mrfox 10 Geschrieben 14. März 2011 Melden Teilen Geschrieben 14. März 2011 (bearbeitet) Hallo zusammen, ich verzweifel gerade ein bisschen an unsere neuen ASA 5505. Ich möchte gerne eine Portweiterleitung von aussen an einen Webserver, der im internen Netzwerk steht erstellen. Ich habe nun das Cisco ASA 5500 Series Configuration Guide using the CLI Handbuch gewälzt sowie mehrere Tipps im Internet. Aber irgendwie will das alles nicht so richtig. Ich bekomme im Logg immer folgenden Eintrag: "TCP access denied by ACL from xx.xxx.xxx.xx/59518 to outside:yy.yyy.yyy.yy/80. Wobei xx.xxx.xxx.xx die Adresse ist, von der ich versuche den Webserver aufzurufen und yy.yyy.yyy.yy die IP-Adresse des externe Ports ist. Hier mal meine aktuelle config: ASA Version 8.3(1) ! hostname ciscoasa names ! interface Vlan1 nameif inside security-level 100 ip address xx.x.x.x 255.0.0.0 ! interface Vlan2 nameif outside security-level 0 ip address xx.xx.xx.xx xxx.xxx.xxx.xxx ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns domain-lookup inside dns domain-lookup outside dns server-group DefaultDNS name-server xxx.xx.x.xx name-server xxx.xx.x.xx object network obj_any subnet 0.0.0.0 0.0.0.0 object network www host xx.xx.x.x object network Webserver host xx.xx.x.x <=IP Webserver object-group protocol TCPUDP protocol-object udp protocol-object tcp access-list outside_access_in extended permit tcp any object Webserver eq www pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (inside,outside) source dynamic any interface ! object network obj_any nat (inside,outside) dynamic interface object network Webserver nat (inside,outside) static interface service tcp www www route outside 0.0.0.0 0.0.0.0 xx.xxx.xxx.xx 1 <=GW unsers ISP timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http xxx.xxx.x.x xxx.xxx.xxx.x inside http xx.x.x.x xxx.x.x.x inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd dns xxx.xx.x.xx xxx.xx.x.xx dhcpd auto_config outside ! dhcpd address xx.x.x.x-xx.x.x.x inside dhcpd dns xxx.xx.x.xx xxx.xx.x.xx interface inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! Wie Ihr gerade an der Config erkennen könnt bin ich CISCO Anfänger. Mit den Tipps dieser Seite habe ich versucht das Portforwarding zu konfigurieren Link. Vielleicht kann mir hier jemand helfen? :confused: bearbeitet 14. März 2011 von mrfox Link hinzugefügt Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. März 2011 Melden Teilen Geschrieben 14. März 2011 Da hängt es schon an der ACL und nicht am static PAT Zitieren Link zu diesem Kommentar
mrfox 10 Geschrieben 14. März 2011 Autor Melden Teilen Geschrieben 14. März 2011 (bearbeitet) Vielen Dank für deine schnelle Antwort und dein Willen zur Hilfe. Das es an der ACL hängt kann ich mir schon iirgendwie denken. Habe aber keinen Ansatz diese zu korrgieren. Kann ich euch mit mehr Informationen versorgen, die hilfreich sein könnten? Edit: Ich habe nun mit dem Packe Tracer herausgefunden das die ACL nicht matchen. access-list outside_access_in extended permit tcp any object Webserver eq www An welches NEtzwerk müßte ich diese ACL nun anbinden? outside oder inside? Habe beides versucht funktioniert beides nicht. bearbeitet 14. März 2011 von mrfox Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. März 2011 Melden Teilen Geschrieben 15. März 2011 am outside, allerdings muisst du auch die richtige destination setzen. in den neuen Versionen muss man die inside/local IP angeben afaik Zitieren Link zu diesem Kommentar
mrfox 10 Geschrieben 15. März 2011 Autor Melden Teilen Geschrieben 15. März 2011 am outside, allerdings muisst du auch die richtige destination setzen. in den neuen Versionen muss man die inside/local IP angeben afaik Meinst du die Lokale IP des VLAN oder des Servers? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. März 2011 Melden Teilen Geschrieben 15. März 2011 des servers natürlich, so viel logik habens noch drin ;) Zitieren Link zu diesem Kommentar
mrfox 10 Geschrieben 15. März 2011 Autor Melden Teilen Geschrieben 15. März 2011 So langsam verzweifel ich. object network WEBSERVER host 10.0.0.2 access-list outside_access_in extended permit tcp any object WEBSERVER eq www object network WEBSERVER nat (inside,outside) static interface service tcp www www access-group outside_access_in in interface outside So... die Zeile besgen doch das ich Network Objekt WEBSERVER erstelle, eine acces-list outside_access_in und eine statische Route anlege. Mit der letzten binde ich die ACL dann an das outside interface. Deinen Tipp mit der IP habe ich auch brav befolgt. Hat aber immer noch nix gebracht. Bekomme dann immer noch den Fehler aus dem ersten Post. Der Paket Tracer gibt an, das das Paket durch die Standard ACL gedropped wird. Also das keine ACL definiert wurde. Kennst du oder jemand anderes eine gute Lektüre zum Thema ASA von Cisco die das verständlich erklären? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 16. März 2011 Melden Teilen Geschrieben 16. März 2011 Zuerst muss eine ACL für eingehenden Verkehr auf dem outside Interface für Port 80 erstellt werden - die ACL ist danach noch nicht aktiv!: access-list outside_access_in extended permit tcp any interface outside eq 80 In der statischen NAT Regel wird als Zweites definiert wohin Port 80 weitergeleitet wird: static (inside,outside) tcp interface 80 ServerIP 80 netmask 255.255.255.255 Zur Aktivierung wird die erstellte ACL "outside_access_in" für eingehenden Verkehr "in" an das outside Interface gebunden: access-group outside_access_in in interface outside Zitieren Link zu diesem Kommentar
mrfox 10 Geschrieben 16. März 2011 Autor Melden Teilen Geschrieben 16. März 2011 Hallo zusammen. Vieeelen Dank für die nette und geduldige Hilfe an allen. Ihr werdet es nicht glauben es funktioniert nun. Ich habe zum xten mal die ASA zurückgesetzt und neu eingerichtet. Keine Ahnung warum das nun hinhaut. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.