Whistleblower 45 Geschrieben 4. Februar 2010 Melden Geschrieben 4. Februar 2010 Nach und nach wächst die ASA-Konfig und deckt bald auch alle Funktionen ab, die der 871 vorher inne hatte ... :) Aktuell kämpfe ich allerdings noch damit, PPTP-Verbindungen von internen Clients nach außen zu erlauben, bzw. zu natten. Auf dem Router genügten dazu folgende Befehle: NAT-Regel: ip nat source static tcp x.x.x.0 1723 interface Dialer1 1723 ACL auf dem internen Interface: permit gre any any ACL auf dem externen Interface: permit gre host IP_ext Host host Eig_Pub_IP Die NAT-Regel konnte ich auf der ASA ähnlich umsetzen, allerdings jeweils nur für einen internen Host: static (inside,outside) tcp interface pptp IP_int_Host pptp netmask 255.255.255.255 Die GRE-ACLs habe ich auch für intern und extern eingepflegt, zählt (zumindest für intern) auch fleißig hoch. Dennoch kommt die Verbindung nicht vollständig zustande, bleibt bei "Benutzername und Kennwort werden verifiziert" hängen. Das Debug vom ASDM sagt dazu: 3 Feb 04 2010 07:34:17 305006 pubIP_externerHost regular translation creation failed for protocol 47 src inside:x.x.x.x dst outside:pubIP_externerHost Also vermutlich noch ein NAT-Problem ??
blackbox 10 Geschrieben 4. Februar 2010 Melden Geschrieben 4. Februar 2010 Hi, evtl. hilft die da ja PPTP Through ASA
Whistleblower 45 Geschrieben 4. Februar 2010 Autor Melden Geschrieben 4. Februar 2010 Hi, evtl. hilft die da ja PPTP Through ASA Hatte ich schon mal grob überflogen, aber dabei noch nichts hilfreiches gesehen. Werd ich mir nochmal genauer anschauen. Einen kleinen Fehler hab ich aber schon gefunden, der allerdings keine Auswirkungen hatte. Und zwar hatte ich die ACL fürs interne Netz falsch angebunden: access-group inside_rule [b]in[/b] interface inside und hab das mal korrigiert in access-group inside_rule [b]out[/b] interface inside Jetzt machen die Regeln darin auch Sinn :D Outgoing (also access-group bla [b]in[/b] interface inside greift die Default-Regel, also permit to less secure. Jetzt ist die Frage - muss ich hier noch explizit GRE angeben?
Whistleblower 45 Geschrieben 4. Februar 2010 Autor Melden Geschrieben 4. Februar 2010 War nicht mehr viel zu ändern - nur noch inspect für PPTP aktivieren, danach lief's! Jetzt stellt sich nur noch die Frage, ob das ganze auch für einen ganzen internen Subnetz-Bereich statt für einzelne Clients machbar ist ? UPDATE: Funktioniert auch für andere Clients - die static NAT Regel konnte ich löschen static (inside,outside) tcp interface pptp IP_int_Host pptp netmask 255.255.255.255 ebenso die Regel in der outside ACL: permit gre host IP_ext Host host Eig_Pub_IP Jetzt muss ich langsam schon suchen, was auf der ASA nicht geht ;-)
blackbox 10 Geschrieben 4. Februar 2010 Melden Geschrieben 4. Februar 2010 Hi, eigentlich brauchst du nur die Inspect aktivieren - dann geht PPTP - da ich aber nicht weiss welche Regeln du von innen nach aussen hast - ist das schwer zu sagen. Von aussen nach innen brauchst du dafür keine Rule
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden