coto 10 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Hallo Leute, zu Testzwecken habe ich hier eine ASA 5520. Mithilfe dieser möchte ich den Traffic zwischen 2 Netzen kontrollieren. Netz 1: 192.168.1.0/24 --> inside Netz 2: 10.1.1.0/24 --> outside --- Interface Konfig ------ interface GigabitEthernet0/0 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 speed 100 duplex full nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 Als erstes möchte ich ICMP erlauben. Mithilfe des ASDM habe ich dafür eine Outside Regeln generiert, welche ICMP zulässt ( Source any, Destination any ) access-list outside_access_in extended permit icmp any any Meine Routing Tabelle sieht folgendermaßen aus: C 10.1.1.0 255.255.255.0 is directly connected, outside C 192.168.1.254 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.254, inside 192.168.1.254 ist in diesem Fall der Layer 3 Switch. Ein Ping von der IP Adresse 192.168.1.254 zu der 192.168.1.1 funktioniert. Ein ping von der IP Adresse 192.168.1.254 zu der IP 10.1.1.1 funktioniert dagegen nicht. Wo liegt hier der Fehler? Das Routing und die Regel scheint zu stimmen. Ich bin mir nicht sicher, ob das ganze ohne Natting funktioniert. Bin für jeden Tipp dankbar. Gruß Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Hi, irgendwas kann nicht stimmen was du schreibst - die Zeile C 192.168.1.254 255.255.255.0 is directly connected, inside kann es nicht in einer Routing Tabelle geben. Desweiteren - wäre ein Config deiner Firewall sehr hilfreich - den nur die Fragmente sind nicht gerade aussagefähig. Gruss Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 17. Dezember 2009 Autor Melden Teilen Geschrieben 17. Dezember 2009 du hast natürlich recht Recht, die Zeile lautet: C 192.168.1.0 255.255.255.0 is directly connected, inside Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Hi, da fehlt dann nur noch die Config von dir - das wir mal schauen können (PS Warum nimmst du das Management Interface ?!?) Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 17. Dezember 2009 Autor Melden Teilen Geschrieben 17. Dezember 2009 die Config liefere ich morgen nach. Das Management IF wird genutzt, da insgesamt 4 Netze abgesichert werden sollen. Jedes Netz möchte ich an ein eigenes IF anschliessen. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 du weisst das die ASA trunken kann ? Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 die Netze sind physikalisch getrennt, daher benötigen wir die Anzahl der Interfaces. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 und was wird gemacht wenn was dazu kommt ? ZB das man ein Interface mal für ne failover benötigt ? Weitere Netze ? Erst dann tief in die Tasche zu greifen für ein (oder 2 im Fall eines Failover Paares) SSM-4GE ? Für das Geld bekomme ich schon locker weit mehr L2 Interfaces auf nem Switch. Ne, also solange kein wirklicher bedarf an expliziten GBit Durchsatz aller Netze zur FW besteht schaltet man da eien Switch vor, da ist man flexibel. Wir haben zwar selber auch FWs deren physikalische Interfaces am Anschlag sind, aber hier ist failover bereits mitdrin und es sind eben trunkports zu Switchen vorhanden. Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 ich habe die ganze Zeit versucht die VLAN IP Adresse anzusprechen ( 10.1.1.1 ). Ich habe jetzt mal einen Client an das Outside IF 0/3 per Miniswitch angeschlossen. Dieser Client ist pingbar ( 10.1.1.100 ). Somit scheint die Regel doch zu funktionieren Ich denke man muss der Asa noch irgendwie mitteilen, das die IP Adressen der Outside IF auch pingbar sein dürfen. Kann ich die VPN Funktion der ASA deaktivieren, oder muss diese explizit aktiviert werden? Hier mal die Config: hostname asa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0/0 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 speed 100 duplex full nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! ftp mode passive access-list outside_access_in extended permit icmp any any pager lines 24 mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 access-group outside_access_in in interface outside route inside 0.0.0.0 0.0.0.0 192.168.1.254 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh 0.0.0.0 0.0.0.0 inside ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username test password P4ttSyrm33SV8TYp encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:1472b9a78bd8977752e4f658bcd7e120 Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 ok, jetzt funktioniert alles. Folgender Befehl hat mein Problem gelöst: icmp permit host 192.168.1.1 outside Muss ich das VPN Feature noch deaktivieren? ( wird nicht benötigt ) Ist die Verwendung des Management IF von der Sicherheit her bedenklich, oder kann ich dieses IF wie jedes andere IF behandeln? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 nein, wenn du dazu nix konfigurierst, kann da auch kein VPN aufgebaut werden. Das Magement IF ist ein Port wie jeder andere, ab dem Moment wo kein mangement-only konfiguriert ist kann man es verwenden wie ein normales Ethernet Interface..allerdings ist es nur ein Fastethernetport, die anderen 4 sind Gigabit. Wie schon gesagt, ich rate dringend dazu genau zu überlegen wie welches Interface belegt wird, im nachhinein etwas zu ändern kann je nachdem was ihr da dran hängen habt kompliziert werden...nicht weil das umstecken und umkonfigurieren so kompliziert wäre, das liegt eher an den Nutzern/Services die dahinter versteckt sind. Wen ich mir denke wie lange ich manchmal auf ein Wartungsfenster warten darf nur weil ich irgendeine Kleinigkeit umstellen muss... Daher lieber in dieser Aufbauphase schon so weit wie möglich voraus denken, erspart einem nur Ärger Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 18. Dezember 2009 Autor Melden Teilen Geschrieben 18. Dezember 2009 Hallo, ich war mit meiner Aussage "funktioniert alles" wohl etwas voreillig. Nach wie vor kann ich über das Inside IF kein Outside IF pingen ( ungekehrt auch nicht ) Ist dies überhaupt möglich? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Dezember 2009 Melden Teilen Geschrieben 18. Dezember 2009 "durch" die ASA auf ein ASA interface ist das problematisch Zitieren Link zu diesem Kommentar
coto 10 Geschrieben 7. Januar 2010 Autor Melden Teilen Geschrieben 7. Januar 2010 Hallo, in der Defaultkonfiguration ist der Zugriff vom inside Interface auf "any less secure networks" erlaubt. Ich möchte aber nur bestimmte Dienste durchlassen. Diese Regel kann ich weder deaktivieren noch löschen oder editieren. Gibt es eine Möglichkeit den Zugriff über das Inside Interface einzuschränken? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. Januar 2010 Melden Teilen Geschrieben 7. Januar 2010 ACLs erstellen, ab dem Moment zieht das nicht mehr. in deinem Fall also eien ACL am inside Interface "in" binden, fertig. Frage, wenns an sowas fundamentalen hapert....wie sollst du auf dem Ding wirklich was konfigurieren ? ASDM zählt nicht, der ist für Weicheier und SSL VPN Nutzer :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.