Jump to content

ASA 5505 droppt Pakete


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

 

habe da mal ein Problem, habe eine ASA 5505 (7.2.5) aufgesetzt und NAT Regeln geschaffen jedoch ist NAT-control aus. Die ASA verwirft auf dem internen VLAN Pakete und loggt dies nicht. Ich nehme an, daß das die Rückpakete sind, die noch genatet sind. Muß NAT-control zwingend an sein, wenn ich aufs outside interface NAten will? Bei einer ASA 5510 SW Stand 8.2 ists egal, NAT control an oder aus interessiert nicht, da ja NAT Regeln da sind...

 

 

Gruß

 

Rob

bearbeitet von rob_67
Link zu diesem Kommentar

jetzt mal Klartext, wer will wohin und was passiert ? Sprich:

config Teile her

log Einträge

Fehlerbeschreibungen mit welchen man auch was anfangen kann

...

 

Es hilft auch immer als erstes mal den packet-tracer anzuwerfen und zu capturen, dann erübrigen sich fast alle weiteren Fragen.

 

nat-control an heisst lediglich das es nat rules geben MUSS, und wenn es eine exemption ist.

Link zu diesem Kommentar

Hier die Konfig:

 

: Saved

:

ASA Version 7.2(5)

!

hostname ciscoasa

domain-name default.domain.invalid

names

name 10.0.0.200 a

name 10.100.100.160 b

name 10.100.200.0 c

name 172.16.0.48 d

name 172.32.0.33 e

!

interface Vlan2

nameif inside

security-level 20

ip address 192.168.1.254 255.255.255.0

!

interface Vlan100

nameif outside

security-level 0

ip address 192.168.2.146 255.255.255.252

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

switchport access vlan 100

!

ftp mode passive

dns server-group DefaultDNS

domain-name default.domain.invalid

object-group network LAN_Test_clients

description Erlaubte LAN PCs

network-object host 192.168.1.100

network-object host 192.168.1.101

network-object host 192.168.1.102

network-object host 192.168.1.103

network-object host 192.168.1.104

network-object host 192.168.1.105

network-object host 192.168.1.106

network-object host 192.168.1.107

network-object host 192.168.1.108

network-object host 192.168.1.109

network-object host 192.168.1.10

network-object host 192.168.1.110

network-object host 192.168.1.111

network-object host 192.168.1.112

network-object host 192.168.1.113

network-object host 192.168.1.114

network-object host 192.168.1.115

network-object host 192.168.1.116

network-object host 192.168.1.117

network-object host 192.168.1.118

network-object host 192.168.1.119

network-object host 192.168.1.11

network-object host 192.168.1.12

network-object host 192.168.1.13

network-object host 192.168.1.14

network-object host 192.168.1.15

network-object host 192.168.1.16

network-object host 192.168.1.17

network-object host 192.168.1.18

network-object host 192.168.1.19

network-object host 192.168.1.20

network-object host 192.168.1.21

network-object host 192.168.1.22

network-object host 192.168.1.23

network-object host 192.168.1.24

network-object host 192.168.1.25

network-object host 192.168.1.26

network-object host 192.168.1.27

network-object host 192.168.1.28

network-object host 192.168.1.35

network-object host 192.168.1.37

network-object host 192.168.1.40

network-object host 192.168.1.41

network-object host 192.168.1.42

network-object host 192.168.1.9

object-group network Inside_NAT_Hosts

network-object host 192.168.1.29

network-object host 192.168.1.2

network-object host 192.168.1.30

network-object host 192.168.1.32

network-object host 192.168.1.33

network-object host 192.168.1.36

network-object host 192.168.1.38

Link zu diesem Kommentar

object-group network DM_INLINE_NETWORK_3

group-object LAN_Test_clients

group-object Inside_NAT_Hosts

object-group network DM_INLINE_NETWORK_4

group-object LAN_Test_clients

group-object Inside_NAT_Hosts

object-group network DM_INLINE_NETWORK_5

group-object LAN_Test_clients

group-object Inside_NAT_Hosts

object-group network DM_INLINE_NETWORK_6

network-object b 255.255.255.240

network-object b 255.255.254.0

network-object d 255.255.255.240

network-object a 255.255.255.248

network-object host e

object-group network DM_INLINE_NETWORK_7

group-object LAN_Test_clients

group-object Inside_NAT_Hosts

object-group network Outside_NAT_Addresses

network-object host 192.168.1.2

network-object host 192.168.5.1

network-object host 192.168.5.2

network-object host 192.168.5.3

network-object host 192.168.5.4

network-object host 192.168.5.5

network-object host 192.168.5.6

network-object host 192.168.2.150

access-list inside_access_in extended permit icmp object-group DM_INLINE_NETWORK_1 192.168.2.144 255.255.255.252 log

access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_2 a 255.255.255.248 log

access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_3 b 255.255.254.0 log

access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_4 b 255.255.255.240 log

access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_5 d 255.255.255.240 log

access-list inside_access_in extended permit ip object-group DM_INLINE_NETWORK_7 host e log

access-list inside_access_in extended deny ip any any log

access-list outside_access_in extended permit ip object-group DM_INLINE_NETWORK_6 object-group Outside_NAT_Addresses log

access-list outside_access_in extended deny ip any any log

pager lines 24

logging enable

logging asdm informational

mtu inside 1500

mtu outside 1500

ip verify reverse-path interface outside

icmp unreachable rate-limit 1 burst-size 1

icmp permit 192.168.1.0 255.255.255.0 inside

icmp deny any inside

icmp permit any echo-reply outside

icmp permit host 192.168.2.145 echo outside

icmp deny any outside

asdm image disk0:/asdm-525.bin

no asdm history enable

arp timeout 14400

nat (inside) 1 192.168.1.0 255.255.255.0

static (inside,outside) 192.168.2.150 192.168.1.38 netmask 255.255.255.255

static (inside,outside) 192.168.5.2 192.168.1.29 netmask 255.255.255.255

static (inside,outside) 192.168.5.3 192.168.1.30 netmask 255.255.255.255

static (inside,outside) 192.168.5.4 192.168.1.32 netmask 255.255.255.255

static (inside,outside) 192.168.5.5 192.168.1.33 netmask 255.255.255.255

static (inside,outside) 192.168.5.6 192.168.1.36 netmask 255.255.255.255

static (inside,outside) 192.168.5.1 192.168.1.2 netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

route inside 0.0.0.0 0.0.0.0 192.168.1.1 1

route outside d 255.255.255.240 192.168.2.145 1

route outside a 255.255.255.248 192.168.2.145 1

route outside b 255.255.254.0 192.168.2.145 1

route outside c 255.255.255.240 192.168.2.145 1

route outside e 255.255.255.255 192.168.2.145 1

Link zu diesem Kommentar

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

aaa authentication http console LOCAL

aaa authentication ssh console LOCAL

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

no vpn-addr-assign aaa

no vpn-addr-assign dhcp

no vpn-addr-assign local

telnet timeout 5

ssh 192.168.1.0 255.255.255.0 inside

ssh timeout 5

console timeout 0

management-access inside

 

!

!

prompt hostname context

Cryptochecksum:6287c2aa299b962db513d2a622bc085f

: end

global (outside) 1 interface

object-group network DM_INLINE_NETWORK_1

group-object LAN_Test_clients

group-object Inside_NAT_Hosts

object-group network DM_INLINE_NETWORK_2

group-object LAN_Test_clients

group-object Inside_NAT_Hosts

 

 

Logfile habe ich leider nicht, da die ASA nichts loggt, die Pakete sind erlaubt, werden genatet und gehen raus, auch die Antwort kommt zurück, jedoch kommt diese nicht beim client an. Beide Interfaces sind UP, nur das Inside VLAN zählt gedroppte Pakete hoch. Leider komme ich nicht dauernd an diese ASA ran... So daß das die Fehlersuche stark einschränkt. Habe auch schon gesniffert, genatete Pakete kommen am Gateway an. Diese werden laut externem Diensleister auch zurückgesendet... Bin ein bisschen ratlos. Ist eigentlich nichts gewaltiges. Die 5510, die ich im Ensatz habe funzt problemlos. Habe nachträglich ICMP Regeln eingefügt, da bekomme ich zumindest mal auf einen Ping nach außen eine Antwort, aber TCP in andere Netze geht nicht, kann dahinein leider nicht pingen.

 

Gruß

 

Rob

Link zu diesem Kommentar

Hi,

 

 

also es ist doch nicht die ASA, der Dienstleister hat mir nicht die Wahrheit gesagt, ich habe ein Konfigfehler auf die falsche NAT Adresse und hinter der ASA hängt ein VPN Router, darüber gehts in andere Private Netze mit Firewalls und die Interface Adresse scheint nicht erlaubt zu sein, sondern ich muss einfach mal auf die richtige Adresse NATen, die gedroppten Pakete sind dann doch LAN Geschichten. Mich hat bloß erstaunt, daß die ASA loggen soll, was sie auch macht, aber irgendwelche LAN Geschichten loggt sie halt doch nicht mit...

 

Gruss

 

 

Rob

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...