Iceman7 11 Posted December 23, 2016 Report Share Posted December 23, 2016 Guten Morgen alle zusammen, vielleicht weis von euch jemand woran das bei mir hier scheitert? Ich habe mir eine ASA 5506X zugelegtund bin im großen und ganzen sehr zufrieden damit! Allerdings scheiter ich gerade an einem Punkt wo ich echt nicht mehr weiter weis! Auf der asa sind drei interfaces deviniert ein Inside mit Sec level 100 ein wan mit seclevel 0 und ein PPTP mit seclevel 10 an diesem seclevel hängt ein 1812 der einen VPN Tunnel side to side aufbaut der auch funktioniert soweit! Auf dem 1812er sind nat Regeln hinterlegt die an die ASA weitergereicht werden! Bis hier ist alles GUT! An der asa habe ich NAT regeln definiert die von PPTP zu inside gehen sollen und auch die ACL´s sind erstellt Allerdings werden diese gedropt? 3 Dec 23 2016 06:15:10 188.195.187.223 54547 192.168.2.23 443 access-list PPTP_access_in permitted tcp PPTP/188.195.187.223(54547) -> inside/192.168.2.23(443) hit-cnt 1 first hit [0x141f56c9, 0x0] Und das ist der Punkt was ich nicht verstehe? ich habe gegooglet wie b***d aber nich passendes war dabei! vielleicht hat von Euch jemand eine IDEE? oder wenn Ihr noch was genaueres wissen müsst einfach was sagen.... Danke schon mal im Vorfeld... Quote Link to comment
Otaku19 33 Posted December 23, 2016 Report Share Posted December 23, 2016 hier wird nix gedropt. hier wird erlaubt. Quote Link to comment
Iceman7 11 Posted December 23, 2016 Author Report Share Posted December 23, 2016 Es läuft allerdings auf Error? und die Port´s sind nach wie vor geschlossen?! das kommt raus wenn ich ein Packet tracer laufen lasse Type - NAT Subtype - rpf-check Action - DROP . Config object network SIP_TLS nat (inside,PPTP) static interface no-proxy-arp service tcp https https Quote Link to comment
Iceman7 11 Posted December 29, 2016 Author Report Share Posted December 29, 2016 Guten Morgen, hat keiner nen Tipp woran es liegen könnte warum ich bei den Besagten ACL trotz Permitted einen Error bekomme? Quote Link to comment
blackbox 10 Posted December 29, 2016 Report Share Posted December 29, 2016 Hi, so ohne die Configs dazu - denke ich wird da keiner schlau raus und kann was dazu sagen. Es kann ja alles sein. Quote Link to comment
Iceman7 11 Posted January 3, 2017 Author Report Share Posted January 3, 2017 Guten Morgen Erstmal Also ich konnte nun das Problem schon mal eingrenzen es liegt wohl nicht an der besagten ASA sondern am besagten Router der einen PPTP Tunnel aufmacht! Mein dortiges Problem ist das alle UDP Nats gemacht werden aber die TCP´s nicht?! Anbei mal die besagte Config ;) Building configuration... Current configuration : 7403 bytes ! ! Last configuration change at 10:15:23 Berlin Tue Jan 3 2017 by Admin ! NVRAM config last updated at 10:13:49 Berlin Tue Jan 3 2017 by Admin ! NVRAM config last updated at 10:13:49 Berlin Tue Jan 3 2017 by Admin version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname XXXXXXXXXXXXXXXXXXXXXXXXXXX ! boot-start-marker boot-end-marker ! ! logging buffered 52000 logging console critical enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX enable password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ! aaa new-model ! ! aaa authentication login ciscocp_vpn_xauth_ml_1 local aaa authentication ppp default local aaa authorization network ciscocp_vpn_group_ml_1 local ! ! ! ! ! aaa session-id common ! no process cpu autoprofile hog clock timezone Berlin 1 0 crypto pki token default removal timeout 0 ! crypto pki trustpoint TP-self-signed-3478252759 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3478252759 revocation-check none rsakeypair TP-self-signed-3478252759 ! crypto pki trustpoint test_trustpoint_config_created_for_sdm subject-name e=sdmtest@sdmtest.com revocation-check crl ! ! crypto pki certificate chain TP-self-signed-3478252759 certificate self-signed 01 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33343738 32353237 3539301E 170D3136 30323235 31393538 30325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 34373832 35323735 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 81009BE4 832432D2 354B4CAD 57D8309F 7B6EC354 C00A263F C81B1864 309D92F9 7696B46F 485FBFDB 1AD9DDC1 F82B6CC4 51CAA244 EB722E4E 36A1FA67 08C0F7DD FBFCBBE8 A38B0ABF E76C59B6 0F387A6F 5B3B4337 10DDEF08 FED5B370 BDC329C4 D2158910 676CD0A9 42744CCB FD9D7A09 EDBBA197 2E4F258C 467266AE 0E7508D6 B74F0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 551D2304 18301680 14FE5C6C 75AB641B 9011EF94 65ABD2BC D0901D2B 36301D06 03551D0E 04160414 FE5C6C75 AB641B90 11EF9465 ABD2BCD0 901D2B36 300D0609 2A864886 F70D0101 05050003 81810040 C6618E17 A4A48250 142069F3 05DF9ECA 40DF7A1F D6412254 40F1633E 8B23E39D 74BD70FD 0DAE2058 55113BE7 1A94C6B1 F85003F5 920640C4 3BD367FF 6EC62157 2B52E04F 07BFD88D 51929012 C2E826CE 931542A5 1B26D45C 80BAC76D 8A63AF04 2BDFC4A2 BE31694B 6DDCD7A4 96056A3E D6CA5BED 6B0324F4 8767D643 6B372E quit crypto pki certificate chain test_trustpoint_config_created_for_sdm dot11 syslog ip source-route no ip gratuitous-arps ! ! ! ! ! ip cef ip flow-cache timeout active 5 ip domain name XXX.XXX ip name-server 188.246.0.34 ip name-server 217.144.128.34 ip inspect WAAS flush-timeout 10 no ipv6 cef l2tp-class L2TPVPN hidden ! ! multilink bundle-name authenticated ! vpdn enable ! parameter-map type regex sdm-regex-nonascii ! ! license udi pid CISCO1812/K9 sn FCZ1109227U username XXXXXXXX privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX username XXXXXXXX privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ! ! ip ssh version 2 pseudowire-class L2TPVPN-PW encapsulation l2tpv2 protocol l2tpv2 L2TPVPN ip local interface Vlan20 ip pmtu ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key XXXXXXXXXXXX address 188.246.XXX.XXX crypto isakmp nat keepalive 30 ! ! crypto ipsec transform-set PTYIPSEC esp-aes mode transport ! crypto map PTYL2TPMAP 10 ipsec-isakmp set peer 188.246.XXX.XXX set transform-set PTYIPSEC match address PTY_ACL_L2TPIPSEC ! ! ! ! ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 no ip address shutdown duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2 description Uplink DMZ Fritzbox switchport access vlan 20 no ip address no cdp enable ! interface FastEthernet3 description PPTP LAN switchport access vlan 30 no ip address ! interface FastEthernet4 no ip address shutdown ! interface FastEthernet5 no ip address shutdown ! interface FastEthernet6 no ip address shutdown ! interface FastEthernet7 no ip address shutdown ! interface FastEthernet8 no ip address shutdown ! interface FastEthernet9 no ip address shutdown ! interface Virtual-PPP1 ip address negotiated ip mtu 1460 ip flow ingress ip nat outside ip virtual-reassembly in ip tcp adjust-mss 1420 ppp chap hostname XXXXXXXXX ppp chap password 0 XXXXXXX no cdp enable pseudowire 188.246.XXX.XXX 11 pw-class L2TPVPN-PW ! interface Vlan1 no ip address shutdown ! interface Vlan20 description Uplink DMZ Fritzbox ip address 192.168.20.4 255.255.255.0 ip nat outside ip virtual-reassembly in crypto map PTYL2TPMAP ! interface Vlan30 description PPTP LAN ip address 192.168.30.2 255.255.255.0 ip nat inside ip virtual-reassembly in ! ip forward-protocol nd no ip http server ip http authentication local ip http secure-server ip http secure-port 1025 ip http timeout-policy idle 60 life 86400 requests 10000 ! ip flow-export version 5 ip flow-export destination 192.168.2.7 2055 ! ip nat pool MEDIA 192.168.30.1 192.168.30.1 netmask 255.255.255.0 type rotary ip nat inside source list 150 interface Virtual-PPP1 overload ip nat inside source static udp 192.168.30.1 53 46.41.XXX.XXX 53 extendable ip nat inside source static tcp 192.168.30.1 443 46.41.XXX.XXX 443 extendable ip nat inside source static tcp 192.168.30.1 444 46.41.XXX.XXX 444 extendable ip nat inside source static tcp 192.168.30.1 3478 46.41.XXX.XXX 3478 extendable ip nat inside source static udp 192.168.30.1 3478 46.41.XXX.XXX 3478 extendable ip nat inside source static tcp 192.168.30.1 5061 46.41.XXX.XXX 5061 extendable ip nat inside source static tcp 192.168.30.1 5269 46.41.XXX.XXX 5269 extendable ip nat inside source static tcp 192.168.30.1 8787 46.41.XXX.XXX 8787 extendable ip nat inside destination list 100 pool MEDIA ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip route 188.246.XXX.XXX 255.255.255.255 192.168.20.2 permanent ! ip access-list extended PTY_ACL_L2TPIPSEC permit udp host 192.168.20.4 eq 1701 host 188.246.XXX.XXX eq 1701 ! access-list 150 permit tcp any any range 50000 59999 no cdp run ! ! ! ! snmp-server community cisco RW snmp-server location XXXXXXXXXXXXXXXXXXXXXXXXXX snmp-server contact XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX snmp-server enable traps ospf cisco-specific state-change shamlink neighbor snmp-server enable traps dot11-qos snmp-server enable traps switch-over snmp-server enable traps rogue-ap snmp-server enable traps wlan-wep snmp-server enable traps atm subif snmp-server enable traps ipsec tunnel stop snmp-server enable traps ipsec too-many-sas snmp-server host 192.168.2.253 cisco ! ! ! ! control-plane ! ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 access-class 10 in password XXXXXXX transport input ssh ! ntp master ntp server 192.168.20.2 end Quote Link to comment
blackbox 10 Posted January 7, 2017 Report Share Posted January 7, 2017 Hallo, wenn das PPTP über die ASA läuft - hast du mal dort geschaut, ob das Inspect dafür aktiv ist - das hilft häufig gerade für PPTP. Quote Link to comment
Iceman7 11 Posted January 9, 2017 Author Report Share Posted January 9, 2017 Die sind auf der ASA schon Aktiv... Ich denke das das dortige Routing nicht passt, es kommt die Antwort über die WAN Schnittstelle und nicht über die besagte PPP1 ... Quote Link to comment
Iceman7 11 Posted January 12, 2017 Author Report Share Posted January 12, 2017 Guten Morgen, Also das Problem ist Leider nach wie vor nicht behoben :( Wir konnten es Gestern auf die ASA eingrenzen.... UDP´s werden akzeptiert und TCP´s bleiben geblockt warum auch immer :( Die ganzen Ispections sind global gesetzt, Hat Jemand von Euch noch eine IDEE???? Quote Link to comment
blackbox 10 Posted January 14, 2017 Report Share Posted January 14, 2017 Hi, hast du auch davon eine Config - so ist es blingflug und auch einen Log Mitschnitt. Quote Link to comment
Iceman7 11 Posted January 17, 2017 Author Report Share Posted January 17, 2017 Hi Leute also das Thema kann nun wirklich geschlossen werden! Hier war das Problem das das besagte Routing nicht vorhanden war :( In der ASA hat man noch ein Routing mit einer Sekundär Funktion hinzufügen müssen und schon ging alles! Danke Euch aber trotzdem! Quote Link to comment
blackbox 10 Posted January 17, 2017 Report Share Posted January 17, 2017 Hi, was verstehst du unter Routing mit einer Sekundär Funktion?!? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.