Einfache Routing-Frage

[Spacey 11]

Hallo,

 

Ich denke simples Problem, aber ich habe derzeit keine Idee. Vermutlich für die Profis hier nur 1-2 Config Zeilen bzw. ASDM Clicks:

 

Habe eine ASA5510 mit ASA 8.0(4) und ASDM 6.1(5).

 

Die ASA hängt im 172.19.0.0'er Netzwerk.

Nun haben wir einen zweiten Standort welcher ein 172.22.0.0'er Netzwerk hat. Die Standorte sind via VPN miteinander verbunden. Nun hat ein Server im 172.19.0.0'er Netz die ASA als Gateway, alles klasse. Ich möchte nun aus dem 172.22.0.0'er Netzwerk diesen Server erreichen. Bis zum Server komme ich, aber die Rückantwort vom Server wird nicht korrekt von der ASA zum VPN Router (172.19.0.55) geschickt sondern ans Outside, was natürlich falsch ist.

 

Ich brauche also ein gaaaaanz simples Routing: Anfragen bzw. Pakete ans 172.22.0.0'er Netzwerk bitte an 172.19.0.55 anstatt ins Outside.

 

Hier die Fehler aus dem ASDM:

 

6|Jan 29 2010|17:30:48|106015|172.19.0.27|80|172.22.0.169|49411|Deny TCP (no connection) from 172.19.0.27/80 to 172.22.0.169/49411 flags SYN ACK  on interface intern
6|Jan 29 2010|17:30:48|305011|172.19.0.27|80|xx.xxx.xx.xx|74|Built dynamic TCP translation from intern:172.19.0.27/80 to outside:xx.xxx.xxx.xx/74

 

Über eine kurze Hilfe würde ich mich sehr freuen. Seit meiner letzten großen ASA Konfiguration läuft diese recht gut und ich habe so jetzt ca. 1 1/2 Jahre oder so nix mehr Konfigurier-Technisch mit dem Gerät am Hut gehabt, daher holpere ich gerade ein wenig...

 

Vielen herzliche Dank an Euch :)

 

Nachtrag: Habe gerade über ASDM eine statische Route eingerichtet:

 

route intern 172.22.0.0 255.255.255.0 172.19.0.55 1

 

Als Fehler gibt es nun aber:

 

portmap translation creation failed for tcp src intern:172.19.0.27/80 dst intern:172.22.0.169/49458

[blackbox 10]

Du musst deine "NAT 0" Regel darum erwietern - das er diesen Traffik nicht "NATten" will. Im ASDM unter NAT eine NAT Except Regel.

[Spacey 11]

Hallo & Danke!

Mhhh hab's versucht aber Ergebnis:

 

Deny TCP (no connection) from 172.19.0.27/80 to 172.22.0.1/60992 flags SYN ACK  on interface intern

 

Hier im Anhang mal meine ganze gesäuberte Config. Ich fürchte fast, ich brauche noch mal Hilfe :( ;)

config.txt

[Spacey 11]

Noch 'ne Idee dazu?! :/

[MYOEY 10]

Ich glaube, du könntest deine access-list david_nat0_outbound um die beiden folgenden Zeilen erweitern:

 

access-list david_nat0_outbound extended permit ip 172.19.0.0 255.255.255.0 172.22.0.0 255.255.255.0

 

access-list david_nat0_outbound extended permit ip 172.22.0.0 255.255.255.0 172.19.0.0 255.255.255.0

 

oder du könntest die Firewall umgehen, indem du auf dem Server die folgende statische Route einträgst:

 

z. B.

 

route ADD 172.22.0.0 MASK 255.255.255.0 172.19.0.55 METRIC 3 IF 1

 

 

Hoffentlich hilft's!

 

Gruß

[Spacey 11]

Danke...

wobei die david Access List wohl eher falsch ist.... ich habe sie mal für das richtige Interface gemacht. Aber leider immer noch Fehler:

 

Deny TCP (no connection) from 172.19.0.27/80 to 172.22.0.1/63248 flags SYN ACK  on interface intern

 

Wenn ich von dem 172.22.0.1'er den 172.19.0.27'er erreichen will

 

Habe nun die AL's:

 

access-list intern_nat0_outbound_1 extended permit ip 172.19.0.0 255.255.255.0 172.19.0.0 255.255.255.0 
access-list intern_nat0_outbound_1 extended permit ip 172.19.0.0 255.255.255.0 172.22.0.0 255.255.255.0 
access-list intern_nat0_outbound_1 extended permit ip 172.22.0.0 255.255.255.0 172.19.0.0 255.255.255.0 

[Otaku19 33]

hm, was soll denn diese config ? So wie di ejetzt ist kannst du gleich garkeine Firewall hinstellen...mich wundert nur das die Antwortpakete nicht durchgehen, laut ACL am inside sollte das klappen. Versuch mal:

 

policy-map global_policy

class inspection_default

inspect http

 

und lern richtig mit dem Ding umzugehen, das ist ja furchtbar

[Spacey 11]

Wir nutzen das Gerät hauptsächlich um den VPN Zugang zur Verfügung zu stellen. Ich selbst bin kein Netzer und erst recht kein Cisco-Admin, daher entdeckt der Profi bestimmt zig Sachen, die es besser zu machen gilt - deshalb bin ich ja auch hier um bei Fragen hoffentlich Hilfe zu bekommen.

 

Anders herum: Wenn es im Raum München jemand gibt, der auf Stundenbasis für uns hier alle Nase lang konfiguriertechnisch tätig sein will, der kann sich gerne bei mir melden. Vielleicht auch zu Beginn einmal die Config ganz neu machen... Ich will ja auch nichts für um sonst....

 

Ansonsten:

 

Result of the command: "inspect http"

inspect http
 ^
ERROR: % Invalid input detected at '^' marker

 

Bin gerade nicht direkt an der ASA daher habe ich hier nur die ASDM Console...

[Otaku19 33]

im config modus eingeben..und zwar genau so wie ich es geschrieben habe bzw wo auch alle anderen inspects sind....aber wenn das schon so anfängt, wirds wohl echt am besten sein das sich das jemand mit Erfahrung anschaut, ihr macht nur mehr kaputt als das da was sinnvolles rauskommt.

[Spacey 11]

Habe mit dem ASDM Config-Line-Tool noch nicht viel gemacht, bin davon ausgegangen das der direkt im config mode ist. aber auch wenn ich mit dem Ding in conf wechsele gibt's den selben Fehler. Direkten SSH dann erst nächste Woche wieder...

 

Ja, wie gesagt - wenn es kundige Leute in der Muc Region gibt, bin für jede PN dankbar...

[Otaku19 33]

du müsstest ja auch erst mal:

policy-map global_policy

class inspection_default

 

eingeben bevor du eine inspection eintragen kannst, via asdm kannst du die aber auch einfach aktivieren, ist bei den service-policys drin, einfach die globale die da drin ist anklicken und dann die http inspection anhaken, die ist per default aus iirc

[Spacey 11]

Habe ich ja vorher eingegeben ;)

 

Ich versuche es am Montag, wenn ich direkt am Device bin... Vielen Dank!