ShineDaStar

Meine Fragen sind nun dahingehend: ->Wie bekomme ich das hin, dass am Besten die ASA das DHCP für das WLAN macht ->Wie bekomme ich das WLan Roaming hin ->Wie verschaffe ich den WLan clients den Zugang zum Internet ->Wie verschaffe ich den WLan usern Zugang zu Netzwerkressourcen im internen Netz ->Wie bekomme ich den Controller dazu, meinen AAA Server zu nutzen, der die IP 192.168.0.2 hat ->Wie bekomme ich das Ganze relativ sicher? Ich habe mir schon im Forum und bei Mutter Google den Wolf gesucht und nach 7 Tagen testen, komme ich einfach nicht weiter, und würde mich freuen, wenn Ihr mir bei der configuration helfen könnt. Danke

mtu inside 1500 mtu outside 1500 mtu WLC_Wlan_Control 1500 mtu AdminWEB 1500 mtu TKGNWLN01LTB01 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface global (outside) 1 192.168.2.2 netmask 255.255.255.0 global (WLC_Wlan_Control) 1 interface global (WLC_Wlan_Control) 1 192.168.3.10 netmask 255.255.255.0 global (AdminWEB) 1 interface global (AdminWEB) 1 192.168.4.2 netmask 255.255.255.0 global (WLN01LTB01) 1 interface global (WLN01LTB01) 1 192.168.10.0 netmask 255.255.255.0 nat (inside) 1 192.168.0.0 255.255.255.0 nat (outside) 1 192.168.2.0 255.255.255.0 nat (WLC_Wlan_Control) 1 192.168.3.0 255.255.255.0 nat (AdminWEB) 1 192.168.4.0 255.255.255.0 nat (WLN01LTB01) 1 192.168.10.0 255.255.255.0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa-server Administration protocol radius accounting-mode simultaneous aaa-server Administration (inside) host 192.168.0.2 timeout 5 key Klattnetwork aaa authentication ssh console LOCAL aaa authentication telnet console Administration http server session-timeout 2 http 192.168.0.0 255.255.255.0 inside snmp-server location Serverraum 1.UG snmp-server contact Tobias snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 192.168.0.0 255.255.255.0 inside telnet timeout 5 ssh 192.168.0.0 255.255.255.0 inside ssh timeout 5 console timeout 0 dhcpd dns 192.168.2.1 dhcpd wins 192.168.0.2 dhcpd lease 1800 dhcpd auto_config outside ! dhcpd address 192.168.0.20-192.168.0.68 inside dhcpd dns 192.168.2.1 192.168.0.1 interface inside dhcpd enable inside ! dhcpd address 192.168.3.20-192.168.3.30 WLC_Wlan_Control dhcpd dns 192.168.2.1 192.168.3.1 interface WLC_Wlan_Control dhcpd option 43 ip 192.168.3.0 interface WLC_Wlan_Control dhcpd enable WLC_Wlan_Control ! dhcpd address 192.168.10.100-192.168.10.124 WLN01LTB01 dhcpd dns 192.168.2.1 interface WLN01LTB01 dhcpd option 43 ip 192.168.10.0 interface WLN01LTB01 dhcpd enable WLN01LTB01 ! priority-queue outside tx-ring-limit 256 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 192.168.2.1 source outside prefer ntp server 192.53.103.108 source outside username Tobi password Iya.encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum: : end

An Port 1 ist das Management via ASA angeschlossen, aus dem Internen Netz, 192.168.0.0, kann man auf das Management 192.168.3.0 zugreifen. Ein WLan ist eingerichtet, erscheint bei den clients, diese bekommen eine IP, können aber nicht ins Internet und der WLC erreicht meinen AAA Server unter 192.168.0.2 nicht. Die config meiner ASA sieht so aus: : Saved : ASA Version 8.2 (1) ! hostname FW01ASA01LTB01 domain-name painlan.local enable password Jf/.encrypted passwd Jf/.encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address dhcp setroute ! interface Vlan3 nameif WLC_Wlan_Control security-level 60 ip address 192.168.3.1 255.255.255.0 ! interface Vlan4 nameif AdminWEB security-level 99 ip address 192.168.4.1 255.255.255.0 ! interface Vlan5 nameif WLN01LTB01 security-level 60 ip address 192.168.10.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 switchport trunk allowed vlan 3 ,5 switchport mode trunk switchport protected ! interface Ethernet0/6 switchport access vlan 3 ! interface Ethernet0/7 switchport access vlan 4 ! ftp mode passive clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup inside dns domain-lookup WLC_Wlan_Control dns domain-lookup AdminWEB dns server-group DefaultDNS retries 3 timeout 1 name-server 192.168.2.1 name-server 192.168.4.2 name-server 192.168.3.2 domain-name painlan.local access-list outside_in extended permit icmp any any echo-reply access-list outside_in extended deny ip any any log access-list WLan_in extended permit ip any any access-list Admin_in extended permit ip any any access-list WLan_In_Client extended permit ip any any pager lines 24 logging enable logging timestamp logging console alerts logging history warnings logging asdm informational logging queue 1024 logging host inside 192.168.0.2 format emblem logging permit-hostdown logging class auth trap errors logging class config trap notifications logging class ids trap warnings logging class ip trap emergencies logging class np trap errors logging class rm trap errors logging class sys trap errors logging class vm trap errors logging class dap trap errors

custom-web redirectUrl "http://www.google.de" custom-web webtitle "NGN Wireless Network Login Page" dhcp create-scope Internal_Clients dhcp address-pool Internal_Clients 192.168.10.100 192.168.10.124 dhcp default-router Internal_Clients 192.168.10.1 192.168.10.2 dhcp enable Internal_Clients dhcp dns-servers Internal_Clients 192.168.10.1 192.168.10.2 192.168.2.1 dhcp domain Internal_Clients painlan.wlan dhcp network Internal_Clients 192.168.10.0 255.255.255.0 local-auth method fast server-key ***** interface create wlan01priv01ltb01 5 --More-- or (q)uit interface address ap-manager 192.168.3.3 255.255.255.0 192.168.3.10 interface address management 192.168.3.2 255.255.255.0 192.168.3.10 interface address dynamic-interface tkgnwlan01priv01ltb01 192.168.10.1 255.255.255.0 192.168.10.2 interface address virtual 9.9.9.9 interface dhcp ap-manager primary 192.168.3.10 interface dhcp management primary 192.168.3.10 interface dhcp dynamic-interface wlan01priv01ltb01 primary 192.168.10.2 interface vlan wlan01priv01ltb01 5 interface port ap-manager 1 interface port management 1 interface port tkgnwlan01priv01ltb01 2 interface acl wlan01priv01ltb01 Zugang_WLAN_Privat --More-- or (q)uit load-balancing window 5 memory monitor error disable memory monitor leak thresholds 10000 30000 mesh security eap mgmtuser add ShineDaStar**** read-write mobility group domain painlan.local network multicast mode multicast 0.0.0.0 network broadcast enable network fast-ssid-change enable network rf-network-name painlan.local snmp version v2c enable --More-- or (q)uit snmp version v3 enable sysname TKGNWLCS01LTB01 time ntp interval 3600 time ntp server 1 192.168.2.1 wlan create 1 NGN_Private-Lan painlanLTB01 wlan interface 1 wlan01priv01ltb01 wlan acl 1 Zugang_WLAN_Privat wlan session-timeout 1 1800 wlan wmm allow 1 wlan security static-wep-key encryption 1 104 <mode unknown> <passwd hidden> 1 wlan security wpa akm 802.1x disable 1 wlan security wpa akm psk enable 1 --More-- or (q)uit wlan security wpa wpa1 ciphers tkip enable 1 wlan security wpa wpa2 ciphers aes disable 1 wlan security wpa wpa2 ciphers tkip enable 1 wlan dhcp_server 1 192.168.10.1 wlan enable 1 Port 5,6, sind an einen PoE Injector und dann auf 2 AP´s, 7,8 mit PoE direkt an die AP´s angebunden. Die AP´s haben ihre Addresse im 192.168.3.0 Bereich

Hallo liebe Forengemeinde, ich habe es nun auch endlich mal geschafft, meinen WLC auszupacken und das Ganze zu konfigurieren. Meine AP´s haben fest IP´s, den WLan Controller habe ich im Basic eingerichtet. Clients können sich verbinden, sehen den AP, können aber nicht ins Internet. Bei mir ist das so gelöst router->ASA->2 Kabel an WLC ( 1 Admin, 1 Lan ). anbei mal die config des WLC: (Cisco Controller) >show running-config 802.11a cac voice tspec-inactivity-timeout ignore 802.11a cac voice stream-size 84000 max-streams 2 802.11a txPower global 1 802.11b cac voice tspec-inactivity-timeout ignore 802.11b cac voice stream-size 84000 max-streams 2 aaa auth mgmt local radius acl create Zugang_WLAN_Privat acl rule add Zugang_WLAN_Privat 1 acl rule action Zugang_WLAN_Privat 1 permit acl rule destination address Zugang_WLAN_Privat 1 0.0.0.0 0.0.0.0 acl rule destination port range Zugang_WLAN_Privat 1 0 65535 --More-- or (q)uit acl rule source address Zugang_WLAN_Privat 1 0.0.0.0 0.0.0.0 acl rule source port range Zugang_WLAN_Privat 1 0 65535 acl rule direction Zugang_WLAN_Privat 1 Any acl rule dscp Zugang_WLAN_Privat 1 Any acl rule protocol Zugang_WLAN_Privat 1 Any acl apply Zugang_WLAN_Privat Location Summary Algorithm used: Average Client RSSI expiry timeout: 5 sec Half life: 0 sec Notify Threshold: 0 db Calibrating Client RSSI expiry timeout: 5 sec Half life: 0 sec --More-- or (q)uit Rogue AP RSSI expiry timeout: 5 sec Half life: 0 sec Notify Threshold: 0 db RFID Tag RSSI expiry timeout: 5 sec Half life: 0 sec Notify Threshold: 0 db location rssi-half-life tags 0 location rssi-half-life client 0 location rssi-half-life rogue-aps 0 location expiry tags 5 location expiry client 5 location expiry calibrating-client 5 location expiry rogue-aps 5 --More-- or (q)uit Cisco Public Safety is not allowed to set in this domain ap syslog host global 255.255.255.255 country DE

hat mir hier jemand ne idee dazu? Ich bekomme das irgendwie nicht ganz so recht hin....

Ok, dachte nur, weil die Router das auch können, dass die ASA vllt. selbiges kann... ( ich meine cisco router ). Was ich nun in Zahlen ausdrücken will: 1. Ich würde gerne bei den clients die interne IP, 192.168.0.1/24, als dns server angeben. Die an die IP gesendeten DNS Anfragen sollen an die 192.168.2.1/24, also mein router, weitergeleitet haben, dabei sollen sie einen inspect durchlaufen. 2. Aus dem Internen Netz 192.168.0.1/24 soll eine L2TP PPTP Verbindung ins Internet möglich sein. D.h. die Daten sollen von 192.168.0.1/24 nach 192.168.2.1/24 genattet werden, so dass man sich von einem Internen Laptop per VPN in die Arbeit einwählen kann. 3.Aus dem Internen 192.168.0.1/24 soll eine uneingeschränkte, aber via inspect überwachte verbindung zu AdminNet 192.168.4.0/24 möglich sein, gleichermaßen sollen Syslog Messages vom adminnet ins interne Netz inspected geroutet werden. 4. Aus dem Wlan Netz 192.168.3.0/24 sollen Verbindungen mit authentication ins Interne Netz möglich sein und vom wlan netz, ins 192.168.2.0/24 perimeter Netz, von wo aus es ins Internet geroutet wird, soll: http, https, dns, smtp, pop3 und imap mit inspects möglich sein. 5. besteht die Frage, ob man den ASA internen AAA Server dazu verwenden kann, dass der router die Berechtigungsdaten des Admins von der ASA empfängt, der Router ist im 192.168.2.0/24 netz und hat da die ip 192.168.2.1/24. Ein Vernünftigen Grund gibt es sehr wars***einlich nicht, ausser dass ich mehrere Forwarder gerne eintrage, also auf dem router, so dass wenn an die router IP von der ASA die Anfrage kommt, er den pool abklappern kann. Wenn man das schon auf der ASA machen könnte, so dass die internen clients nur die IP der ASA als DNS kennen müssen, wäre das super, es würde aber auch gehen, wenn die internen clients die ip der asa als dns nehmen und die asa das netz ins perimternetz inspected und natted und dann meinen router frägt. Dann würde ich noch gerne ein paar sicherheitsfeatures an haben, welche stichworte wären denn hier hauptsächlich interessant, von den vielen Möglichkeiten, die einem die ASA bietet? Danke schonmal für die Hilfe. Ich muss auch sagen, dass sich das leichter über die bekannte cli programmieren lässt, als über die asdm...

Was ich nun noch machen will, es aber nicht so recht hinbekomme ist folgendes: die asa soll ->Als DNS Server für das interne lan fungieren, mit den dns auf dem defaultDNS pool ->die niedrigeren Sicherheitsnetze sollen auch die asa als dns benutzen und problemlos mit dem Internet kommunizieren können ->von intern soll man in die perimeternetze zusätzlich zum normalen internetzugang kommen. ->das WLAN Netz soll bedingt mit dem internen Lan kommunizieren dürfen ->von intern nach extern soll eine pptp l2tp verbindung von einem host ins internet aufgebaut werden können. Wie löse ich das nun am geschicktesten? Was auch nicht geht: Wenn ich bei den clients die IP meines Routers als DNS angebe, dann geht alles prima. Gebe ich die IP der ASA an, geht nichts in Richtung DNS und ich komme nicht drauf, warum das so ist...

Also nun habe ich folgende config: : Saved : ASA Version 8.2(1) ! hostname ASA01 domain-name painlan.local enable password encrypted passwd Jencrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address dhcp setroute ! interface Vlan3 nameif WLC_Wlan_Control security-level 80 ip address 192.168.3.1 255.255.255.0 ! interface Vlan4 nameif AdminWEB security-level 99 ip address 192.168.4.1 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 192.168.2.1 name-server 4.2.2.4 name-server 208.67.222.222 domain-name painlan.local access-list outside_in extended permit icmp any any echo-reply access-list outside_in extended deny ip any any log pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 mtu WLC_Wlan_Control 1500 mtu AdminWEB 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface global (outside) 1 192.168.2.2 netmask 255.255.255.0 global (WLC_Wlan_Control) 1 192.168.3.2-192.168.3.254 netmask 255.255.255.0 global (WLC_Wlan_Control) 1 192.168.3.0 netmask 255.255.255.0 global (AdminWEB) 1 192.168.4.2-192.168.4.254 netmask 255.255.255.0 nat (inside) 1 192.168.0.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 nat (WLC_Wlan_Control) 1 192.168.3.0 255.255.255.0 nat (AdminWEB) 1 192.168.4.0 255.255.255.0 access-group outside_in in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL http server enable http server idle-timeout 4 http server session-timeout 2 http 192.168.0.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 192.168.0.0 255.255.255.0 inside telnet timeout 5 ssh 192.168.0.0 255.255.255.0 inside ssh timeout 5 console timeout 0 dhcpd dns 192.168.2.1 dhcpd auto_config outside ! dhcpd address 192.168.0.20-192.168.0.68 inside dhcpd dns 192.168.0.1 192.168.2.1 interface inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username cisco password jahoo encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context

Also ich habe nun alles via console gemacht, und was soll ich sagen? Kaum macht mans richtig, schon geht es ;-) Ich nutz das ASDM jetzt einfach zum monitoren und halt um herauszufinden, welche commands was machen... Oh mann, hätt ichs nur gleich so gemacht ;-)

Ja das IOS habe ich und ich bin vorgegangen wie in der Anleitung. Als ich das Ganze dann per ASDM konfiguriert habe, ging es. Dann habe ich in der Console das Mapping geändert, dann ging nichts mehr. Dann habe ich ASDM neu geladen, und egal was ich änderte, es war wie vorher. Wenn ich sie nun per ASDM zurück setze, ist wieder alles so, wie es war, also hat das rücksetzen nichts gebracht. Da dachte ich mir, wenn ich das IOS neu aufspielen könnte, das ich dann die ASA wieder so habe, wie frisch aus dem Karton genommen, dass ich sie von neuem komplett configgen kann...

doch, aber genau DA habe ich es vergessen, dass ist ja das schlimme. Und aus irgendeinem Grund zickt die ASA seit dem rum... Wenn ich nur das image nochmal neu aufspielen könnte...

weil man da Filter Rules setzen kann. Ich habe gerade meine ASA total abgeschossen, auch mit dem ASDM, wenn ich sie auf Factory default setze, sind die Einstellungen danach wieder da. Sehr wars***einlich stimmt was mit dem config register nicht. Denn der Reset Knopf, der Funktioniert nicht, wie ich am WE herausgefunden habe, da habe ich dann erase configuration, bzw. den dazu passenden Befehl für die ASA, eingesetzt. Dann hat er nach dem starten aber ein en passwort, was keiner kennt, wie ich im Internet las. Da musste ich das register umsetzen, für passwort recover, und dann wieder zurück setzen. Dann musste ich sie neu konfigurieren... das ging dann. Nun geht aber nichts... ich habe das Problem ausgemacht: Aus irgendeinem Grund ist es wurst was ich eingebe, denn nach dem Neustart ist es wie vorher... Wie setze ich die ASA denn in den 100% werks Auslieferungszustand zurück?

eine gute Idee, danke Dir. Aber kannst Du mir kurz anführen, worin der Unterschied besteht: ACL, erweiterte ACL, Filter, Dyn NAT. Also die Funktion einer ACL und diese Sachen sind mir klar, aber wie mir scheint, muss man bspw- erst via ACL die Verbindung erlauben, mit dem Filter prüfen und per Dyn Nat in ein anderes Netz umsetzen. Das verstehe ich nicht so ganz.

Ich habe das Buch zur ASA. Nur habe ich das Gefühl, dass seit dem letzten Reset zur Werkseinstellung, Grundliegende Dinge nicht mehr funktionieren... Was ich in dem Buch halt auch nicht verstanden habe, is der Unterschied, bzw. das Zusammenspiel, von NAT, ACL, Filter, erweitertes ACL... das ist ziemlich verwirrend. Die CLI meiner Switche und Router sind für mich irgendwie verständlicher ;-)

ich richte das über asdm ein... da ich mir die cisco thematik selbst beibringe, so als hobby, bin ich in der cli für eine asa einfach noch nicht so fit, dass ich mich mit der materie so gut auskenne ;-) bzw. ich finde auch nicht, wo ich die entsprechende acl aktiviere. Ich kann mich verbinden grade via ccp, aber nach der Passwortabfrage steht des kästle auf rot mit connection to device failed... Dabei habe ich das mal so funktionierend hinbekommen... ich steh grad echt voll auf dem schlauch... ja genau so will ich zugreifen ;-) Ich habe das nur so eingerichtet, wie der wizard das tat... und dann mal hier ne regel freigegeben, bis das internet wieder ging... so dass ich nach und nach den fehler finden könnte, aber das is echt tierisch schwer

dhcpd address 192.168.0.10-192.168.0.60 1_IN_Data_Net dhcpd dns 192.168.0.1 192.168.2.1 interface 1_IN_Data_Net dhcpd domain painlan.local interface 1_IN_Data_Net dhcpd auto_config 5_Out_Peer interface 1_IN_Data_Net dhcpd enable 1_IN_Data_Net ! threat-detection basic-threat threat-detection scanning-threat shun except ip-address 192.168.0.0 255.255.255.0 threat-detection scanning-threat shun except ip-address 192.168.4.0 255.255.255.0 threat-detection scanning-threat shun duration 15 threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 192.168.2.1 source 5_Out_Peer prefer webvpn username opi password Iya.88encrypted privilege 15 ! class-map type inspect http match-all asdm_medium_security_methods match not request method head match not request method post match not request method get class-map inspection_default match default-inspection-traffic class-map type inspect http match-all asdm_high_security_methods match not request method head match not request method get ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 id-randomization id-mismatch action log tsig enforced action log policy-map type inspect http InspectHTTP parameters protocol-violation action drop-connection class asdm_medium_security_methods drop-connection policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ctiqbe inspect dcerpc inspect http inspect icmp inspect icmp error inspect ils inspect ipsec-pass-thru inspect mgcp inspect pptp inspect snmp inspect waas policy-map type inspect sip InspectSip parameters max-forwards-validation action drop log state-checking action drop log rtp-conformance policy-map type inspect ipsec-pass-thru InspectIPSecPass parameters esp per-client-max 10 timeout 0:00:30 ah per-client-max 10 timeout 0:00:30 ! service-policy global_policy global prompt hostname context Cryptochecksum:

ftp mode passive clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup 1_IN_Data_Net dns domain-lookup 4_IN_Admin_Net dns domain-lookup 2_IN_Voice_Net dns domain-lookup 3_IN_Wlan_Net dns server-group DefaultDNS name-server 192.168.2.1 name-server 4.2.2.4 domain-name painlan.local same-security-traffic permit inter-interface access-list inside_access_in extended permit ip any any access-list inside_access_in extended permit ip host UC520_PBX 192.168.0.0 255.255.255.0 access-list 2_IN_Voice_Net_access_in extended permit ip any any pager lines 24 logging enable logging asdm informational mtu 5_Out_Peer 1500 mtu 1_IN_Data_Net 1500 mtu 4_IN_Admin_Net 1500 mtu 2_IN_Voice_Net 1500 mtu 3_IN_Wlan_Net 1500 ip verify reverse-path interface 5_Out_Peer ip verify reverse-path interface 4_IN_Admin_Net ip verify reverse-path interface 3_IN_Wlan_Net no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (5_Out_Peer) 1 interface nat (1_IN_Data_Net) 1 0.0.0.0 0.0.0.0 dns static (1_IN_Data_Net,2_IN_Voice_Net) 192.168.4.0 192.168.0.0 netmask 255.255.255.0 dns static (2_IN_Voice_Net,1_IN_Data_Net) 192.168.0.0 192.168.4.0 netmask 255.255.255.0 dns access-group inside_access_in in interface 1_IN_Data_Net access-group 2_IN_Voice_Net_access_in in interface 2_IN_Voice_Net timeout xlate 3:00:00 timeout conn 1:30:00 half-closed 0:05:00 udp 0:01:00 icmp 0:00:03 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 1:00:00 sip_media 0:05:00 sip-invite 0:05:00 sip-disconnect 0:05:00 timeout sip-provisional-media 0:05:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http server idle-timeout 4 http server session-timeout 2 http 192.168.0.0 255.255.255.0 1_IN_Data_Net no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh 192.168.0.0 255.255.255.0 1_IN_Data_Net ssh timeout 5 console timeout 0 dhcp-client client-id interface 5_Out_Peer dhcpd auto_config 5_Out_Peer ! : end

also ich will eigendlich nur wieder via ccp auf die uc zugreifen können... ich komm grad drauf, will mein sip trunk programmieren, dann steht dauernt laden... 99, springt wieder auf 97 prozent... immer so... Meine running: Result of the command: "show running-config" : Saved : ASA Version 8.2(1) ! hostname TKGNFW01LTB01 domain-name painlan.local enable password Jf/.889965encrypted passwd 889965.2KYOU encrypted names name 192.168.4.2 UC520_PBX description Voice PBX System dns-guard ! interface Vlan1 description This Interface is the internal Lan nameif 1_IN_Data_Net security-level 99 ip address 192.168.0.1 255.255.255.0 ! interface Vlan2 description This Interface goes to Perimeter Network nameif 5_Out_Peer security-level 0 ip address dhcp setroute ! interface Vlan3 description This Interface is for the admin Net nameif 4_IN_Admin_Net security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan4 description Interface to UC520 nameif 2_IN_Voice_Net security-level 99 ip address 192.168.4.1 255.255.255.0 ! interface Vlan5 description This Interface is connected to the WLC nameif 3_IN_Wlan_Net security-level 60 ip address 192.168.3.1 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 switchport access vlan 2 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 switchport access vlan 4 ! interface Ethernet0/5 ! interface Ethernet0/6 switchport access vlan 5 ! interface Ethernet0/7 switchport access vlan 3 !

also mein main net is 192.168.0.0/24, UC 192.168.4.2/24, 192.168.2.1/24 der internet router... eingerichtet is die asa über den wizard... wie bekomme ich nun meine uc wieder dazu, mit mir zu reden?

ja... die address translation macht auch nichts wenn man se konfiguriert. Wenn mans löscht und wieder macht, gehts manchmal wieder... ich drehe am rat, was mach ich denn falsch? Ich habe doch die asa in nem anderen vlan, ich kann ins internet, aber ich bekomme mit dem cp nich meine UC ins interne lan zum konfigurieren... hast Du ne idee?

das ist in der Tat richtig. Ich musste die auch nochmal neu aufsetzen, und nun komme ich nich mehr an meine UC... also ich verstehe das irgendwie nicht... ich muss doch ne access rule dafür machen und dann nen nat eintrag einlegen, wenn die unsicherere Interface mit der sicheren reden will, oder?

habe ich auch gedacht, dann aber gelesen, dass die asa 5505 kein stp unterstützt...

Ich glaube, das geht nur ab der 5510... oder ich habe mich schwer verlesen... hast Du da nähere Infos?

also kann ich nichts weiteres machen, als die zweite Leitung - sinnvoll oder nicht - als Backup Interface zu konfigurieren?