laserbrain 10 Geschrieben 3. März 2012 Melden Teilen Geschrieben 3. März 2012 Hi Leute, also ich bin wie die Jungfrau zum Kinde gekommen und muss zwei ASA 5505 einrichten, die einen VPN Tunnel über VDSL aufbauen. Aber das kommt erst sppäter. Ich scheitere daran, dass die Rechner aus dem LAN einen Zugriff auf das Internet kriegen. Weder Ping auf IP noch auf einen Namen klappt. Ich habe den REchnern im Lan schon einen öffentlichen T-Com DNS eingetragen, den ich auch nutzen darf. Auf der ASA mit CLI kann ich aber pingen... Was fehlt denn meiner config? : Saved : ASA Version 8.2(5) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.202.254 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 pppoe client vpdn group t-com ip address pppoe setroute ! ftp mode passive dns domain-lookup inside dns domain-lookup outside dns server-group DefaultDNS name-server 217.237.148.70 name-server 217.237.149.142 access-list inside_access_in extended permit ip any any access-list outside_access_in extended permit ip any any access-list inside_nat0_outbound extended permit ip any 192.168.202.80 255.255.255.240 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1480 ip local pool Alles 192.168.202.80-192.168.202.90 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit 192.168.202.0 255.255.255.0 inside icmp permit any outside no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 192.168.202.0 255.255.255.0 dns nat (inside) 1 0.0.0.0 0.0.0.0 access-group inside_access_in in interface inside control-plane access-group inside_access_in in interface inside access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 217.5.98.14 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.202.0 255.255.255.0 inside no snmp-server location no snmp-server contact ssh 192.168.202.0 255.255.255.0 inside ssh timeout 5 console timeout 0 vpdn group t-com request dialout pppoe vpdn group t-com localname USER vpdn group t-com ppp authentication pap vpdn username USER password ***** dhcpd auto_config outside ! dhcpd address 192.168.202.5-192.168.202.36 inside ! : end Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 3. März 2012 Melden Teilen Geschrieben 3. März 2012 Hi, was mir auf jedenfall auffällt - du definierst 2x ne Default Route ip address pppoe setroute <- Setroute übernimmt die vom PPPoE und route outside 0.0.0.0 0.0.0.0 217.5.98.14 1 Dies hier ist auch etwas seltsam muss aber nicht der Fehler sein Warum für das Netz nur DNS nat (inside) 1 192.168.202.0 255.255.255.0 dns Und dann noch das komplette Netz ? nat (inside) 1 0.0.0.0 0.0.0.0 hier sollte ein nat (inside) 1 192.168.202.0 255.255.255.0 reichen. Von aussen alles "offen" ? Ist das gewollt ? access-list outside_access_in extended permit ip any any Das war das was mir mal so eben aufgefallen ist - ist ja schon Spät :-) Nimm zum testen einfach den Packetwizard der in der ASA ist - damit kann du checken ob es geht oder wo es hängen bleibt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.