kees_23
-
Gesamte Inhalte
7 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von kees_23
-
-
Hallo zusammen,
ich habe mal eine Frage ob das was ich vorhabe überhaupt funktioniert.
Aktuell nutze ich für Remote Access VPN AnyConnect auf dem Port 8080, und auf Port 443 einen Reverseproxy der die Unterscheidung auf unterschiedliche interne Webservices zur Verfügung stellt. Die Trennung auf Port 8080 habe ich deshalb gemacht, weil ich nur 1 IP-Adresse nutzen kann, aber ich habe mehrere DNS-A Einträge die auf meine IP verweisen. Jetzt ist meine Frage, kann ich die Firewall so umkonfigurieren, dass sie selbst auch auf dem Port 443 lauscht, und dennoch eine Unterscheidung auf das eigentliche Ziel per Hostnamen vornimmt?
Vielen Dank schon im Voraus
-
Hallo Gemeinde,
ich hab entweder ein Verständnisproblem oder ich sehe den Wald vor lauter Bäumen nicht mehr.
Ich möchte zwischen einem DMZ interface und dem inside Interface bestimmte Pakete erlauben und einige verwerfen. Um das Umzusetzen habe ich mir gedacht, dass Objektgruppen und Access-Lists dafür ausreichen sollten. Konfiguriert habe ich so:
interface gigabit0/1 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 no shutdown interface gigabit0/2 nameif dmz security-level 50 ip address 10.0.254.1 255.255.255.0 no shut object-group network INSIDE_NET network-object 10.0.1.0 255.255.255.0 network-object 10.0.2.0 255.255.255.0 network-object 10.0.3.0 255.255.255.0 object-group network DMZ_NET network-object 10.0.254.0 255.255.255.0 access-list dmz_inside permit tcp host 10.0.254.50 host 10.0.1.20 eq 443 access-list dmz_inside deny ip object-group DMZ_NET object-group INSIDE_NET access-list dmz_insdie permit ip any any access-group dmz_inside in interface dmz
Das isteressante ist, dass wenn ich den "packet-tracer" anschmeisse ich die Pakete durchbekomme, aber wenn ich das Paket physikalisch abschicke leider nichts ankommt.
ciscoasa# packet-tracer input dmz tcp 10.0.254.50 43434 10.0.1.20 443 detailed Phase: 1 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 10.0.1.0 255.255.255.0 inside Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group dmz_inside in interface DMZ access-list dmz_inside extended permit tcp host 10.0.254.50 host 10.0.1.20 eq https Additional Information: Forward Flow based lookup yields rule: in id=0x7fffa3dac520, priority=13, domain=permit, deny=false hits=47, user_data=0x7fff9ecbc2c0, cs_id=0x0, use_real_addr, flags=0x0, protocol=6 src ip/id=10.0.254.50, mask=255.255.255.255, port=0 dst ip/id=10.0.1.20, mask=255.255.255.255, port=443, dscp=0x0 input_ifc=DMZ, output_ifc=any Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Forward Flow based lookup yields rule: in id=0x7fffa2aa8440, priority=0, domain=inspect-ip-options, deny=true hits=647, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 input_ifc=DMZ, output_ifc=any Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Reverse Flow based lookup yields rule: in id=0x7fffa2a53140, priority=0, domain=inspect-ip-options, deny=true hits=3853269, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0 dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0 input_ifc=inside, output_ifc=any Phase: 5 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 4388308, packet dispatched to next module Module information for forward flow ... snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_tcp_normalizer snp_fp_translate snp_fp_adjacency snp_fp_fragment snp_ifc_stat Module information for reverse flow ... snp_fp_tracer_drop snp_fp_inspect_ip_options snp_fp_translate snp_fp_tcp_normalizer snp_fp_adjacency snp_fp_fragment snp_ifc_stat Result: input-interface: DMZ input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: allowFür jeden Tipp bin ich dankbar.
Gruß
-
Hallo Gemeinde,
ich habe da ein richtig tolles Problem:
Ich kann das Domänenpasswort auf Windows 7 Pro 64Bit nicht ändern, weder als Benutzer noch als Domänenadmin. Interessanterweise auch nicht wenn ich angemeldet bin bzw. wenn ich im Domänenkonto Passwort bei der nächsten Ameldung ändern eingestellt ist.
Die Fehlermeldung ist immer die gleiche:
Ihr Kennwort wurde nicht geändert. Das eingegebene Kennwort kann auf Ebene der Systemstart-Sicherheit vermutlich nicht verwendet werden. Falls die Systemstart-Sicherheit aktiviert ist, müssen Sie das Kennwort jetzt, d.h. vor der Abmeldung, ändern, da sie sich anderfalls in der Systemstart-Phase eventuell nicht mehr anmelden können.
Zum Einrichten eines Systemstart-fähigen Kennworts wählen Sie ein kompatibles Tastaturlayout und geben dann ein neues Kennwort ein.
Hat von euch jemand eine Idee?
Grüße
Stephan
-
Anbei habe ich noch die Ausgaben von: sh crypt ipsec sa:
ASA5505 (8.0(2)) interface: outside Crypto map tag: outside_map, seq num: 100, local addr: MyIP access-list 100 permit ip 10.3.0.0 255.255.255.0 10.0.1.0 255.255.255.0 local ident (addr/mask/prot/port): (10.3.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.0.1.0/255.255.255.0/0/0) current_peer: PartnerIP #pkts encaps: 50, #pkts encrypt: 50, #pkts digest: 50 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 50, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: MyIP, remote crypto endpt.: PartnerIP path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: B27F632B inbound esp sas: spi: 0xAC0B1E91 (2886409873) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 4096, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (3824999/28041) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xB27F632B (2994692907) transform: esp-3des esp-sha-hmac none in use settings ={L2L, Tunnel, } slot: 0, conn_id: 4096, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (3824996/28041) IV size: 8 bytes replay detection support: YASA5510 (7.2(4)) Crypto map tag: outside_map, seq num: 100, local addr: MyIP access-list outside_100_cryptomap permit ip 10.0.0.0 255.255.0.0 10.3.0.0 255.255.255.0 local ident (addr/mask/prot/port): (10.0.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.3.0.0/255.255.255.0/0/0) current_peer: PartnerIP #pkts encaps: 2, #pkts encrypt: 2, #pkts digest: 2 #pkts decaps: 85, #pkts decrypt: 85, #pkts verify: 85 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 2, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: MyIP, remote crypto endpt.: PartnerIP path mtu 1500, ipsec overhead 58, media mtu 1500 current outbound spi: AC0B1E91 inbound esp sas: spi: 0xB27F632B (2994692907) transform: esp-3des esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 2143, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274994/27785) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xAC0B1E91 (2886409873) transform: esp-3des esp-sha-hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 2143, crypto-map: outside_map sa timing: remaining key lifetime (kB/sec): (4274999/27781) IV size: 8 bytes replay detection support: Y -
Hi,
ich habe mit dem Wizard einen https und einen icmp Zugriff aufgenommen. Ich kann mit der Ausgabe leider nicht wirklich viel anfangen :confused:
8 packets captured 1: 07:00:21.417077 802.1Q vlan#1 P0 10.3.0.102.49646 > 10.0.1.177.443: S 2377788135:2377788135(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK> 2: 07:00:24.416818 802.1Q vlan#1 P0 10.3.0.102.49646 > 10.0.1.177.443: S 2377788135:2377788135(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK> 3: 07:00:30.426308 802.1Q vlan#1 P0 10.3.0.102.49646 > 10.0.1.177.443: S 2377788135:2377788135(0) win 8192 <mss 1460,nop,nop,sackOK> 4: 07:01:15.502430 802.1Q vlan#1 P0 10.3.0.102 > 10.0.1.11: icmp: echo request 5: 07:01:20.502003 802.1Q vlan#1 P0 10.3.0.102 > 10.0.1.11: icmp: echo request 6: 07:01:25.501576 802.1Q vlan#1 P0 10.3.0.102 > 10.0.1.11: icmp: echo request 7: 07:01:30.501149 802.1Q vlan#1 P0 10.3.0.102 > 10.0.1.11: icmp: echo request 8: 07:01:45.635465 802.1Q vlan#1 P0 10.3.0.11.62200 > 10.0.1.14.135: S 295618178:295618178(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 8 packets shown
-
Hallo Gemeinde,
Ich habe ein kleines Problem mit einer ASA5510 und einer ASA5505.
In meiner WAN-Umgebung habe ich mehrere ASAs (5505) stehen, die sich über L2L mit meiner 5510 verbinden. Bei der letzten, habe ich das Phänomen, dass der Tunnel zwar steht, ich aber nur die ASA pingen kann, und im Netzwerk dahinter keine Hosts erreichen kann. Was ich im ASDM-Log zu hauf habe sind "Teardown dynamic TCP...". Ich hoffe Ihr könnt mir weiterhelfen.
Anbei noch die Konfigs:
Es soll von der ASA5505 (10.3.0.0/24) nach ASA5510 (10.0.0.0/16) geroutet werden.
ASA5505: : Saved : Written by enable_15 at 15:08:50.263 UTC Tue May 10 2011 ! ASA Version 8.0(2) ! hostname MyHostName enable password MYPasswort encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 10.3.0.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address MyExternalIP 255.255.255.248 ! interface Ethernet0/0 switchport access vlan 2 ! boot system disk0:/asa802-k8.bin ftp mode passive access-list outside_access_in extended permit icmp any any access-list outside_1_cryptomap extended permit ip 10.3.0.0 255.255.255.0 10.0.0.0 255.255.0.0 access-list inside_nat0_outbound extended permit ip 10.3.0.0 255.255.255.0 10.0.0.0 255.255.0.0 icmp permit any inside icmp permit any outside asdm image disk0:/asdm-602.bin global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 90.83.30.182 1 dynamic-access-policy-record DfltAccessPolicy http server enable http 10.3.0.0 255.255.255.0 inside crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 1 match address outside_1_cryptomap crypto map outside_map 1 set peer MyASA5510 crypto map outside_map 1 set transform-set ESP-3DES-SHA crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat-traversal 3600 tunnel-group MyASA5510 type ipsec-l2l tunnel-group MyASA5510 ipsec-attributes pre-shared-key MyPSK prompt hostname context Cryptochecksum:de3e9bb5874504e5c822e28d4a53bf7c : end
ASA5512-x SSL-VPN und interne Webservices
in Cisco Forum — Allgemein
Geschrieben
Ich habe mir sowas schon gedacht, finde ich aber sehr schade.