Cisco Asa 5510 - Ipsec

[Cyver 10]

Hoi Jungs!

 

Habe da ein etwas verzwicktes Problem mit einer Cisco ASA - bzw. ich kapiers nicht ganz - die ASA kann eh nichts dafür :rolleyes: .

 

Und zwar .. ich hab eine etwas komplizierte WAN Infrastruktur .. daher hierzu ein kleine skizze:

 

 

Erklärung:

 

Ich hab einen Cisco 3560 Switch der über einen (nonswitchport) ein /27 WAN Netz geroutet bekommt (via einem vermittlungsnetz). Von diesem Switch aus geht es wieder weiter (über ein VLAN weil jede menge andere infra dazwischen ist) via STATIC ROUTE zur ASA (dafür wieder ein vermittlungsnetz 10.10.2.0). Die ASA hat dann auf einem anderen (virtuellen) Interface (VLAN 200) die erste nutzbare IP des gerouteten Subnetztes.

 

Somit .. kann man von einem Routing in ein DMZ sprechen .. alle weiteren IPs hinter der ASA im VLAN 200 sind somit über die ASA nutzbar und mit ACLs für einzelne Services versehen - soweit auch kein Problem.

 

Allerdings .. mein Problem nun:

 

Ich will auf dem Eth0/1.200 Interface IPSEC Remote und Site2Site Tunnel

terminieren lassen (Tunnel Endpunkt). Das ist aber allerdings ein Ding der Unmöglichkeit weil ich es irgednwie nicht schaffe dort ein Paket hinzubekommen - alle Ips dahinter (in der DMZ) kann ich problemlos erreichen - nur die eigene der ASA nicht (von der DMZ zur ASA gehts allerdings). Es steht auch dazu NICHTS im Logg.

 

ACLs hab ich dazu auch runtergeschraubt das man eigentlich "fast alles" darf. Ausserdem müsste ich dann ein DENY sehen .. :suspect:

 

Hat jemand eine Idee dazu ? :confused:

 

 

 

PS: Komplette Config (weil sehr sehr lang und mächtig) will ich euch jetzt nicht zuposten .. es geht mir viel mehr ums grundverständnis und um einen event. denkfehler .. aber wenns hilft tus ichs trotzdem gern.

 

 

DANKE & mfg

Cyver

[Otaku19 33]

*vorsicht ASA-Beginner Schuss ins Blaue*

 

da müsste der traffic dort ankommen und wieder durch die ASA retour (zu anderen netzen an der ASA, wär ja quatsch wenn die in die DMZ weiter wollen) ? same-security-traffic permit intra-interface ?

[Cyver 10]

Hey .. ich bin über ALLE Ideen dankbar .. :cool:

 

same-security-traffic permit intra-interface ist aktiv ..

[Wordo 11]

Ich wuerd SPAN auf dem Port vom Catalyst aktivieren und schauen ob alles korrekt durchgeht. Wenns passt dann nen capture an der ASA anschmeissen.

[Otaku19 33]

Wo ist es denn aktiv ? Das kann man pro Interface und global aktivieren.

 

hm...wäre dann auch mal ne Idee (sofern 8.0 vorhanden) mal packet-tracer anzuwerfen.

[Cyver 10]

same-security-traffic permit intra-interface ist im globalen kontext aktiv. Glaubst hilfts was auf den 2 interfaces auch zu aktivieren ?

 

Paket Tracer quäl ich jetzt schon 4 tage lang .. bringt nicht wirklich resultate.

(er meint eine ACL wäre der grund - wenn ich sie rauslösche ändert sich trotzdem nichts .. )

 

Hab grad den PC(apture)W angeworfen und schau mir die pakete im whireshark an .. update folgt.

 

UPDATE: Also .. pakete kommen richtig auf der ASA (Source, destination, ...) an .. allerdings scheint es sie nicht wirklich zu kümmern..

[Otaku19 33]

und wenn du die access-group löscht wirds im packet-tracer dann als allowed angezeigt ?

[Cyver 10]

Also ich hab jetzt mal eine Trace von einem host im internet .. zum eth0/0 gemacht .. paket bleibt wegen ACL fehler dort bei der default-deny regel stehen (und diese ist nicht löschbar) - auch wenn ich eine any-any-permit mache ändert das nichts.

 

Es hat für mich den anschein als wüsste er auf dem eth0/0 nicht wohin mit dem paket für seine eigene ip. alle anderen die dann hinter dem eth0/1 liegen sind erreichbar.

 

Kann es vl damit zusammen hängn dass das Interface auf das er hin soll ein subinterface ist ? (Also mit vlan tag) .. somit es eigentlich auf layer 2 nicht erreichbar ist ? (obwohl .. der traffic nur auf der asa selbst seinen weg geht .. *hmm*)

[Wordo 11]

Mal ne dumme Frage ... hast du die crypto map an DMZ gebunden? Man machts ja i.d.R. immer auf outside ..

[Cyver 10]

Jup - hab extra nochmal alle crypto maps rausgeschmissen und neu gemacht .. leider nicht wirklich eine Besserung in Sicht.

 

Was mir noch aufgefallen ist .. wenn ich einen Ping auf dem Interface (von aussen) mache dann hab ich zwar ein Build Connection aber auch gleich wieder ein Teardown .. da kommen einfach keine Pakete an.... die frage is nur WARUM .. :suspect:

–

Ich glaub das problem hat sich erübrigt ..

 

-> Vpn Terminating On Sub-interface

 

I am almost sure that it is not possible to enable ISAKMP on subinterfaces

 

 

:(:(:(:(

 

Wobei sich immer noch die Frage stellt ..warums dann trotzdem funktioniert wenn ichs vom DMZ aus aufbaue .. genug für heute.

 

Danke mal für eure Hilfe bis jetzt .. die Denkanstösse waren schon super !

 

mfg

Oliver

[Otaku19 33]

wie jetzt ? vom DMZ AUF dieses Subif oder zum anderen Peer hin ? wenn letzteres, dann tipp ich auf falsche encryption domains

[blackbox 10]

Hi,

 

ich denke das wird nicht gehen - da du immer nur das IPsec auf das Interface binden kannst, auf das auch das Paket in der ASA aufschlägt. Zum Test - setzte mal einen PC ins 10er Transfernet und mache es auf die 10er Addresse der ASA - das wird gehen - nur nicht hinter die ASA.

 

Das sollte mit der Physik der ASA zusammen hängen - des die Regeln sind so aufgebaut - das auf dem ankommenden Interface entschieden wird - ob das Paket zum Kern darf oder nicht - wenn es da ist - hat es freie Bahn - und das wäre bei einer IPSec oder auch anderen Verbindung tötlich.

[Cyver 10]

wie jetzt ? vom DMZ AUF dieses Subif oder zum anderen Peer hin ? wenn letzteres, dann tipp ich auf falsche encryption domains

 

Also ums aufzuklären (mea culpa - vl hab ich mich etwas kryptisch ausgedrückt):

 

 

Wenn Client im DMZ ist (VLAN 200 mit dem Subif als GW) auf die ASA -> VPN OK !

 

Wenn Client von Internet kommt (INET -> WARP (10.10.2.0/24) -> ASA -> Subif ) dann ... nada !

 

 

 

 

@ blackbox - sowas hab ich mir schon gedacht .. die frage stellt sich nur ..was gibts für eine alternative .. ich will meine WAN Netze eigentlich in einem DMZ nutzen .. aber auch VPN machen können.

 

 

Wie würdet ihr das lösen ?

[blackbox 10]

Hallo,

 

dir bleibt dann nur 2 Sachen übrig - du ersetzest das Transfernet durch "echte" Adressen - oder du versuchst (untestet) - die externe IP der ASA zu natten (wobei ich hier nicht wirklich glaube das es geht) (und du müsstest ja auf dem 3560 NAT - was eine weitere Hürde darstellt. Ich kenne das Problem bei uns selber - wobei wir genügend echte IP´s haben.

 

PS: Warum verwendest du in der DMZ die echten - nat doch dahin - dann kannst du auf der Transfer die echten nehmen und bist dein Prob los.

 

Gruss Michael

[Cyver 10]

Hallo,

 

dir bleibt dann nur 2 Sachen übrig - du ersetzest das Transfernet durch "echte" Adressen - oder du versuchst (untestet) - die externe IP der ASA zu natten (wobei ich hier nicht wirklich glaube das es geht) (und du müsstest ja auf dem 3560 NAT - was eine weitere Hürde darstellt. Ich kenne das Problem bei uns selber - wobei wir genügend echte IP´s haben.

 

Gruss Michael

 

Hmmm .. naja.. nat auf dem 3560 .. ich glaub das tuh ich mir und "ihm" nicht an :rolleyes: aber trotzdem danke !

 

ja das ewige drama mit den wan ips .. wenns nur das eine netz wäre .. sind ja eh nur 4 x /27 und 1 x /24 .. wollte hald sparsam damit umgehen - werd somit eines opfern bzw. vl bekomm ich ja noch ein kleines dazu (mal provider fragen :cool: ) :)

 

Danke & frohe Ostern