ISA 2004 - Statische Route

[nef 10]

Hallo!

 

Ich habe eine Cisco ASA mit 4 internen VLAN's. In jedem VLAN ein eigener IP Range.

In einem von diesem VLAN (OFFICE) steht ein ISA 2004. Das Default-Gateway von allen Clients im OFFICE zeigt auf den ISA Server.

 

Folgendes Problem:

Wenn ich von einem höheren VLAN auf einen Client im OFFICE VLAN zugreife, schickt dieser das Packet anstatt an das OFFICE-Intf der ASA, an sein Default-Gataway (sprich ISA Server). Somit habe ich in den höheren VLAN's kein Return-Traffic aus dem OFFICE-VLAN.

 

Ich muss also den Traffic am ISA Inside abfangen und anhand der Destination-Address an das OFFICE-Intf der ASA schicken. Das klingt nach einem statischen route Eintrag...

 

Wo mache ich das?

In der ISA Verwaltungskonsole?

Im cmd auf dem ISA mit route add ?

 

Danke!

 

Gruess,

nef

[Cybquest 36]

ISA 2004/2006

Ich würde sagen:

- die VLAN-Netze in der ISA-Verwaltungskonsole unter "Netzwerke" eintragen

- Unter Netzwerkregeln die entspr. Verbindungen als Route eintragen

- Entspr. Firewallregeln erstellen

- In der Routing-und-RAS Verwaltungskonsole die statischen Routen definieren.

[nef 10]

Danke für die rasche Antwort

realisiere kurz Deinen Vorschlag, melde mich wieder

[nef 10]

Habe die Einstellungen genau so vorgenommen wie beschrieben. Jedoch ohne Ergebnis.

 

Im Log sehe ich, dass die Verbindung verweigert wird. Source und Destination stimmen. Protokoll steht "Nicht identifizierter IP-Datenverkehr".

 

Derzeit gibts eine FwRegel die den gesamten IP Verkehr ins OFFICE durchlässt...

 

Habt ihr eine Idee, warum die Verbindung dennoch verweigert wird?

 

 

Gruss,

nef

[Cybquest 36]

Sind in der Regel wirklich alle Netze drin?

Ich machs i.Allg so, dass ich zwei Regeln erstelle:

VLAN-Eingang: von Netza, Netzb... nach OFFICE zulassen.

VLAN-Ausgang: von OFFICE nach Netza, Netzb... zulassen.

[nef 10]

OK, hatte nur eine Richtung drin.

Aber leider funktionierts auch mit beiden Richtungen nicht! Das Log schreibt immer noch das gleiche....

 

Was veranlasst den ISA den Traffic zu verweigern?....

[Cybquest 36]

Welche Regel verweigert, steht doch auch mit drin. Ist vielleicht weiter oben eine Regel, die das macht? Die Reihenfolge der Abarbeitung geht ja von oben nach unten...

 

Ausserdem hilft manchmal: Ein paar Minuten warten! Bei mir hats auch schon mal 2-3Minuten gedauert, bis eine Regel gegriffen hat, ohne das ich was gemacht hab!

[nef 10]

Top Down, ist klar.

Leider steht keine Regel drin, wäre ja sonst ein Kinderspiel. ;)

 

Danke für Deine Unterstützung.

Probiere weiter, hab momentan keinen Schimmer (von der Lösung und vom ISA ;).

 

Gruss

[nef 10]

Hallo

 

Ich bin einen Schritt weiter gekommen.

 

Auszug ISA Log:

Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle versandt wurde, die über keine vorhandene Verbindung mit dem ISA verfügt.

 

Ich interpretiere:

Die Verbindungsherstellung von einem höhren VLAN erfolgt durch das Intf der ASA im OFFICE-Netz. Der Return-Traffic schickt der Client aber an den ISA Server (gateway).

Das Problem ist, dass der ISA keine aufgebaute Verbindung zwischen den Clients erkennen kann (da er nur den Return-Traffic sieht) und verwirft somit das Paket.

 

Hat jemand eine Idee, wie ich das beheben könnte?

 

Gruss

[Cybquest 36]

Ah...das stimmt natürlich!

 

Wie wärs eigentlich, wenn du den Clients die Routen über die ASA gibst?

Über DHCP Option 249 z.B.

Oder per Login-Script und "route add..."

[nef 10]

Das wäre natürlich eine gute Idee.

 

Hat aber den Nachteil, bei jeder Netz-Änderung die Routen wieder verteilen zu müssen.

Habe einen Case bei MS geöffnet, schreibe die Lösung nacher ins Forum.

 

Besten Dank,

nef

[viper990 10]

Hallo Nef,

hast du schon das Problem mit MS schon lösen können?

 

Gruß

ViPeR