Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

KPN experiabox + ASA 5505 geen connectie

Pagina: 1
Acties:

  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03 13:37
Op een locatie heb ik een nieuwe zakelijke KPN internetverbinding met een /22 subnet.
De Experiabox deelt standaard private IP uit in 192.168.1.x /24

Als ik een laptop direct aan de router hang dan krijg in netjes een 192.168.1.x adres en heb ik internet.
Wanneer ik op de laptop statisch het 2e beschikbare publieke IP adres configureer dan heb ik ook internet.

Als ik de ASA 5505 eraan hang dan krijg ik ook netjes een 192.168.1.x adres via DHCP en heb ik internet.
(ip address dhcp setroute op de vlan interface)

Wanneer ik echter statisch het publieke IP adres configureer op de ASA, dan kan ik met geen mogelijkheid de experiabox (77.x.x.5) meer bereiken. Ik zie wel dat de pakketje verstuurd worden, ik krijg alleen maar timeouts terug.

ASA interface config

ethernet0/0
switchport access vlan 2

interface vlan 2
nameif outside
security-level 0
ip address 77.x.x.6 255.255.255.252

route outside 0.0.0.0 0.0.0.0 77.x.x.5

Versie: asa901-k8.bin

Iemand een idee waarom het met de laptop wel werkt, en met de ASA niet?

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 28-11 15:37
En je hebt Ping wel opengezet? (ICMP staat standaard volgens mij dicht, ook naar lower security level interfaces).
Kun je de hele config van de ASA plaatsen, dit is een beetje te beperkt om iets te kunnen zeggen....

The trouble with doing something right the first time is that nobody appreciates how difficult it is


  • PolarBear
  • Registratie: Februari 2001
  • Niet online
Hoezo het externe IP adres op de ASA configureren? Dat werkt natuurlijk alleen als je Experiabox een bridge is.

  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03 13:37
PolarBear schreef op dinsdag 22 oktober 2013 @ 17:30:
Hoezo het externe IP adres op de ASA configureren? Dat werkt natuurlijk alleen als je Experiabox een bridge is.
Als ik het vrije externe IP adres op een laptop configureer, en deze aan de LAN poort van de experiabox hang, dan heb ik gewoon internet.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • sjosz
  • Registratie: Mei 2009
  • Laatst online: 12-07 19:04
255.255.255.252 is een /30 subnet (geen /22) :P, je hebt dan inderdaad 2 vrije adressen.

Wat wil je precies bereiken? Als ik denk wat je wilt bereiken correct is kun je het beste de Experia box als modem configureren, en de ASA als firewall/router.

Nat instellen, wat firewall rules en een route.

Ik heb thuis een vergelijkbare setup staan (asa 5510 en een router).Het is wellicht niet iets wat je van plan bent maar ik heb het als volgt gedaan:

Afbeeldingslocatie: http://i43.tinypic.com/2ducmu.jpg

Als je vragen hebt over configuraties hoor ik het wel

[ Voor 28% gewijzigd door sjosz op 22-10-2013 20:38 ]


  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03 13:37
Hoi, thanks voor je reply. Helaas kan ik geen optie vinden om de experiabox in bridged mode te draaien, en static NAT wil ik niet.

Ik heb deze setup op meerdere locaties draaien, alleen daar andere firewalls gebruikt
Misschien heb ik hier gewoon weer een gare experiabox, de ASA config is namelijk vrij basic.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 27-11 12:16

ShadowAS1

IT Security Nerd

Flyduck, neem je glasvezel van KPN af?
Zo ja, dan kun je gewoon je ASA aan de NTU hangen op de WAN poort VLAN 6
Moet je wel verbinding leggen via PPPoE ipv DHCP
Zie: netwerkje.com

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.


  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03 13:37
ShadowAS1, het is een adsl verbinding, maar toch handig om te weten .. :)

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • sjosz
  • Registratie: Mei 2009
  • Laatst online: 12-07 19:04
De zakelijke routers moet je wel in bridge mode kunnen laten zetten volgens mij. Wellicht dat je hierover contact kunt opnemen met KPN.

  • tweakict
  • Registratie: Februari 2010
  • Laatst online: 23-10 13:40
Toevallig zit ik met een zelfde situatie. Die experiaboxen krijgt je _NIET_ in brigde. Heb een zaak hoog lopen bij KPN gezien de "zakelijke" verbinding en geen bridge mogelijkheid.

Voor nu lijkt het erop om een los (A)(V)dsl modem aan te schaffen zonder KPN meuk erop.

@ICTLEERLING:

KPN maakt helaas geen onderscheid in consumenten/zakelijk, ze leveren de zelfde modem/routers (KPN Experiabox v8)

[ Voor 19% gewijzigd door tweakict op 23-10-2013 12:49 ]


  • sjosz
  • Registratie: Mei 2009
  • Laatst online: 12-07 19:04
Bij mijn consumenten Experia box was het ook niet mogelijk! Ik ben dus overgestapt naar een andere provider om die reden.

Edit:

Oja je kunt natuurlijk ook gewoon de router vervangen! Bij mij was dat niet mogelijk omdat de telefonie er ook over ging.

[ Voor 35% gewijzigd door sjosz op 23-10-2013 12:49 ]


  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03 13:37
experiabox vervangen door een oudere Thomson versie, en alles werkt meteen!

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • TNW
  • Registratie: Januari 2007
  • Laatst online: 20-11 10:35

TNW

tweakict schreef op woensdag 23 oktober 2013 @ 12:43:
Toevallig zit ik met een zelfde situatie. Die experiaboxen krijgt je _NIET_ in brigde. Heb een zaak hoog lopen bij KPN gezien de "zakelijke" verbinding en geen bridge mogelijkheid.
Levert KPN die prutsboxen ook voor "zakelijke" verbindingen? En ook voor meedere IP adressen welke je vervolgens niet kan configureren met die doos? Ongelooflijk! 8)7

Weblog | Straling!


  • omeKOS
  • Registratie: Juli 2015
  • Laatst online: 31-08-2024
Gisteren ontving ik van onze vrienden van KPN ook zo'n V8 modem omdat alle (zakelijke) ADSL verbindingen vervangen worden door VDSL. Leuk, voor hetzelfde geld 35Mbps+ in plaats van de 8Mbps die ADSL1 haalde.

Maar je voelt het al, ook hier stond een ASA 5505 achter het oude modem (Thomson 789ivn) wat probleemloos werkte. En @Flyduck, ik had dezelfde setup en had het niet mooier uit kunnen leggen.

Gelukkig had ik er ook nog een WRT54G (voor internet toegang voor gasten) en een Draytek Vigor 2200Eplus aan hangen. Alles werkte meteen met een fixed IP, zo uit de doos BEHALVE dan de Cisco ASA met asa924 software.

Zet ik de ASA op een intern 192.168.1.x adres (via DHCP of vast) dan werkt het wel, maar ik wil een publiek IP adres op de ASA

Dan maar met Wireshark in de pakketten gedoken en wat blijkt, de fout zit in een ARP request die het Experia V8 modem verstuurt (regel 94), deze komen namelijk van het interne IP adres van het modem, en niet van het publieke IP adres !

En nee, een Cisco ASA is geen huis-tuin-en-keuken firewall die zomaar overal een antwoord op geeft maar een echte, dus een reply op vragen buiten zijn "connected interface" reeks worden niet beantwoord zoals dit wel gedaan wordt binnen de reeks (regel 146, request komt van de WRT54G)

Deze security feature blijkt aanwezig te zijn sinds asa versie 8.4 en sinds versie 8.4.5 valt dit op te lossen door het commando [ arp permit-nonconnected ] > zie http://packetsneverlie.bl...-permit-nonconnected.html
In de grafische interface zit dat onder configuration > device management > advanced > ARP > static ARP table > onderin: Allow non-connected subnets

En ja, dan werk een ASA 5505 ineens wel met een KPN ExperiaBOX V8:
XXX-FW-01(config-if)# ping x.x.230.182
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to x.x.230.182, timeout is 2 seconds:
?!!!!


DUS: ja het is mogelijk om je ASA5505 achter een ExperiaBox V8 te laten werken, gewoon het commando [ arp permit-nonconnected ] op je ASA uitvoeren voordat je de boel om gaat zetten.
O ja, vergeet ook de firewall in de ExperiaBox niet uit te zetten, standaard staat die aan en dat geeft zoveel effect op je inkomende connecties :)

PS: toch jammer dat KPN zelf dat foute ARP gedrag van zijn modems niet kent, of een oplossing voor het probleem met een veelgebruikte ASA 5505, nu heeft het me letterlijk 2 uur aan de telefoon met KPN gekost, en een middag voor het opzetten van mijn test-setup en het uitzoeken ....... maar ja, @KPN: je klanten hebben wel eens gelijk én je kan er soms zelfs nog wat van leren ......

Afbeeldingslocatie: http://i.imgur.com/fsm0Vh1.jpg

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 00:29
Interessant topic....mede vanwege het verhaal met de niet-bridged KPN Experiabox. Dus configureer een device met extern IP ná de EB en dan kom je wel op internet..... :?
Ik heb het bij diverse klanten weleens moeten installeren, en wij plaatsten vrijwel altijd een non-KPN branded modem, oftewel een volledig standaard Thomson device.

-edit:
"This command should be used with caution as it reduces the level of protection that the ASA provides."
Dat vond ik wel een opvallende opmerking, omdat je niet voor niks voor Cisco kiest.

[ Voor 22% gewijzigd door EverLast2002 op 21-07-2015 16:30 ]


  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 00:29
Flyduck schreef op donderdag 24 oktober 2013 @ 11:30:
experiabox vervangen door een oudere Thomson versie, en alles werkt meteen!
vraagje : wederom een KPN-branded of een standaard Thomson modem ?

  • omeKOS
  • Registratie: Juli 2015
  • Laatst online: 31-08-2024
KPN rebranded : KPN ExperiaBox V8
staat ook voor 95% dichtgetimmerd, altijd een 192.168.1.254 adres bijvoorbeeld, geen instellingen voor de DHCP opties mogelijk.

@EverLast2002: niet goed gelezen, je stelt de vraag aan Flyduck voor de Thomson, niet aan mij :P


klopt van de security, maar ARP requests vanuit internet worden door de EB wel afgevangen (dus je securityrisk zit alleen in het stukje netwerk "tussen de EB en de firewalls"

Afbeeldingslocatie: http://i.imgur.com/M3pOXhm.png

[ Voor 40% gewijzigd door omeKOS op 22-07-2015 12:33 ]

Pagina: 1