MYOEY 10 Geschrieben 23. Oktober 2007 Melden Teilen Geschrieben 23. Oktober 2007 Moin Moin, ich habe folgendes aufgebaut: Eine ASA5505 als Easy-VPN_Client und auf der anderer Seite eine PIX515 ls Easy-VPN-Server. Die Multicast surce ist auf der Seite des VPN-Server und der Multicast receiver ist auf der Seite des VPN-Clients. Der VPN Tunnel steht aber ich kriege keine Multiast requests rüber zum Server! Als Multicast adresse ist 239.252.210.101 auf dem Multicast server eingetragen. Mit debug IGMP auf der beiden Firewalls sehe ich die requets von den Clients und auf der andere Seite vom Multicast-Server(192.168.174.1)! Auf der Server Seite sehe ich mit debug keine requets von den Multicast receivers! Die config von der ASA: ASA5505# sho run : Saved : ASA Version 7.2(2) ! hostname ASA5505 multicast-routing names ! interface Vlan1 nameif inside security-level 100 ip address 10.20.10.254 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address pppoe setroute ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! pim rp-address 1.2.3.4 ftp mode passive dns server-group DefaultDNS domain-name ciscopix.com access-list inside_access_in extended permit icmp any any access-list inside_access_in extended permit ip any any access-list outside_access_in extended permit ip any any access-list outside_access_in extended permit icmp any any access-list inside_outbound_nat0_acl extended permit ip 10.20.10.0 255.255.255.0 192.168.174.0 255.255.255.0 pager lines 24 logging enable logging standby logging buffered debugging logging trap debugging logging asdm informational logging host inside 10.20.10.12 mtu inside 1500 mtu outside 1500 mroute 192.168.174.0 255.255.255.0 1.2.3.4 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 access-group inside_access_in in interface inside access-group outside_access_in in interface outside dhcpd ping_timeout 750 dhcpd auto_config outside ! dhcpd address 10.20.10.10-10.20.10.50 inside dhcpd enable inside ! vpnclient server 1.2.3.4 vpnclient mode network-extension-mode vpnclient vpngroup office password ************ vpnclient enable ! ------------------------- sho mroute ... ASA5505# sho mroute Multicast Routing Table Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected, L - Local, I - Received Source Specific Host Report, P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT Timers: Uptime/Expires Interface state: Interface, State (*, 239.252.210.101), 01:22:50/never, RP 1.2.3.4, flags: SCJ Incoming interface: outside RPF nbr: 217.15.98.24 Outgoing interface list: inside, Forward, 01:22:50/never (*, 239.255.255.250), 01:02:20/never, RP 1.2.3.4, flags: SCJ Incoming interface: outside RPF nbr: 217.15.98.24 Outgoing interface list: inside, Forward, 01:02:20/never hab ich was übersehen oder fehlt da irgendein command noch?? Gruß Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 24. Oktober 2007 Autor Melden Teilen Geschrieben 24. Oktober 2007 keine Idee oder Tipp??? nicht mal von Wordo ;-) Zitieren Link zu diesem Kommentar
thematrix 10 Geschrieben 25. Oktober 2007 Melden Teilen Geschrieben 25. Oktober 2007 Hallo, ich hab bei meinem SNPA-Kurs mal danach gefragt, wie es mit multicast ausschaut. Als Auskunft habe ich erhalten, das es wohl unterstützt wird, aber man es nicht unbedingt benutzen soll. Ich hab auch eine Multicastumgebung und mach das Routing über GRE-Tunnels(in IPSec-Tunnel). Kann Dir leider nicht mehr zu sagen. Gruss, thematrix PS: Wenn Wordo nichts mehr weiss, dann siehts schlecht aus ... ;) Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 25. Oktober 2007 Autor Melden Teilen Geschrieben 25. Oktober 2007 Danke für die Antwort! Mal gehört dass es geht und mal nicht geht! ich kriege es slber nicht hin :-( Mit GRE in einem IPSec tunnel würde ja vielleicht gehen aber mein IPSec-tunnel wird zwischen einer ASA555 und einer PIX515 aufgebaut und soviel ich weiß kann PIX/ASA kein GRE-Tunnel terminieren oder hat sich ja was geändert?? daher bin ich total verwirrt .-( Hilfe!!!! Gruß Zitieren Link zu diesem Kommentar
thematrix 10 Geschrieben 25. Oktober 2007 Melden Teilen Geschrieben 25. Oktober 2007 Hallo, leider kann man keine GRE-Tunnel auf der ASA/PIX terminieren. Gruss, thematrix Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. Oktober 2007 Melden Teilen Geschrieben 25. Oktober 2007 Ich hab mit Multicast leider noch nicht wirklich was zu tun gehabt. Hier mal paar Ausschnitte vom aktuellen ASA Handbook (Aug. 2007): Forwarding Multicast Traffic IP multicast traffic must be forwarded from one network interface to another, just like any other Layer 3 packets are handled. The difference is in knowing where to forward the packets. For example, unicast IP packets have only one destination interface on a router or firewall (even if multiple paths exist). Multicast IP packets, however, can have many destination interfaces, depending on where the recipients are located. Cisco firewalls running PIX 6.2 or 6.3 have a limited multicast capability. They can act only as a multicast forwarding proxy, also known as a stub multicast router (SMR), depending on other routers in the network to actually route the multicast packets. The firewalls can determine where the multicast recipients are located on their own interfaces. They must be statically configured to forward the multicast traffic between a source and the recipients. Beginning with ASA 7.0 and FWSM 3.1(1), Cisco firewalls can participate in multicast routing by using the PIM routing protocol. This lets a firewall communicate with other PIM routers to distribute multicast traffic dynamically and along the best paths. Vielleicht kanns ja nur die ASA, aber die PIX eben nicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.