Jump to content

ASA 5510 konfigurationsproblem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich bräuchte Hilfe bei der Konfiguration meiner ASA 5510 Secplus.

Umgebung:

Windows Domäne mit einem DC (DNS, DHCP), 30 Clients Office1 IP Addressen über DHCP, 10 Clients Office2 statische IP Addressen.

 

Die Konfiguration habe ich mir folgendermaßen vorgestellt:

Die Clients in Office1 als auch in Office2 nutzen den DC als File und DNS Server.

Internet: int e0/0 192.168.21.0 /24 angeschlossen an DSL Modem

Office1: int e0/1 192.168.3.0 /24

Office2: int e0/2 192.168.2.0 /24

 

Also soll folgendermaßen funktionieren:

Die Netze Office1 und Office2 sollen über die ASA ins Internet gehen und miteinander kommunizieren können.

 

Was funktioniert:

Office1 kann ins Internet und kann Hosts in Office 2 pingen.

Office2 kann ins Internet (sofern ein öffentlicher DNS Server angeben).

 

Was funktioniert nicht:

Office2 kann nicht nach Office1 pingen. Die Ausnahme ist, wenn ein Client aus Office1 eine verbindung mit einem Client in Office2 initiiert hat. Dann kann der Host aus Office2 den Client der die Verbindung initiiert hat auch anpingen. Andere Clients allerdings kann er nicht anpingen.

 

Ich bin am verzweifeln. Bitte helft mir.

: Saved
:
ASA Version 8.0(2) 
!
hostname fw02a
domain-name test.net
names
!
interface Ethernet0/0
nameif office1
security-level 100
ip address 192.168.3.2 255.255.255.0 
ospf cost 10
!
interface Ethernet0/1
nameif office2
security-level 100
ip address 192.168.2.1 255.255.255.0 
ospf cost 10
!
interface Ethernet0/2
shutdown
nameif officerz
security-level 100
ip address 192.168.4.253 255.255.255.0 
ospf cost 10
!
interface Ethernet0/3
nameif outside
security-level 0
ip address 192.168.21.2 255.255.255.0 
ospf cost 10
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.5.1 255.255.255.0 
ospf cost 10
!
boot system disk0:/asa802-k8.bin
ftp mode passive
dns domain-lookup office1
dns domain-lookup office2
dns server-group DefaultDNS
name-server 192.168.3.252
domain-name test.net
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object udp
protocol-object tcp
access-list office2_access_in extended permit ip any any 
access-list office1_access_in extended permit ip any any 
pager lines 24
logging enable
logging asdm informational
mtu office1 1500
mtu office2 1500
mtu officerz 1500
mtu outside 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any time-exceeded outside
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 101 192.168.21.3 netmask 255.255.255.0
nat (office1) 101 192.168.3.0 255.255.255.0
nat (office2) 101 192.168.2.0 255.255.255.0
static (office1,office2) 192.168.3.0 192.168.3.0 netmask 255.255.255.0 
static (office2,office1) 192.168.2.0 192.168.2.0 netmask 255.255.255.0 
access-group office1_access_in in interface office1
access-group office2_access_in in interface office2
route outside 0.0.0.0 0.0.0.0 192.168.21.1 101
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.3.0 255.255.255.0 office1
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 192.168.3.0 255.255.255.0 office1
telnet timeout 25
ssh timeout 5
console timeout 0
management-access office1
!
no threat-detection basic-threat
threat-detection statistics access-list
!
!

: end
asdm image disk0:/asdm-602.bin
no asdm history enable

test.txt

Link zu diesem Kommentar

Hallo Leute,

 

habe jetzt zum test auf factory zurückgesetzt und nur das notwendigste konfiguriert.

Das heißt, nur 2 interne Interfaces mit dem gleichen Ergebnis. Aus dem 192.168.3.0 /24 kann ich in das 192.168.2.0 /24 pingen aber nicht umgekehrt.

 

Bin mit meinem Latein am Ende.

 

: Saved
:
ASA Version 7.0(8)
!
hostname fw02a
enable password xyzz encrypted
passwd xyz encrypted
names
dns-guard
!
interface Ethernet0/0
speed 100
nameif office1
security-level 100
ip address 192.168.3.2 255.255.255.0
!
interface Ethernet0/1
speed 100
nameif office2
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.5.1 255.255.255.0
management-only
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging asdm informational
mtu management 1500
mtu office1 1500
mtu office2 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.5.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.5.2-192.168.5.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect rsh
 inspect rtsp
 inspect esmtp
 inspect sqlnet
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
!
service-policy global_policy global
Cryptochecksum:c31e34eb6f2613db15d78e76860ae21b
: end

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...