Das NAT habe ich jetzt beides zum Testen eingestellt gehabt!

 

Loging werd ich noch umstellen!

 

Danke für die Hilfe!

 

Lg

Jörg

Hallo!

 

Hier mal ein kleiner Auszug aus dem Log!

Aber nach was soll ich genau schauen!

 

Vielen dank im Voraus!

 

6|Jul 20 2011|14:01:02|302016|65.55.37.62|53|192.168.30.2|64897|Teardown UDP connection 309 for outside:65.55.37.62/53 to inside:192.168.30.2/64897 duration 0:02:01 bytes 34

6|Jul 20 2011|14:01:02|302015|195.143.108.2|53|192.168.30.2|49734|Built outbound UDP connection 374 for outside:195.143.108.2/53 (195.143.108.2/53) to inside:192.168.30.2/49734 (195.143.241.244/49734)

6|Jul 20 2011|14:01:01|302016|212.100.247.15|53|192.168.30.2|50937|Teardown UDP connection 308 for outside:212.100.247.15/53 to inside:192.168.30.2/50937 duration 0:02:02 bytes 37

6|Jul 20 2011|14:01:01|302015|195.143.108.2|53|192.168.30.2|53205|Built outbound UDP connection 373 for outside:195.143.108.2/53 (195.143.108.2/53) to inside:192.168.30.2/53205 (195.143.241.244/53205)

6|Jul 20 2011|14:01:01|302014|87.230.74.43|80|192.168.30.1|2468|Teardown TCP connection 348 for outside:87.230.74.43/80 to inside:192.168.30.1/2468 duration 0:00:30 bytes 0 SYN Timeout

6|Jul 20 2011|14:01:00|302015|195.143.109.2|53|192.168.30.2|51691|Built outbound UDP connection 372 for outside:195.143.109.2/53 (195.143.109.2/53) to inside:192.168.30.2/51691 (195.143.241.244/51691)

6|Jul 20 2011|14:01:00|302016|195.143.108.2|53|192.168.30.2|52105|Teardown UDP connection 307 for outside:195.143.108.2/53 to inside:192.168.30.2/52105 duration 0:02:01 bytes 37

6|Jul 20 2011|14:00:59|302015|195.143.109.2|53|192.168.30.2|54333|Built outbound UDP connection 371 for outside:195.143.109.2/53 (195.143.109.2/53) to inside:192.168.30.2/54333 (195.143.241.244/54333)

6|Jul 20 2011|14:00:59|302013|195.143.241.243|443|192.168.30.103|52563|Built outbound TCP connection 370 for outside:195.143.241.243/443 (195.143.241.243/443) to inside:192.168.30.103/52563 (195.143.241.242/5889)

6|Jul 20

Hallo!

Um ca. 14:00 Uhr kann ich die ASA für ca. 20 min ans Netz hängen.

 

Nach was soll ich jetzt genau schauen, und wie kann ich die Logs am besten

auslesen!

 

Vielen dank im Voraus!

 

lg

Jörg

Hallo!

 

Proxy-ARP ist endabled für Interface inside and outside!

 

lg

Jörg

Hallo Leute!

 

Vielen dank für Eure Hilfe!

 

Jetzt hab ich noch mal ne Frage, ich hab jetzt noch mal nachgeschaut, und hab

folgendes in der Angaben zur 5505 gefunden!

 

Maximum virtual interfaces (VLANs) 3 (trunking disabled)5 / 20 (trunking enabled)

 

Hat das vielleicht doch damit was zu tun?

 

Ich werd mal schauen das ich die ASA jetzt wieder ans Netz bekomme, damit ich das ganze noch mal durchtesten kann!

 

Vielen Dank im Voraus!

 

lg

Jörg

Hallo!

 

Tut mir leid, ich habs erst jetzt wieder geschaft.!

Vielen Dank für Deine Hilfe!

 

Ja stimmt, ein mal übersehen mit der IP ;-)

 

Darf ich auf Dein Angebot morgen noch mal zurück kommen!

 

Kann erst dann wieder den Router ins Netz hängen!

 

Vielen dank im Voraus!

 

lg

Jörg

Hallo!

 

Ich weiß nicht auf welchen Lotus du jetzt drauf bist, aber das ist wars***eindlich der Falsche.

Es hängt auch jetzt wieder ein andere Router drauf, da ich sonst nicht arbeiten kann.

 

Wobei ich es jetzt nicht ausschließen möchte das ich falsch Teste ;-)

 

Ich benutze ein Programm (nping) um bestimmte Ports abzufragen und das hat bis jetzt immer super Funktioniert!

 

Was mich wundert, warum ich bei der 195.1xx.2xx.242 eine Antwort bekomme und bei allen anderen nicht!

 

Das ist das was ich nicht verstehe.

 

195.1xx.2xx.242 255.255.255.240

 

das bedeutet doch das er eigentlich auf 14 IP Adressen horchen würde oder

verstehe ich das Falsch?

 

Vielen dank für Deine Hilfe!

 

lg

Jörg

Hallo!

 

Stimmt, das hab ich nicht, aber ich hab den Port 603 und 605 Freigeschalten

und auch da bekomme ich keine Antwort (Groupe mSuite)

 

Kann es noch an was anderem liegen?

 

Wenn ich den Router ans Internet anstecke komme ich sofort ins Internet, das funktioniert also.

 

195.1xx.2xx.241 ist das Gateway von der Post auf das ich alles weiterrouter,

und von dem auch alles durchgeroutet wird auf meine ASA5505.

 

Vielen dank im Voraus!

 

lg

Jörg

Hallo!

 

Danke für die Hilfe!

 

Ich hab das jetzt ausprobiert, keine Veränderung!

 

195.1xx.2xx.241 ist ping bar

195.1xx.2xx.242 ist ping bar

 

195.1xx.2xx.243 nicht erreichbar

195.1xx.2xx.244 nicht erreichbar

195.1xx.2xx.245 nicht erreichbar

195.1xx.2xx.246 nicht erreichbar

 

Es ist so als würde die ASA wirklich nur auf die 195.1xx.2xx.242 horcht!

 

Kann man da noch wo was einstellen?

 

Vielen dank im Voraus!

 

lg

Jörg

Hallo!

 

Du meinst

 

statt

static (outside,inside) 192.168.30.1 195.1xx.2xx.243 netmask 255.255.255.255

 

jetzt

 

static (inside,outside) 192.168.30.1 195.1xx.2xx.243 netmask 255.255.255.255

 

?

 

Danke

 

lg

Jörg

Hallo!

 

Version: ASA Version 8.2(1)

 

 

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (outside,inside) 192.168.30.1 195.1xx.2xx.243 netmask 255.255.255.255

static (outside,inside) 192.168.30.2 195.1xx.2xx.244 netmask 255.255.255.255

static (outside,inside) 192.168.30.5 195.1xx.2xx.245 netmask 255.255.255.255

static (outside,inside) 192.168.30.8 195.1xx.2xx.246 netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

route outside 0.0.0.0 0.0.0.0 195.1xx.2xx.241 1

 

Meinst Du das?

 

Danke!

 

lg

Jörg

Hallo!

 

Danke für Deine Antwort!

 

Accesslist habe ich, Fehlermeldung kann ich derzeit leider nicht auslesen, da ich den Router zur Zeit nicht im Zugriff habe!

 

Braucht man hierfür vielleicht wieder eine extra Lizenz oder so?

 

access-list outside_cryptomap extended permit ip Inside-PC-LAN_0.30 255.255.255.0 M_168.190 255.255.255.0

access-list outside_cryptomap_1 extended permit ip Inside-PC-LAN_0.30 255.255.255.0 Holl_Net_10.0.0. 255.255.255.128

access-list outside_access_in extended permit ip any host 195.1xx.2xx.242

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.242

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.243 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.243 object-group Semiramis

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq echo

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq www

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq lotusnotes

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 object-group mSuite

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.244 eq smtp

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.245 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.245 object-group Semiramis

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq https

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq lotusnotes

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq www

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 object-group mSuite

access-list outside_access_in extended permit tcp any host 195.1xx.2xx.246 eq smtp

access-list outside_access_in extended permit ip host 9x.xx.xx.9 host 195.1xx.2xx.242

access-list outside_access_in extended permit ip host 8x.xx.xx.2 host 195.1xx.2xx.242

access-list outside_access_in extended permit ip Inside-PC-LAN_0.30 255.255.255.0 Holl_Net_10.0.0. 255.255.255.128

access-list outside_access_in extended permit ip Inside-PC-LAN_0.30 255.255.255.0 host Holl_SAP_2xx.xx5

access-list inside_access_in extended permit tcp Inside-PC-LAN_0.30 255.255.255.0 host 195.1xx.2xx.244 eq lotusnotes

access-list inside_access_in extended permit ip any any

 

Vielen dank im Voraus!

 

lg

Jörg

Hallo Leute!

 

Ich hab jetzt eine ASA5505 konfiguriert, nur ich schaffe es nicht,

auf das Interface 0/0 Outside mehrere externe IP-Adressen zu binden.

 

195.1xx.2xx.242

195.1xx.2xx.243

195.1xx.2xx.244

195.1xx.2xx.245

195.1xx.2xx.246

 

Auf diese IP-Adressen soll die ASA reagieren!

 

Antwort bekomme ich aber nur bei der .242

 

Wie hat wer einen Tip für mich?

 

Derzeitige Konfig:

 

interface Vlan1

nameif inside

security-level 100

ip address 192.168.30.25 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address 195.143.241.242 255.255.255.240

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

 

 

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (outside,inside) 192.168.30.1 195.1xx.2xx.243 netmask 255.255.255.255

static (outside,inside) 192.168.30.2 195.1xx.2xx.244 netmask 255.255.255.255

static (outside,inside) 192.168.30.5 195.1xx.2xx.245 netmask 255.255.255.255

static (outside,inside) 192.168.30.8 195.143.2xx.2xx netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

route outside 0.0.0.0 0.0.0.0 195.1xx.2xx.241 1

 

 

 

Vielen dank im Voraus!

 

lg

Jörg

Danke!

Hallo Leute!

 

Ich muß eine ASA5505 Konfigurieren und komm nicht ganz klar damit!

 

Hat wer vielleicht eine funktionierende Beispielkonfiguration wo ich mal

nachschauen kann wie so was aussieht.

 

Wichtig wäre mir wie die ACL inside und ACL outside ausschauen soll

mit Fixer IP und einem VPN Tunnel zu einem anderen Cisco Router!

 

Hab bis jetzt immer nur die Cisco 850 und 870iger konfiguriert, und das schaut jetzt doch ein bischen anders aus!

 

Vielen dank im vorhinein!

 

lg

Jörg

Hallo Leute!

 

Wir haben eine Pix 506e wo keiner mehr weiß wie diese Konfiguriert ist oder

was für ein Passwort verwendet wurde.

 

Gibt es eine Möglichkeit über die Consolen Verbindung diese Pix Rückzusetzen auf die Default Factory Werte?

 

bin für jeden Tip dankbar!

 

mfg

Jörg

Hallo!

 

Wie würde so was genau aussehen?

Was verstehst Du unter Snifferlogs?

 

Gibt es da eigene Programme dazu?

 

Vielen dank im Voraus!

 

mfg

 

Jörg

Hallo!

 

Jetzt habe ich auf dem Cisco Router ICMP In- und Out zugelassen und jetzt ist das ist die Netzauslastung weg.

 

Jetzt weiß ich nur nicht ob ich mir mit dem zulassen von ICMP von Aussen nicht ein neues Problem einhandle?

 

Ist das ein Sicherheitsrisiko?

 

Bin für jeden Tip dankbar

 

mfg

 

Jörg

Hallo!

 

Danke für Deine hilfe, ich hätte aber auf der Firewall ICMP Anfragen gesperrt!

 

Dann dürfte es eigentlich nicht vorkommen oder?

 

Gibt es denn keine Möglichkeit herauszufinden welches Programm oder welcher Dienst diese Anfragen schickt?

 

Hast Du da noch einen Tip vieleicht!

 

Vielen dank im Voraus

 

mfg

Jörg

Hallo!

Danke für Deine Hilfe

 

Also im Netzwerkmonitor sehe ich das der Win 2003 Server und die Cisco Firewall

diesen trafik ausmacht.

 

Ich sehe aber nicht warum da so viel gesendet wird!

 

Hast du noch eine idee?

 

Vielen dank im Voraus!

 

mfg

Jörg