ASA5510 connectie probleem

Hallo,

Ik heb hier een ASA 5510 en heb hier wat problemen mee, ik kan niet niet vinden waar het mis gaat.

Het volgende. Ik heb een Vlan op mijn switch gemaakt en daarin gaat een touwtje van me Asa5510 (interface genaamd Sonda) een touwtje van me edge server en een touwtje van me ISA DMZ.

Ze zitten allemaal in hetzelfde subnet.
Asa5510: 192.168.20.1
Edge: 192.168.20.6
ISA 192.168.20.5 (gateway hier is 192.168.20.1)

Als ik verbinding maak met mijn edge server en ik wil pingen naar mijn ISA server dan krijg ik soms wel 4x achter elkaar antwoord en soms 4x een timeout. Probeer ik het bijvoorbeeld 5 a 10 min later dan gaat het wel weer goed. (kan net zo goed adersom getest worden dus van ISA naar EDGE)
Op het moment dat ik een Time-out krijg zie ik dit terug op mijn ASA5510. Deny inbound icmp src Sonda:edge dst Sonda:Isa (type 8, code 0)
Ik geef nu even een ping als voorbeeld, maar dit is precies hetzelfde als bijvoorbeeld een RDP sessie. Dit gaat soms wel en soms niet, op het moment dat het niet gaat zie ik weer een error terug op de ASA. Soms ben je ook ineens je RDP sessie kwijt.
Op het moment dat alles goed gaat zie ik dit verkeer netjes in de log van mijn ISA server. Op het moment dat het fout gaat zie ik dit uiteraard alleen in de log van mijn ASA, de ISA wordt dan nog geen eens bereikt.
Ik heb ook een keer een laptop in dit VLAN gehangen en IP 192.168.20.7 gegeven. Ook hier dezelfde problemen.

Wie kan mij vertellen waar het fout gaat. Zoals in de error te zien is gaat het allemaal over dezelfde interface (sonda) en de regels staat op allow any - any en dan all traffic. Ik blokkeer dus niets.

Iemand een idee? firmware update? deze kan ik echter niet krijgen als particulier/bedrijf. hier schijn je reseller voor te zijn?

EDIT: op het moment dat ik een RDP heb, wil deze ook wel eens wegvallen. Op dat moment zie ik in de ASA het volgende: Inbound TCP connection denied from isa/2255 to edge/3389 flags SYN on interface Sonda

EDIT 15:45: Ik doe bovenstaande testen ook vanaf een client die in me interne netwerk hangt. In dit geval is dit 10.0.2.60 (heeft als Gateway, 10.0.2.3 en dat is de ISA). Hier heb ik dezelfde problemen.
Als ik op mijn ASA aanvink "Enable traffic between two or more hosts connected to the same interface" dan krijg ik de volgende melding bij RDP. Deny TCP (no connection) from edge/3389 to 10.0.2.60/331 flags SYN ACK on interface Sonda.
Als dit vinkje aan is lijtk het pingen bijvoorbeeld wel goed te gaan. Moet dit vinkje aanstaan en waarom krijg ik dan de (no connection) error?
Welke al aanstond is deze "Enable traffic between two or more interfaces which are configured with same security levels.
Ik gok dat het ergens in deze hoek gezocht moet worden?
Ik weet alleen nog niet of het pingen wegvalt na verloop van tijd. Voor nu heb ik het vinkje weer even uitgezet aangezien ik nu naar huis ga en alles even wil laten zoals het was en er de andere dag weer vanaf s'ochtends mee verder wil.

[ Voor 25% gewijzigd door Verwijderd op 22-10-2009 15:48 ]

axis schreef op maandag 26 oktober 2009 @ 13:05:
Het plaatje maakt dingen wel wat duidelijker, maar als ik dit zo zie snap ik niet wat je ASA doet met slechts 1 interface..

Als je pingt vanuit je 10.0.2.x netwerk naar 192.168.20.6 zou je ASA niets moeten doen, die zou het pakketje niet eens moeten zien.. Als jij denk dat dat anders moet, hoor ik dat graag.. Ik vraag me dan ook af wat de functie is van de ASA in deze setup..

Handig gereedschap is Wireshark, sniffer die ik zou installeren op je ISA. Als het goed is zou je moeten kunnen zien dat er geen traffic naar het mac adres van je ASA gaat. Zo ja, kun je misschien troubleshooten waarom.

De ASA hangt met een andere interface ook aan de buitenkant, ook heb ik nog een interface waar het oude netwerk aanhangt (deze zal op termijn helemaal down gaan). Deze zijn even niet van belang in deze tekening.

Ik zie wel degelijk verkeer over mijn ASA gaan. Mijn isa heeft IP 192.168.20.5 en als gateway heeft deze 192.168.20.1 (dit is die ASA dus). Deze zorgt ervoor dat ik een internet connectie heb aangezien de ASA aan het internet hangt

De clients in het 10.0.2.x netwerk hebben de ISA met IP 10.0.2.3 als gateway.

Zodra ik het vinkje aanzet kan ik gewoon alles doen. RDP werkt, pingen werkt enz

Als ik vanaf een machine met 10.0.2.x een andere machine ping met ook een 10.0.2.x adres dan zie ik idd geen verkeer over de ASA gaan.

Wat ik wel vergeten ben te zeggen is dat het 10.0.2.x netwerk ook op een andere VLAN zit op de switch. Dus ook het andere touwtje van de ISA zit in dit VLAN (VLAN 3) en alle clients en server in het 10.0.2.x netwerk zitten ook in VLAN 3

De ASA, Edge en ISA met (192.168.20.5) zitten in Vlan 4. Isa heeft als gateway 192.168.20.1 over NIC1. Nic 2 heeft geen standaard gateway.

Alle clients in het 10.0.2.x netwerk hebben als gateway 10.0.2.3. (wat hier in de tekening ontbreekt is bijvoorbeeld mijn AD dat is 10.0.2.4 maar die hangt er gewoon onder ook in Vlan3).
Zie tekening. Zoals je ziet zitten alle 10.0.2.x machines in VLAN 3.

[ Voor 25% gewijzigd door Verwijderd op 26-10-2009 13:45 ]

axis schreef op maandag 26 oktober 2009 @ 13:42:
[...]

Ik ben een andere mening toebedaan. Het feit dat die ASA meerdere interfaces heeft verklaart waarom die ISA de ASA als default gateway heeft staan. Als je geen compleet beeld geeft van je omgeving kunnen wij ook geen compleet beeld krijgen, en je adviseren bij je problemen.

Heb je op je ISA aangegeven dat verkeer vanaf 10.0.2.x geNAT wordt of geroute? Belangrijk verschil. In het laatste geval zie je op de machines in je 192.168.20.x netwerk als source adres 10.0.2.x staan, en je moet dus ook static routes toevoegen! Op je edge server moet je bijvoorbeeld de volgende route toevoegen:

route add -p 10.0.2.0 mask 255.255.255.0 192.168.20.5

Om te zorgen dat de retourpakketjes direct teruggaan naar de juiste router (de ISA), en niet naar je ASA, die hoort deze pakketjes helemaal niet te krijgen. Dat is het nadeel van deze firewall-achter-firewall oplossing, dat je met statische routes aan de slag moet.

I'm Sorry voor het feit dat de informatie niet helemaal compleet was.
Hmmz ik zie op mijn ISA dat er zowel een Route als een NAT staat van 10.0.2.x naar 192.168.20.x. Daar gaat het dus gruwelijk fout in dit geval. Ik ga eerst even proberen het e.a aan te passen hier. Mocht het niet lukken dan kom ik hier even op terug. Ik heb namelijk nog een oud netwerk draaien welke ook aan een andere interface hangt van de ASA en ook zijn eigen ISA server heeft. Alleen de mail server draait nog op deze SBS server. Ik denk dat ik toen zowel een route als een Nat heb aangemaakt omdat anders de mail niet te benaderen was vanaf het nieuwe netwerk. Dus weet niet of ik nou die route of Nat moet verwijderen. Ik ga even morgen ochtend testen door wat van deze dingen te disable-en als dit niet werkt zal ik het oude netwerk deel er even bij tekenen. Dit is van belang om de mail te laten werken op het nieuwe netwerk. Als ik dit nu aanpas dan doet mogelijk de mail het niet meer.
Die static route op de Edge server heb ik idd al eerder toegevoegd.

[ Voor 21% gewijzigd door Verwijderd op 26-10-2009 14:11 ]

axis schreef op maandag 26 oktober 2009 @ 14:09:
[...]

Weet ik niet, post eens een 'route print' van je ISA..

En de relatie tussen die 2 netwerken, en of dat nu routing mode of NAT mode is, moet je ergens in de ISA gui aangeven.

plaatje van het net geplukt:
[afbeelding]

Het makkelijkst is om volgens mij ELK netwerk in routed mode te draaien, alleen de uiteindelijke connectie op je ASA naar het net NATten.. Maar je zult dan denk ik wel overal routes moeten toevoegen.. (Wel makkelijk troubleshooten, je kunt overal naartoe pingen)

Ik heb hier een Route van mijn ISA server.
Als ik op mijn netwerk connections kijk van de ISA zie ik zowel NAT als Route staan van dmz naar internal. Ik ben beetje bang om 1 van de 2 te verwijderen omdat dan mogelijk mijn mail niet meer werkt naar het 10.0.2.x netwerk toe (vanaf het 10.0.1.x netwerk welke ook weer aan een interface hangt. Dit kan ik evt wel erbij tekenen allemaal).
Aan de andere kant kan ik ook zeggen, morgen ochtend ff die NAT disablen en dan kijken wat die doet, werkt het niet dan weer aan en even compleet uittekenen. Ik zal echt blij zijn als ik de mail server helemaal over heb gebracht naar het 10.0.2.x netwerk. Dan kan het oude netwerk compleet uit en heb ik geen last meer van verbindingen hier naar toe aangezien dat andere netwerk ook weer aan een interface hangt en ook weer zijn eigen ISA heeft.
Kan me voorstellen dat het een beetje ingewikkeld lijkt. Maar in feite komt het er op neer dat ik straks alleen nog maar die 192.168.20.x en 10.0.2.x heb de rest zoals 10.0.1.x (waar de mail op draait) en de andere interface down gaan. Dan moet de Edge server gewoon netjes werken voordat ik het andere netwerk uit kan zetten. Met het vinkje "same interface" werkt alles prima, maar is dus niet de bedoeling.


Laten we er morgen dus even mee verder gaan. Ik denk dat we (of eigenlijk Axis ) het probleem al aardig gevonden heeft doordat er zowel een NAT als een Route staat van DMZ naar Internal.

Alvast bedankt en ik laat het zo ie zo even weten

[ Voor 33% gewijzigd door Verwijderd op 27-10-2009 13:53 ]

Goedemorgen,

Ik heb ervoor gezorgd dat er geen Nat EN Route meer zijn naar DMZ - Internal. Helaas zonder resultaat.
Zodra ik de NAT disable dan kom ik niet meer bij de mail welke op het oude netwerk draait. Ik heb alle route's van het oude naar het nieuwe netwerk ge-disabled en alles blijft werken. In feite hoeft ook alleen maar de mail nog bereikbaar zijn hier.
Toch zie ik helaas nog steeds verkeer over me ASA gaan zodra ik een ping doe vanaf 192.168.20.5 naar 192.168.20.6
Mogelijk dat er op de ASA nog bepaalde regels staan die dit veroorzaken?

Edit:
Als ik vanaf een client met 10.0.2.60 ping naar 192.168.20.5 (isa dus) dan krijg ik netjes antwoord en zie ik niks over de ASA voorbij komen.
Ping ik naar 192.168.20.6 (edge dus) en dna ook vanaf die 10.0.2.60 dan krijg ik een time-out en dan zie ik het verkeer wel over de ASA voorbij komen als een deny (zoals de melding in mijn openings bericht).

In mijn ASA zie ik exemt rules staan met daarin veel netwerken. zoals bijvoorbeeld:

Sonda interface outbound
Exempt:
- Nieuwnetwerk/24 Nieuwnetwerk/24 (10.0.2.x)
- Internal-network/24 Internal-network/24 (10.0.1.x dit is het oude netwerk waar de mail draait)
- ISA_server intern Isa_server intern (192.168.2.1 dit is de isa server op het oude netwerk verbonden met een andere interface op de asa
- Sonda-network/24 Sonda-network/24 (192.168.20.x)

Al deze staan in 1 exempt rule en ik weet eerlijk gezegd niet waarom dit allemaal in 1 zo'n regel staat, dit heeft een andere collega voor mij hier werkte al gedaan, en ik durf er eigenlijk niet zomaar iets uit te verwijderen.

Dit was 1 voorbeeld zo heb ik nog meer van deze Exempt rules op de interface Inside (dit is waar de oude ISA server aanhangt met 192.168.2.1). Ook in deze Exempt zie ik bovenstaande terug komen.

Dit is dus een rommeltje maar weet niet zo goed wat ik ermee aan moet.
In feite is het alleen nog van belang dat de mail op het 10.0.2.x netwerk blijft draaien wat van 10.0.1.x vandaan komt.
Mogelijk dat hier ook de problemen vandaan komen met het pingen van 192.168.20.5 naar 192.168.20.6 en omgedraait.

Zal ik hier een screenshot plaatsen van deze Nat rules van de ASA? dan verberg ik even de externe adressen die erin staan. Het is echt een rommeltje gewoon

Maar goed ik denk dat het eerder in de ISA gezocht moet worden en de ASA alleen maar pakketjes krijgt die hij niet hoort te krijgen. Denk dat die ASA regels los staan van dit probleem

[ Voor 73% gewijzigd door Verwijderd op 27-10-2009 11:10 ]

Dit is de Route tabel van de Edge server


Dit is overigens de route tabel van mijn ISA server. Er zit hier een 3e netwerkkaart die verbonden is met het oude netwerk 10.0.1.x via hier is het mogelijk direct te verbinden met de mail op het oude netwerk. Deze netwerkkaart gaat er uiteindelijk uit.
De standaard gateway verwijst toch echt naar de 192.168.20.1 (asa)


Ik zie wel deze melding terug van 2 weken geleden. Ik weet alleen niet of dit wel met dit probleem te maken heeft

Description: ISA Server detected routes through the network adapter DMZ that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 10.255.255.255-10.255.255.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

Zit er al te denken om morgen ochtend een joekietoekie switchje te pakken en dan eens mijn laptop en de edge appart hier in te prikken. Kijken of ze onderling wel kunnen praten. Daarna de ISA DMZ er eens bij om te kijken wat er dan gebeurd, werkt het dan niet meer dan zit het hier in. Als het dan allemaal werkt kan ik het ook nog in de switch gaan zoeken. :S:S

[ Voor 142% gewijzigd door Verwijderd op 27-10-2009 14:29 . Reden: aanvulling ]

Pingen van 10.0.1.x naar 10.0.2.x gaat op dit moment ook.
Dit gaat waarschijnlijk over die 10.0.1.151 heen.

Maar je hebt gelijk dat het 1 routed netwerk moet worden, maar zodra dit aan de praat is (het kunnen pingen wat ook blijft werken en niet zomaar wegvalt) dan kan ik de nieuwe mail server verder configureren die communiceert met de Edge server. Daarna kan het complete oude netwerk uit (dat 10.0.1.x) dus eerlijk gezegt zie ik het niet zo zitten om dit allemaal aan te passen, dit zal beteken dat ook de oude ISA server en DC van de oude server (SBS server) aangepast moeten worden om het vervolgens als de nieuwe mail server geconfigureerd is weer down te brengen.

[ Voor 6% gewijzigd door Verwijderd op 27-10-2009 15:23 ]

Ik heb vanmorgen een joekietoekie switch gepakt en mijn laptop en de edge hierin geprikt. Het pingen en alles ging prima nu. Pingen blijft die continu doen zonder weg te vallen.
Het gaat blijkbaar dus fout op de ISA server. Morgen ochtend wil ik ook de ISA server (DMZ) in dit switchje doen en kijken wat hij dan doet.
Daarna zal ik het poortje vanaf de ASA hier ook bij doen.
Ik heb nu alles weer terug gezet zoals de oude situatie is.

Nu weer testen in de oude locatie:
Op het moment als ik ping vanaf mijn laptop (192.168.20.9) naar bijvoorbeeld de Edge server (192.168.20.6) dan krijg ik time-out (vaak de eerste keer wel, daarna 3x timeout en zie ik ze in de log van me ASA als deny).
Doe ik nu een arp -a dan zie ik op dit IP adres 192.168.20.6 (edge dus) het Mac adress van de ASA terug.
Ik heb de arp tabel al eens leeggehaald op deze laptop.
Ook pingen vanaf mijn laptop naar de ISA (192.168.20.5) werkt niet (time-out).
Als ik nu eerst een ping doe naar 192.168.20.1 (ASA) dan krijg ik antwoord. Ping ik nu hierna nog een keer naar de ISA op 192.168.20.5 dan krijg ik heel vaak opeens WEL antwoord, dit val uiteindelijk weer weg (tussen de 1 tot 5 minuten, al het verkeer werkt dan ook). Ook de arp tabel klopt op dat moment wel (juiste mac bij IP adress).
Doe ik op dat moment een tracert dan gaat die de eerste hop direct naar de juiste server.
Feit is dat ik van alle machines in het 192.168.20.x netwerk de ASA kan pingen dus 192.168.20.1
Dus vanaf naar 192.168.20.5 naar 192.168.20.1 gaat prima
vanaf 192.168.20.6 naar 192.168.20.1 gaat prima
en vanaf 192.168.20.9 naar 192.168.20.1 gaat prima.
Onderling vanaf de andere IP adressen is het maar afwachten of ik response krijg.

Tis zo vaag aangezien ze allemaal in hetzelfde subnet zitten 255.255.255.0 dan zal je zeggen dat je met routeringen weinig van doen hebt

[ Voor 5% gewijzigd door Verwijderd op 28-10-2009 11:14 ]

Flyduck schreef op woensdag 28 oktober 2009 @ 11:45:
Ik vermoed dat je een verkeerd geconfigureerd static commando op je ASA hebt staan.

Waar zou ik dit moeten zoeken? Ik maak gebruik van de ASDM 6.1
Je bedoeld bij de NAT rules?

[ Voor 5% gewijzigd door Verwijderd op 28-10-2009 12:05 ]

Flyduck schreef op woensdag 28 oktober 2009 @ 13:19:
[...]


Kan je eens het commando show run | include static en show run | include nat geven via ASDM en dan de output eens posten? (public ip's wel even masken)

Result of the command: "show run | include static"

access-list Sonda_nat_static_1 extended permit ip host videopc any
static (Customer,outside) tcp 195.x.x.x https test_server https netmask 255.255.255.255
static (inside,outside) TEMP.195.x.x.x Isaserver netmask 255.255.255.255 (EDIT: dit is de oude ISA server)
static (inside,outside) TEMP.195.x.x.x access-list Sonda_nat_static_1
static (Sonda,outside) TEMP.195.x.x.x Dmzsrv003 netmask 255.255.255.255 (EDIT: dit is de nieuwe ISA)


Result of the command: "show run | include nat"

access-list Sonda_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_6 object-group DM_INLINE_NETWORK_7
access-list inside_nat0_outbound remark Regel t.b.v. toegang support.sim-industries.com
access-list inside_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_11 192.168.30.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip host ISAServer_INTERN 192.168.1.192 255.255.255.224
access-list inside_nat0_outbound extended permit ip object-group DM_INLINE_NETWORK_1 object-group DM_INLINE_NETWORK_3
access-list Sonda_nat0_outbound_1 extended permit ip object-group DM_INLINE_NETWORK_4 Nieuwnetwerk 255.255.255.0
access-list Sonda_nat_static_1 extended permit ip host videopc any
access-list Customer_nat0_outbound extended permit ip 192.168.30.0 255.255.255.0 any
access-list inside_nat0_outbound_1 extended permit ip host ISAServer_INTERN object-group DM_INLINE_NETWORK_13
nat-control
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 0 access-list inside_nat0_outbound_1 outside
nat (inside) 101 0.0.0.0 0.0.0.0
nat (Sonda) 0 access-list Sonda_nat0_outbound_1
nat (Sonda) 0 access-list Sonda_nat0_outbound outside
nat (Sonda) 101 192.168.20.0 255.255.255.0
nat (Customer) 0 access-list Customer_nat0_outbound outside
nat (Customer) 101 192.168.30.0 255.255.255.0
static (inside,outside) TEMP.195.x.x.x access-list Sonda_nat_static_1
crypto isakmp nat-traversal 10

Zal het misschien hier in zitten? static (Sonda,outside) TEMP.195.x.x.x Dmzsrv003 netmask 255.255.255.255 ???
Die Dmzsrv003 is die 192.168.20.5

Zoals ik al eerder vermeld had staan er ook een hoop dingen in die er mogelijk teveel in staan waarvan ik niet zomaar iets durf te verwijderen. Vooral bij de NAT rules als ik in mijn ASDM kijk zie ik veel Exempt rules staan en dan naar erg veel machines in 1 regel. Durf hier niet zomaar aan te zitten.
Hoop dat je iets met bovenstaand kan.
Ik heb zelf wat Edits geplaatst om het wat te verduidelijken. Als er iets niet duidelijk is hoor ik het graag

[ Voor 9% gewijzigd door Verwijderd op 28-10-2009 15:20 ]

Flyduck schreef op woensdag 28 oktober 2009 @ 15:45:
Waar in je netwerk zit de inside interface van de ASA precies aangesloten?

Zoals je nu in de tekening kan zien zit deze in hetzelfde Vlan (Vlan 5) als de oude isa server.


Daar ben ik weer. Heb even zitten knutselen in paint. Als het goed is heb ik nu alles staan zoals het zit.
In de nieuwe ISA server heb ik ook een netwerkkaart van het 10.0.1.x netwerk. Zo is het eenvoudig om via de clients de oude mail server te benaderen. Dit zal uitgaan als ik de nieuwe Exchange in de lucht gebracht heb. Hiervoor moet eerst dit probleem opgelost zijn. De exchange server hangt aan het 10.0.2.x netwerk.
De mail zal dus eerst door de Edge server heen gaan.

Ik hoop dat je zo voldoende info hebt, zo niet dan hoor ik het graag. Zal echt blij zijn als het opgelost is

Hoop ook dat de tekening een beetje duidelijk is. Zo niet dan kan ik hem evt ook mailen, dan is die op groter formaat en zijn de kleuren ook duidelijker die ik gebruikt heb

[ Voor 66% gewijzigd door Verwijderd op 29-10-2009 08:39 . Reden: aanpassing ]

Flyduck schreef op donderdag 29 oktober 2009 @ 08:59:
[...]


Graag zou ik eerst nog even weten wat de uitkomst van deze test is om de dell switch uit te kunnen sluiten als oorzaak (dus alles wat in VLAN 4 zit op een aparte switch zetten)

Hey Flyduck,

Dit wilde ik vanmorgen gaan doen en toen ik binnen kwam zat tot mijn verbazing een collega al druk te werken achter der computer. die begint normaal pas om 9 uur, hierdoor kon ik dus niets eruit trekken.
Morgen ochtend kan ik dus pas alles in een appart switchje doen.
Moet ik het nog in bepaalde volgorde doen of zeg je prak alles er maar in 1x in?

Ik heb op de layer 3 Switch zelf verder niets ingesteld. Alleen verschillende Vlan's aangemaakt en hier geen subnet of IP reeks aan toegekend. Dus in feite geen intelligentie.

Ik ga morgen (als het van de "baas" mag) even een half uurtje eerder (6:30 uur) zodat ik een uur de tijd heb om alles even om te prikken.
Bedankt weer!!

Edit: Even ter info het zijn 2 Dell switchjes aan elkaar geknoopt (stack). Type: 6248P
Deze werken met dezelfde commando's als Cisco.
Hier evt een link naar een manual ervan http://support.dell.com/s...2xx/en/CLI/PDF/cli_en.pdf

Maar laten we niet op de zaken vooruit lopen en eerst maar even met een simpel switchjes testen

[ Voor 32% gewijzigd door Verwijderd op 29-10-2009 10:38 ]

Flyduck schreef op donderdag 29 oktober 2009 @ 12:13:
Volgorde maakt niet zoveel uit,misschien wel even testen zonder de ASA.
Voordat je alles gaat omprikken zou ik je aanraden eerst te controleren of proxy-arp uitstaat op de ASA.
(op de SONDA interface no ip proxy-arp) en dan nog eens te testen.

*edit*
Ik zou sowieso eens visio gebruiken om je netwerk goed uit te tekenen.

thx
Kan ik dat evt nu ook al uitzetten? Moet ik dit na de test weer aanzetten?

Die tekening moet ik idd ook nog een keer in Visio maken. Dit ga ik doen zodra het oude netwerk (10.0.1.x) compleet uit de lucht is.

[ Voor 4% gewijzigd door Verwijderd op 29-10-2009 12:33 ]

Flyduck schreef op donderdag 29 oktober 2009 @ 12:47:
[...]


Is het mogelijk dat je een uitdraai van de ARP tabel kan maken van de DELL switch op het moment dat het goed en dat het fout gaat? In principe zou het uitzetten van proxy-arp geen gevolgen moeten hebben maar zou dat soort dingen toch buiten werktijd testen.

Weet jij het commando die ik dan moet geven?
Als ik nu Sh arp doe krijg ik dit: Ik zie dus helemaal geen Ip adressen staan

console#show arp

Age Time (seconds)............................. 1200
Response Time (seconds)........................ 1
Retries........................................ 4
Cache Size..................................... 896
Dynamic Renew Mode ............................ Enable
Total Entry Count Current / Peak .............. 0 / 0
Static Entry Count Configured / Active / Max .. 0 / 0 / 64

IP Address MAC Address Interface Type Age
--------------- ----------------- -------------- -------- -----------

[ Voor 42% gewijzigd door Verwijderd op 29-10-2009 13:19 ]

Flyduck schreef op donderdag 29 oktober 2009 @ 13:23:
Ok dat kan wel kloppen idd, probeer eens show mac-address-table, krijg je dan wel info?

Ik kan alleen dit commando geven:

console#show mac ?

access-lists Display MAC Access List information.

console#show mac access-lists

No ACLs are configured

console#

Flyduck schreef op donderdag 29 oktober 2009 @ 13:44:
Ok laat maar ff zitten dan. Probeer iig die proxy-arp en de switch morgenochtend

Ga ik doen. Thx man, waardeer het echt!!
Ik heb op me laptop geen gateway ingesteld. daar staat nu alleen
192.168.20.9 255.255.255.0

Op de edge staat 192.168.20.6 255.255.255.0 Gateway 192.168.20.5
Op de Isa staat 192.168.20.5 255.255.255.0 Gateway 192.168.20.1 (adres van de ASA)

Moet ik hier nog iets aan veranderen? Dit moet niets uitmaken toch?

[ Voor 39% gewijzigd door Verwijderd op 29-10-2009 15:00 ]

Schiet mij maar lek ;-)
Ik heb de ARP uitgezet voor Sonda en het lijkt te werken. Ik heb nog geen eens de kabels in een joekietoekie switch gedaan. zie screenshot


daarna kon ik prima pingen vanaf me laptop naar de edge server toe wat normaal niet goed ging (of heel soms na eerst een keer naar de ASA gepingt te hebben).
Zie screenshot van mijn Ping resultaat:
De verloren pakketjes is de tijd dat ik de edge server ging rebooten. Daarna is die weer doorgegaan met pingen.
Kan het kwaad dat het nu op No staat? hoe kan het eigenlijk, is dit op te lossen of heeft het verder geen functie?



Ik ben al heel blij met dit resultaat :):) echt vet gewoon.
Bedankt voor je hulp Flyduck!!!!!

Flyduck schreef op vrijdag 30 oktober 2009 @ 10:47:
Geen dank, houdt mezelf ook scherp he.
Proxy arp staat standaard aan op de ASA interfaces en dat houdt eigenlijk in dat het apparaat gaat antwoorden voor andere nodes op het subnet. Vandaar ook dat je pakketjes op de ASA kwamen terwijl ze daar niets te zoeken hadden. En nu nog even de visio tekening he

Weer wat geleerd

Haha ja die Visio tekening gaat er uiteindelijk komen. Die bestaat al, alleen ontbreken hier nog een aantal zaken aan (zoals de Edge server in de DMZ).
Nogmaals bedankt en een goed weekend.