Jump to content
Sign in to follow this  
MYOEY

Cisco ASA & NAT

Recommended Posts

Hallo leute,

ich bitte um eure Hilfe bei dem folgenden Problem:

 

Client mit der IP:172.16.1.3 kann den Webserver hinter der ASA weder pingen noch darauf zugreifen (Siehe Anhang) aber er kann die outside IP der ASA(10.0.0.254) problemlos anpingen, Traffic für den Webserver kommt einfach an der ASA nicht an!

 

wenn ich vom Client aus die outside IP der ASA anpinge, sehe ich es auch im log der ASA aber ich sehe den an Webserver gerichteten Traffic im log der ASA überhaupt nicht!!!

 

Ich hab mich zwischen dem Router(outside) und ASA(outside) im Netz10.0.0.0/24 mit Wireshark gehängt und sehe nur ARP Request vom Router mit folgendem Inhalt:

 

"who has 10.0.0.245? Tell 10.0.0.253"

 

aber keine Antwort von der ASA!!! obwohl NAT stimmt (Siehe config im Anhang)

 

Fehlt noch was im config oder hab etwas übersehen?

 

 

Danke für eure Hilfe!

post-18729-13567389889711_thumb.jpg

config.txt

Share this post


Link to post

sieht ok aus, eth0/0 geht sicher zum router ? ist da evtl noch ein Switch dazwischen ? capture auf der firewall schon aktiviert und geschaut was passiert ? log ?

Share this post


Link to post

ja sicher, eth0/0 geht zum router! ich kann doch vom Client die ASA(10.0.0.254) anpingen.

 

Router ist nur zum routen hier und lässt alles zu -- keine ACL's oder sonstiges!

 

ASA5505# sho capture

capture cap1 type raw-data interface outside [Capturing - 1503 bytes]

ASA5505#

ASA5505#

ASA5505# sho capture cap1

 

16 packets captured

 

1: 14:21:53.418847 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

2: 14:21:58.919599 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

3: 14:22:04.420418 802.1Q vlan#2 P0 arp who-has 10.0.0.245 tell 10.0.0.253

 

aber wieso sagt die ASA nicht, ja ich kenne 10.0.0.245 und herdamit?

Share this post


Link to post

Hi,

 

mach mal eine Access List - die auch den eingehenden Traffik für die IP erlaubt - du erlaubst ja nur "access in" auf dem Interface Outside - aber nicht auf der NAT IP

Share this post


Link to post

nimm das mal weg:

 

sysopt noproxyarp outside

 

die acl die er gebunden hat kanns net sein, abgesehen davon muss die ASA ja trotzdem auf den ARP erst mal antworten, vermute mal stark durch obiges kommando darf sie das nicht. das musst du aber per hand reinkonfiguriert haben ;)

Share this post


Link to post

"access-list outside_access_in permit ip any any" läßt doch jeden Traffic durch, egal an welche IP! also daran liegt's nicht!

 

und trotzdem habe ich die u. s. Zeilen hinzugefügt:

 

access-list outside_access_in permit tcp any host 10.0.0.245 eq 80

access-list outside_access_in permit tcp any host 10.0.0.245 eq 443

access-list outside_access_in permit icmp any host 10.0.0.245

 

aber kein match's und weiterhin ohne Erfolg!

 

was ich nicht verstehe, warum die ASA die NAT IP(10.0.0.245) nicht propagiert und sagt die kenne ich bzw. antwortet auf die ARP Request vom Router! wieso ignoriert sie einfach diesen Traffic für den Server?

Auf dem Router soll auch keine statische route für 10.0.0.245 zu 10.0.0.254 eingetragen sein, da das Netz doch directly connected ist!

 

wie verhält sich eigentlich die ASA bei einem sattic NAT Eintrag? was wirdnach außen(outside) propagiert?

 

 

 

 

es ist einfach rätselhaft!!!

 

noch ne' Idee vielleicht?

Share this post


Link to post

ja, mach das was ich gesagt habe:

 

no sysopt noproxyarp outside

 

und konfigurier nicht irgendwas rein von dem du nicht weißt was es tut

Share this post


Link to post

tatsächlich, es lag am sch*** command "sysopt noproxyarp outside"

gerade rausgenommen und schon funktioniert...

 

 

@Otaku19: besten Dank! du bist ein Meister ;-)

 

 

Gruß

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...