Toon posts:

[Windows 2008 R2] DirectAcces icm Cisco ASA 5505

Pagina: 1
Acties:

vrijdag 17 juni 2011 16:39

Acties:
  • 0 Henk 'm!
  • BBenedictus
  • Registratie: Januari 2006
  • Laatst online: 05-05 10:15

BBenedictus

Topicstarter
Geachte mede tweakers,

Wij proberen een testomgeving op te bouwen met DirectAccess en een Cisco ASA. Helaas lopen wij tegen het probleem dat een DA server twee opeenvolgende publieke IP adressen nodig heeft.

Nu heb ik genoeg IP adressen beschikbaar op mijn glasvezellijn. Wat alleen onhandig is, is dat deze verbinding maakt via PPPOE en Static NAT op een aantal van mijn interne servers.

Alleen DA accepteert geen NAT en private adressen op de DA interface.. helaas. Dus ik ben op zoek naar een alternatieve oplossing.

Volgens de documentatie moet het wel mogelijk zijn om een DA server in je perimeter te zetten.
Link voor plossing met firewall

Ik heb uit noodweer al geprobeerd een tweede switchport in hetzelfde VLAN te zetten van mijn outside interface op mijn ASA en daar een laptop aan te hangen in dezelfde (publieke) range, maar waarschijnlijk door de PPPOE verbinding op de outside interface kan ik hier niet mee sjoemelen.

Heeft er iemand misschien een ander idee?
Kan ik misschien PPPOE of NAT omzeilen of om de tuin leiden?

Ik weet dat er andere mogelijkheden zijn door PPPOE er tussenuit te gooien of een tweede PPPOE sessie te kunnen laten lopen, maar beiden vereist een contractverandering en/of configuratie verandering.

Alle ideeën zijn meer dan welkom! :) Bij voorbaat dank!

vrijdag 17 juni 2011 19:47

Acties:
  • 0 Henk 'm!

Anoniem: 187361

Wat je kunt doen op de ASA is je subnet, horende bij je (waarschijnlijk KPN?) internetverbinding op een andere interface hergebruiken. Dit kan doordat je een /32 mask op je SVI hebt waar de PPPoE sessie opgebouwd wordt.

Bij KPN krijg je standaard een /29 netwerk, je zou deze 8 adressen vervolgens in twee subnetten kunnen onderverdelen en het tweede subnet op de nieuwe interface zetten. De resterende adressen kun je voor je statische NAT translaties inzetten.

[ Voor 9% gewijzigd door Anoniem: 187361 op 17-06-2011 19:48 ]

zondag 19 juni 2011 15:06

Acties:
  • 0 Henk 'm!
  • BBenedictus
  • Registratie: Januari 2006
  • Laatst online: 05-05 10:15

BBenedictus

Topicstarter
Anoniem: 187361 schreef op vrijdag 17 juni 2011 @ 19:47:
Wat je kunt doen op de ASA is je subnet, horende bij je (waarschijnlijk KPN?) internetverbinding op een andere interface hergebruiken. Dit kan doordat je een /32 mask op je SVI hebt waar de PPPoE sessie opgebouwd wordt.

Bij KPN krijg je standaard een /29 netwerk, je zou deze 8 adressen vervolgens in twee subnetten kunnen onderverdelen en het tweede subnet op de nieuwe interface zetten. De resterende adressen kun je voor je statische NAT translaties inzetten.
Hi Smiley, bedankt voor je reactie.
Mijn glasvezelmodem zit op een enkele switchport aangesloten van mijn ASA. Deze switchport is vervolgens gekoppeld aan VLAN 2 (ofwel mijn outside virtual interface). Op deze outside interface draait ook de PPPoE sessie.

Voor zover ik weet mag ik licentie technisch maximaal 2 VLANs aanmaken, dus ik heb ook maar mijn inside en outside vlan beschikbaar.

Ik heb voor en /28 netwerk gekozen, dus heb voldoende publieke ip adressen beschikbaar. Maar als ik deze in twee netwerken ga onderverdelen, dan zou ik toch ik een extra netid en broadcast krijg, plus dat ik ingewikkelde routingtabellen zal moeten maken?

Heb jij (of misschien iemand anders) misschien een running-configuration van een vergelijkbare situatie? Ook al is het van een router of iets?

zondag 19 juni 2011 17:33

Acties:
  • 0 Henk 'm!

Anoniem: 187361

Je kan 2,5 VLAN aanmaken met de BASE licentie ;).

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

interface Vlan1
 nameif INSIDE
 security-level 100
 ip address 192.168.1.254 255.255.255.0
!
interface Vlan2
 des *** 1.1.1.1 /32 ***
 nameif OUTSIDE
 security-level 0
 ip address pppoe setroute
!
interface Vlan3
 no forward interface Vlan1
 nameif DMZ
 security-level 50
 ip address 1.1.1.5 255.255.255.252
!


Daarnaast zul je logischerwijs je outside access-list moeten aanpassen.

[ Voor 9% gewijzigd door Anoniem: 187361 op 19-06-2011 17:35 ]

donderdag 23 juni 2011 09:07

Acties:
  • 0 Henk 'm!
  • BBenedictus
  • Registratie: Januari 2006
  • Laatst online: 05-05 10:15

BBenedictus

Topicstarter
Ik heb even gecheckt en inderdaad ik kan toch een derde VLAN aanmaken. Ik kan mij herinneren dat ik geen derde aan kon maken en een melding kreeg dat ik niet meer licenties had. Zal wel wat fout gedaan destijds. Maar dat was ook niet via de CLI.

Binnenkort ga ik er mee aan de slag. Bedankt voor je informatie Smiley! :)

donderdag 23 juni 2011 18:29

Acties:
  • 0 Henk 'm!

Anoniem: 187361

Het stukje " no forward interface VlanX" doet "the trick". Je moet bij het derde VLAN namelijk eerst opgeven naar welk ander VLAN geen verkeer geforward mag worden. Daarom ook mijn opmerking over "2,5 VLAN".

Laat je nog even van je horen of het gelukt is of niet? :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq