KPN experiabox + ASA 5505 geen connectie

En je hebt Ping wel opengezet? (ICMP staat standaard volgens mij dicht, ook naar lower security level interfaces).
Kun je de hele config van de ASA plaatsen, dit is een beetje te beperkt om iets te kunnen zeggen....

Hoezo het externe IP adres op de ASA configureren? Dat werkt natuurlijk alleen als je Experiabox een bridge is.

255.255.255.252 is een /30 subnet (geen /22) , je hebt dan inderdaad 2 vrije adressen.

Wat wil je precies bereiken? Als ik denk wat je wilt bereiken correct is kun je het beste de Experia box als modem configureren, en de ASA als firewall/router.

Nat instellen, wat firewall rules en een route.

Ik heb thuis een vergelijkbare setup staan (asa 5510 en een router).Het is wellicht niet iets wat je van plan bent maar ik heb het als volgt gedaan:



Als je vragen hebt over configuraties hoor ik het wel

[ Voor 28% gewijzigd door sjosz op 22-10-2013 20:38 ]

Flyduck, neem je glasvezel van KPN af?
Zo ja, dan kun je gewoon je ASA aan de NTU hangen op de WAN poort VLAN 6
Moet je wel verbinding leggen via PPPoE ipv DHCP
Zie: netwerkje.com

De zakelijke routers moet je wel in bridge mode kunnen laten zetten volgens mij. Wellicht dat je hierover contact kunt opnemen met KPN.

Toevallig zit ik met een zelfde situatie. Die experiaboxen krijgt je _NIET_ in brigde. Heb een zaak hoog lopen bij KPN gezien de "zakelijke" verbinding en geen bridge mogelijkheid.

Voor nu lijkt het erop om een los (A)(V)dsl modem aan te schaffen zonder KPN meuk erop.

@ICTLEERLING:

KPN maakt helaas geen onderscheid in consumenten/zakelijk, ze leveren de zelfde modem/routers (KPN Experiabox v8)

[ Voor 19% gewijzigd door tweakict op 23-10-2013 12:49 ]

Bij mijn consumenten Experia box was het ook niet mogelijk! Ik ben dus overgestapt naar een andere provider om die reden.

Edit:

Oja je kunt natuurlijk ook gewoon de router vervangen! Bij mij was dat niet mogelijk omdat de telefonie er ook over ging.

[ Voor 35% gewijzigd door sjosz op 23-10-2013 12:49 ]

tweakict schreef op woensdag 23 oktober 2013 @ 12:43:
Toevallig zit ik met een zelfde situatie. Die experiaboxen krijgt je _NIET_ in brigde. Heb een zaak hoog lopen bij KPN gezien de "zakelijke" verbinding en geen bridge mogelijkheid.

Levert KPN die prutsboxen ook voor "zakelijke" verbindingen? En ook voor meedere IP adressen welke je vervolgens niet kan configureren met die doos? Ongelooflijk!

Gisteren ontving ik van onze vrienden van KPN ook zo'n V8 modem omdat alle (zakelijke) ADSL verbindingen vervangen worden door VDSL. Leuk, voor hetzelfde geld 35Mbps+ in plaats van de 8Mbps die ADSL1 haalde.

Maar je voelt het al, ook hier stond een ASA 5505 achter het oude modem (Thomson 789ivn) wat probleemloos werkte. En @Flyduck, ik had dezelfde setup en had het niet mooier uit kunnen leggen.

Gelukkig had ik er ook nog een WRT54G (voor internet toegang voor gasten) en een Draytek Vigor 2200Eplus aan hangen. Alles werkte meteen met een fixed IP, zo uit de doos BEHALVE dan de Cisco ASA met asa924 software.

Zet ik de ASA op een intern 192.168.1.x adres (via DHCP of vast) dan werkt het wel, maar ik wil een publiek IP adres op de ASA

Dan maar met Wireshark in de pakketten gedoken en wat blijkt, de fout zit in een ARP request die het Experia V8 modem verstuurt (regel 94), deze komen namelijk van het interne IP adres van het modem, en niet van het publieke IP adres !

En nee, een Cisco ASA is geen huis-tuin-en-keuken firewall die zomaar overal een antwoord op geeft maar een echte, dus een reply op vragen buiten zijn "connected interface" reeks worden niet beantwoord zoals dit wel gedaan wordt binnen de reeks (regel 146, request komt van de WRT54G)

Deze security feature blijkt aanwezig te zijn sinds asa versie 8.4 en sinds versie 8.4.5 valt dit op te lossen door het commando [ arp permit-nonconnected ] > zie http://packetsneverlie.bl...-permit-nonconnected.html
In de grafische interface zit dat onder configuration > device management > advanced > ARP > static ARP table > onderin: Allow non-connected subnets

En ja, dan werk een ASA 5505 ineens wel met een KPN ExperiaBOX V8:
XXX-FW-01(config-if)# ping x.x.230.182
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to x.x.230.182, timeout is 2 seconds:
?!!!!

DUS: ja het is mogelijk om je ASA5505 achter een ExperiaBox V8 te laten werken, gewoon het commando [ arp permit-nonconnected ] op je ASA uitvoeren voordat je de boel om gaat zetten.
O ja, vergeet ook de firewall in de ExperiaBox niet uit te zetten, standaard staat die aan en dat geeft zoveel effect op je inkomende connecties

PS: toch jammer dat KPN zelf dat foute ARP gedrag van zijn modems niet kent, of een oplossing voor het probleem met een veelgebruikte ASA 5505, nu heeft het me letterlijk 2 uur aan de telefoon met KPN gekost, en een middag voor het opzetten van mijn test-setup en het uitzoeken ....... maar ja, @KPN: je klanten hebben wel eens gelijk én je kan er soms zelfs nog wat van leren ......

KPN rebranded : KPN ExperiaBox V8
staat ook voor 95% dichtgetimmerd, altijd een 192.168.1.254 adres bijvoorbeeld, geen instellingen voor de DHCP opties mogelijk.

@EverLast2002: niet goed gelezen, je stelt de vraag aan Flyduck voor de Thomson, niet aan mij


klopt van de security, maar ARP requests vanuit internet worden door de EB wel afgevangen (dus je securityrisk zit alleen in het stukje netwerk "tussen de EB en de firewalls"

[ Voor 40% gewijzigd door omeKOS op 22-07-2015 12:33 ]