Jump to content
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

Ich hab hier ein kleines Problem mit einer ASA5505! die ASA ist für PPPOE konfiguriert und bekommt IP Adresse (x.x.x.x) zugewiesen, es funkioniert alles funderbar bis auf folgendes:

 

Ein Notebook ist auf der ASA eingesteckt und bekommt auch einen IP Adresse(192.168.1.2) per DHCP zugewiesen, der kann aber nicht ins Internet anpingen!

Sobal ich von dem Notebook einen ping auf z. B. 141.1.1.1 aufsetzte, sehe ich folgende Meldung im Logg:

%ASA-7-609001: Built local-host outside:141.1.1.1

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session

%ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02

 

 

Obwohl ich von der ASA die Adresse und jede andere Adresse anpingen kann!

 

 

Hab ich da was übersehen oder fehlt noch eine Zeile??

 

Danke für jede Hilfe bzw. Tipp!

 

PS:Config als Anhang!

 

Groß

 

MYOEY

DSL-ASA5505.txt

Link zu diesem Kommentar

Danke für deine Antwort.

 

Ich habe folgende commands nun drin:

 

icmp permit any outside

icmp permit 192.168.1.0 255.255.255.0 inside

 

Trotzdem hats nichts gebracht, weiterhin keine Anwort und die selbe Fehlmeldung im logg:

 

%ASA-7-609001: Built local-host outside:141.1.1.1

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-6-302020: Built ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-4-313004: Denied ICMP type=0, from laddr 141.1.1.1 on interface outside to x.x.x.x: no matching session

%ASA-3-313001: Denied ICMP type=0, code=0 from 141.1.1.1 on interface outside

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr x.x.x.x/1

%ASA-6-302021: Teardown ICMP connection for faddr 141.1.1.1/0 gaddr x.x.x.x/1 laddr 192.168.1.2/768

%ASA-7-609002: Teardown local-host outside:141.1.1.1 duration 0:00:02

 

Hat jemand noch eine Idee??

 

 

Gruß

 

MYOEY

Link zu diesem Kommentar
Soviel ich verstanden habe, will er die ASA anpingbar haben ....

 

Nein, er schreibt doch oben, dass er vom Notebook aus pingt!

 

CISCO sagt zu dem Fehler:

 

313004

Error Message: %PIX|ASA-4-313004: Denied ICMP type=icmp_type, from source_address oninterface interface_name to dest_address:no matching session Explanation

ICMP packets were dropped by the security appliance because of security checks added by the stateful ICMP feature that are usually either ICMP echo replies without a valid echo request already passed across the security appliance or ICMP error messages not related to any TCP, UDP, or ICMP session already established in the security appliance.

 

Recommended Action: None required.

 

Also würde ich in Deinem Fall auch auf das ICMP-Inspection setzen!

Link zu diesem Kommentar

Danke für die Antworten!

jep, mit "policy-map" wie mturba beschrieben hat, geht der ping durch.

 

Aber ich habe nun ein anderes Problem:

Der PC hinter der ASA soll über RDP (Port 3389) und http(port 80) erreichbar sein.

Folgende Port-forwarding bzw. Freischaltung hab ja eingerichet:

 

static (inside,outside) tcp x.x.x.x 25080 192.168.1.2 80 netmask 255.255.255.255

static (inside,outside) tcp x.x.x.x 33389 192.168.1.2 3389 netmask 255.255.255.255

 

 

access-list outside extended permit tcp any host x.x.x.x eq 33389

access-list outside extended permit tcp any host x.x.x.x eq 25080

 

Aber leider sobald ich mir über RDP oder http mit dem PC verbinden möchte, geht nicht und sehe ich folgende Fehlmeldung auf der ASA:

 

%ASA-7-710005: TCP request discarded from y.y.y.y/9795 to outside:x.x.x.x/33389

%ASA-7-710005: TCP request discarded from y.y.y.y/9847 to outside:x.x.x.x/25080

 

 

Kann jemand da vielleicht helfen?

Muß ich ja was noch freischalten oder was?

Hängt es wieder mit der "policy-map" irgendiwe zusammen?

 

 

Danke im voruas

 

Gruß

 

MYOEY

Link zu diesem Kommentar
wieso lehnt eigentlich die ASA die Verbindungen ab??

ne Idee vielleicht??

 

Eine Idee habe ich auch nicht. Der Fehler tritt laut CISCO dann auf, wenn für das Paket keine Beziehung auf der ASA besteht.

 

Wie sieht denn mittlerweile deine conf aus? Oben hast du eine access-group outside-access, die für deine einkommenden Verbindungen zuständig ist. In deinem letzten Beispiel hast du eine access-group outside. Wie ist die gebunden?

Link zu diesem Kommentar

die access-list sehen momentan folgendermassen aus:

 

access-list outside_access_in extended permit icmp any any

access-list outside_access_in extended permit tcp any host x.x.x.x eq ssh

access-list outside_access_in extended permit tcp any host x.x.x.x eq 30080

access-list outside_access_in extended permit tcp any host x.x.x.x eq 33389

 

access-list inside_access_in extended permit ip any any

 

 

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

 

Der Traffic wird durch keine access-list geblockt sonst hätte man ja entsprechenden Hinweis im logg sehen können.

 

z. B. :

Deny udp src inside:10.10.1.23/1026 dst outside1:141.1.1.1/53 by access-group "inside"

 

 

Die ASA lehnt einfach die Verbindungen aus mir bis jetzt unbekanntem Grund ab, obwohl ich per SSH ohne Problem drauf komme!!!

Link zu diesem Kommentar

Als destination-adresse verwende ich die feste-IP Adresse des DSL-Anschlußes, da es DSL mit fest-IP Adresse! und ich versuche die Verbindung per RDP oder http erst aufzubauen, nachdem die outside interface die feste-IP (x.x.x.x) zugewiesen wurde und ansprechbar ist!

 

Ich hab auch mit einer feste-IP Adresse versucht also ohne DSL aber leider auch ohne Erfolg!! die gleiche Fehlmeldung!!!!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...