Toon posts:

[Windows 2008 R2] DirectAcces icm Cisco ASA 5505

Pagina: 1
Acties:

vrijdag 17 juni 2011 16:39

Acties:
  • 0Henk 'm!
  • BBenedictus
  • Registratie: Januari 2006
  • Laatst online: 29-05 02:53

BBenedictus

Topicstarter
Geachte mede tweakers,

Wij proberen een testomgeving op te bouwen met DirectAccess en een Cisco ASA. Helaas lopen wij tegen het probleem dat een DA server twee opeenvolgende publieke IP adressen nodig heeft.

Nu heb ik genoeg IP adressen beschikbaar op mijn glasvezellijn. Wat alleen onhandig is, is dat deze verbinding maakt via PPPOE en Static NAT op een aantal van mijn interne servers.

Alleen DA accepteert geen NAT en private adressen op de DA interface.. helaas. Dus ik ben op zoek naar een alternatieve oplossing.

Volgens de documentatie moet het wel mogelijk zijn om een DA server in je perimeter te zetten.
Link voor plossing met firewall

Ik heb uit noodweer al geprobeerd een tweede switchport in hetzelfde VLAN te zetten van mijn outside interface op mijn ASA en daar een laptop aan te hangen in dezelfde (publieke) range, maar waarschijnlijk door de PPPOE verbinding op de outside interface kan ik hier niet mee sjoemelen.

Heeft er iemand misschien een ander idee?
Kan ik misschien PPPOE of NAT omzeilen of om de tuin leiden?

Ik weet dat er andere mogelijkheden zijn door PPPOE er tussenuit te gooien of een tweede PPPOE sessie te kunnen laten lopen, maar beiden vereist een contractverandering en/of configuratie verandering.

Alle ideeën zijn meer dan welkom! :) Bij voorbaat dank!

vrijdag 17 juni 2011 19:47

Acties:
  • 0Henk 'm!

Anoniem: 187361

Wat je kunt doen op de ASA is je subnet, horende bij je (waarschijnlijk KPN?) internetverbinding op een andere interface hergebruiken. Dit kan doordat je een /32 mask op je SVI hebt waar de PPPoE sessie opgebouwd wordt.

Bij KPN krijg je standaard een /29 netwerk, je zou deze 8 adressen vervolgens in twee subnetten kunnen onderverdelen en het tweede subnet op de nieuwe interface zetten. De resterende adressen kun je voor je statische NAT translaties inzetten.

[Voor 9% gewijzigd door Anoniem: 187361 op 17-06-2011 19:48]

zondag 19 juni 2011 15:06

Acties:
  • 0Henk 'm!
  • BBenedictus
  • Registratie: Januari 2006
  • Laatst online: 29-05 02:53

BBenedictus

Topicstarter
Anoniem: 187361 schreef op vrijdag 17 juni 2011 @ 19:47:
Wat je kunt doen op de ASA is je subnet, horende bij je (waarschijnlijk KPN?) internetverbinding op een andere interface hergebruiken. Dit kan doordat je een /32 mask op je SVI hebt waar de PPPoE sessie opgebouwd wordt.

Bij KPN krijg je standaard een /29 netwerk, je zou deze 8 adressen vervolgens in twee subnetten kunnen onderverdelen en het tweede subnet op de nieuwe interface zetten. De resterende adressen kun je voor je statische NAT translaties inzetten.
Hi Smiley, bedankt voor je reactie.
Mijn glasvezelmodem zit op een enkele switchport aangesloten van mijn ASA. Deze switchport is vervolgens gekoppeld aan VLAN 2 (ofwel mijn outside virtual interface). Op deze outside interface draait ook de PPPoE sessie.

Voor zover ik weet mag ik licentie technisch maximaal 2 VLANs aanmaken, dus ik heb ook maar mijn inside en outside vlan beschikbaar.

Ik heb voor en /28 netwerk gekozen, dus heb voldoende publieke ip adressen beschikbaar. Maar als ik deze in twee netwerken ga onderverdelen, dan zou ik toch ik een extra netid en broadcast krijg, plus dat ik ingewikkelde routingtabellen zal moeten maken?

Heb jij (of misschien iemand anders) misschien een running-configuration van een vergelijkbare situatie? Ook al is het van een router of iets?

zondag 19 juni 2011 17:33

Acties:
  • 0Henk 'm!

Anoniem: 187361

Je kan 2,5 VLAN aanmaken met de BASE licentie ;).

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

interface Vlan1
 nameif INSIDE
 security-level 100
 ip address 192.168.1.254 255.255.255.0
!
interface Vlan2
 des *** 1.1.1.1 /32 ***
 nameif OUTSIDE
 security-level 0
 ip address pppoe setroute
!
interface Vlan3
 no forward interface Vlan1
 nameif DMZ
 security-level 50
 ip address 1.1.1.5 255.255.255.252
!


Daarnaast zul je logischerwijs je outside access-list moeten aanpassen.

[Voor 9% gewijzigd door Anoniem: 187361 op 19-06-2011 17:35]

donderdag 23 juni 2011 09:07

Acties:
  • 0Henk 'm!
  • BBenedictus
  • Registratie: Januari 2006
  • Laatst online: 29-05 02:53

BBenedictus

Topicstarter
Ik heb even gecheckt en inderdaad ik kan toch een derde VLAN aanmaken. Ik kan mij herinneren dat ik geen derde aan kon maken en een melding kreeg dat ik niet meer licenties had. Zal wel wat fout gedaan destijds. Maar dat was ook niet via de CLI.

Binnenkort ga ik er mee aan de slag. Bedankt voor je informatie Smiley! :)

donderdag 23 juni 2011 18:29

Acties:
  • 0Henk 'm!

Anoniem: 187361

Het stukje " no forward interface VlanX" doet "the trick". Je moet bij het derde VLAN namelijk eerst opgeven naar welk ander VLAN geen verkeer geforward mag worden. Daarom ook mijn opmerking over "2,5 VLAN".

Laat je nog even van je horen of het gelukt is of niet? :)
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee