zaterdag 25 juli 2015 11:26

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
Ik hoop dat jullie mij kunnen helpen met het volgende; ik heb een 2e hands asa5505 gekocht, div. dingen ingesteld, maar ik krijg mijn interne servers nog niet aan de praat via de asa.

Doelstelling is om een aantal servers (spamfilter/exchange/web/rdweb) van buitenaf bereikbaar te krijgen.
Voordat ik de asa had, had ik op m'n fritzbox een aantal port-forwards ingesteld, en dat ging prima.
Echter, nu ik de asa heb, zijn de servers niet meer bereikbaar van buitenaf.

De setup is nu als volgt:
internet > fritzbox > asa_outside
asa_inside > switch > vm-server met o.a. eerder genoemde servers.

Ik heb conform handleiding van Cisco een object-nat rule gemaakt (ook met mijn outside ip direct), maar dat heeft helaas niet geholpen.
Hoe krijg ik dit werkend?

Mijn huidige nat/access rules zijn als volgt:
NAT
Afbeeldingslocatie: http://i59.tinypic.com/295ffgn.png

Access
Afbeeldingslocatie: http://i61.tinypic.com/2hex7c6.png

De uiteindelijke situatie voor mail moet trouwens worden Internet > spamfilter (intern) > exchange (intern)...

Gecertificeerd prutser!

zaterdag 25 juli 2015 11:38

Acties:
  • 0 Henk 'm!
  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021

Breezers

ik heb wel eens problemen met GUI settings en rules gezien die met CLI (bijv. running config ) niet waren doorgevoerd, aangezien het een 2e handse Cisco bak is en niet duidelijk of je de meest recente ios versie draait, zou ik je willen adviseren om altijd je config vanuit CLI te posten en niet vanuit de GUI ?

(Ben geen ios/Cisco expert, maar zelf dit probleem tegengekomen)

[ Voor 12% gewijzigd door Breezers op 25-07-2015 11:39 ]

“We don't make mistakes just happy little accidents” - Bob Ross

zaterdag 25 juli 2015 11:38

Acties:
  • 0 Henk 'm!
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:52

plizz

Heb je bij outside access rules de poorten geopend voor web en mail?

zaterdag 25 juli 2015 12:24

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 12-09 08:29

Kabouterplop01

chown -R me base:all

Gebruik je dubbel nat?

zaterdag 25 juli 2015 15:18

Acties:
  • 0 Henk 'm!
  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 13-09 18:01

EverLast2002

Wat Kabouterplop01 zegt, volgens mij heb je nu dubbel NAT actief (FritzBox en ASA).
Ik heb ook zo'n 5505 hier in huis gehad, maar die zat achter een bridged modem. Werkte prima.

zaterdag 25 juli 2015 17:32

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
Zo te zien zijn de regels wel doorgevoerd van outside_in:
access-list outside_access_in_1; 2 elements; name hash: 0x202ecf4e
access-list outside_access_in_1 line 1 extended permit object-group DM_INLINE_SERVICE_2 any object Exchange (hitcnt=1) 0xa13b5023
access-list outside_access_in_1 line 1 extended permit tcp any host 192.168.2.11 eq https (hitcnt=1) 0x003abb6f
access-list outside_access_in_1 line 1 extended permit tcp any eq smtp host 192.168.2.11 eq smtp (hitcnt=0) 0xc52b4e27

Dit is wat mijn nat output zegt:
Manual NAT Policies (Section 1)
1 (inside) to (outside) source dynamic any interface
translate_hits = 33257, untranslate_hits = 8339

Auto NAT Policies (Section 2)
1 (any) to (outside) source static Exchange interface service tcp smtp smtp
translate_hits = 0, untranslate_hits = 0

Ik weet eigenlijk niet of ik dubbel nat gebruik. Ik heb vermoedde al dat de fritzbox (ook) al natte, maar volgens een collega die ik hier een keer over sprak maakte dit niet uit. Als ik de bovenste nat rule uitzet, heb ik ook geen internet meer. De asa draait btw asa 9.2(2)4 en asdm 7.4(2).

[ Voor 3% gewijzigd door Lesilhouette op 25-07-2015 17:34 ]

Gecertificeerd prutser!

zaterdag 25 juli 2015 17:47

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
Dan eventueel een andere insteek van de vraag; hoe krijg ik de asa zover dat 'ie verkeer van buiten op poorten zoals 443 en 25 doorzet naar de juiste servers icm. de fritzbox. Met of zonder nat op de asa zal mij een biet zijn als de fritzbox dat (ook) doet....

Voor alle volledigheid; fritzbox_outside 80.x.x.x fritzbox_inside 10.155.3.255, asa_outside 192.168.3.253, asa_inside 192.168.2.254, ip route 0.0.0.0/0 192.168.2.254

[ Voor 24% gewijzigd door Lesilhouette op 25-07-2015 18:04 . Reden: Extra info ]

Gecertificeerd prutser!

zondag 26 juli 2015 12:31

Acties:
  • 0 Henk 'm!
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 22:59

DJSmiley

Lesilhouette schreef op zaterdag 25 juli 2015 @ 17:47:
Dan eventueel een andere insteek van de vraag; hoe krijg ik de asa zover dat 'ie verkeer van buiten op poorten zoals 443 en 25 doorzet naar de juiste servers icm. de fritzbox. Met of zonder nat op de asa zal mij een biet zijn als de fritzbox dat (ook) doet....

Voor alle volledigheid; fritzbox_outside 80.x.x.x fritzbox_inside 10.155.3.255, asa_outside 192.168.3.253, asa_inside 192.168.2.254, ip route 0.0.0.0/0 192.168.2.254
Hoe wil je dat ding laten portforwarden als ie niet hoef te natten?

Je zal de poorten op je fritzbox moeten forwarden. Of naar de betreffende server, of naar je ASA als je perse dubbel nat wilt gebruiken.

Maar zolang je die Fritzbox niet als bridge-only gebruikt heeft die ASA geen enkel nut. Wat is uberhaupt de reden dat je die ASA gekocht hebt? Je maakt het jezelf een stuk makkelijker om gewoon consumentenspul of licht mkb-spul te nemen als je kennis wilt opdoen. Uitgebreidere dingen komen later wel. Als je de basis niet beheerst maak je het op die manier wel enorm lastig.

zondag 26 juli 2015 13:10

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
De doelstelling en reden van de asa is dat ik een fw in het netwerk heb staan, waarmee ik netwerkverkeer kan blokkeren of toestaan (bijv. voor het blokkeren/toestaan van torrent verkeer of webbrowsen), en tegelijkertijd wat meer inzicht/ervaring te krijgen met asa's voor m'n werk,

Maar stel dat het bedrijfsmatig was, en er via de isp een fritzbox zou worden geleverd, hoe zou je die icm. met de asa configgen zodat specifieke servers bereikbaar zijn, en er gewoon iptv van de provider beschikbaar is?

Gecertificeerd prutser!

zondag 26 juli 2015 16:38

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 12-09 08:29

Kabouterplop01

chown -R me base:all

Dan zou je de reeks van de Fritzbox inside ook achter de ASA hebben en je verkeer routeren en firewallen.
(En meestal krijg je een of meerdere publieke ip adressen, dan zou je fritz niet natten en dan werkt je setup zoals je wilt, maar anyway)
Je subnetting werkt nu niet! je fritz inside subnet kent alleen 10.155, als je daar een 192.168 subnet inhangt gaat je fritz inside dat niet herkennen, omdat fritz inside niet "mee doet" in dat subnet.(offtopic:mompelt iets over proxy arp)
Hoe groot zijn je 192.168 subnets nu (welk subnetmask hebben ze?)

zondag 26 juli 2015 16:45

Acties:
  • 0 Henk 'm!
  • Crazymonkey
  • Registratie: December 2009
  • Laatst online: 17:55

Crazymonkey

Gek als een aap ;)

Zou er mee beginnen om in je NAT rules even de source naar any te zetten en destination naar Exchange zetten

Nope, never mind

[ Voor 11% gewijzigd door Crazymonkey op 26-07-2015 16:45 ]

zondag 26 juli 2015 17:06

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
Kabouterplop01 schreef op zondag 26 juli 2015 @ 16:38:
Dan zou je de reeks van de Fritzbox inside ook achter de ASA hebben en je verkeer routeren en firewallen.
(En meestal krijg je een of meerdere publieke ip adressen, dan zou je fritz niet natten en dan werkt je setup zoals je wilt, maar anyway)
Je subnetting werkt nu niet! je fritz inside subnet kent alleen 10.155, als je daar een 192.168 subnet inhangt gaat je fritz inside dat niet herkennen, omdat fritz inside niet "mee doet" in dat subnet.(offtopic:mompelt iets over proxy arp)
Hoe groot zijn je 192.168 subnets nu (welk subnetmask hebben ze?)
Ik heb deze fritz met één public ipv4 adres gekregen op een zakelijk abo, dus dat zou een .252 subnet zijn geloof ik? Ik zie dat ik hieronder m'n ip verkeerd had opgeschreven; outside_fritz=80.x.x.x, inside_fritz=192.168.3.254...

Ik heb overigens hiervoor gekozen omdat mijn asa_outside_ip dan in dezelfde range zou zitten als m'n asa_inside ... 192.168.x.x is zijn trouwens maar /24.

Gecertificeerd prutser!

woensdag 29 juli 2015 23:08

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 12-09 08:29

Kabouterplop01

chown -R me base:all

Check!
Dan kun je met static routes de more specifics (oftewel je hosts) achter je ASA routeren en firewallen.
En je portforward niet vergeten op de fritz.
edit: de statics zet je op je fritz.
Dan heb je dat 10.155 net niet nodig. (dubbel NAT kunnen niet alle hosts even goed mee omgaan)
Ik weet niet of het een .252 is. Dat zou je even in de log van je fritz moeten bekijken als je het ip adres krijgt uitgedeeld.(eigenlijk ook niet van heel groot belang, als je het als een host beschouwt zit je goed.)
Dat zou mijn aanpak zijn om het werkend te krijgen, omdat je hele domein in 192.168 zit. Als je moet gaan omnummeren vind je domein niet leuk.

donderdag 30 juli 2015 07:13

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
Dus als ik het goed begrijp zet ik op m'n fritz een static route naar intern. dus bijv. .2.0 via .3.253 (outside_asa)? En dan op de asa een "nat" rule zoals 'ie nu staat of naar "outside"?
1 (any) to (any) source static Exchange 80.x.x.x service tcp https https
of
2 (any) to (outside) source static Exchange interface ("outside, dus de .253" in asdm) service tcp https https

btw; regel 2 any to outside doet de asa automatisch als ik bij transl. address outside invul.

Edit: waarom moet ik een static route aanmaken op de fritz? De fritz zet toch gewoon al het interne verkeer door naar de asa, en de asa bepaalt dan toch of het verder intern gaat of gedropped wordt? Of denk ik nu te logisch?

[ Voor 30% gewijzigd door Lesilhouette op 30-07-2015 10:50 ]

Gecertificeerd prutser!

vrijdag 31 juli 2015 11:21

Acties:
  • 0 Henk 'm!
  • Lesilhouette
  • Registratie: Mei 2009
  • Laatst online: 29-07 09:42

Lesilhouette

Topicstarter
Het probleem is opgelost. De oplossing is tweeledig voor zover ik nu kan zien:
1: fritzbox firewall uitzetten (technisch gezien een enkele port fw maken met als optie "exposed host", deze instellen naar het outside_ip van de asa.
2: alle nat rules die ingesteld stonden op outside ip, veranderen naar -interface- outside.
2.1: zorgen dat alle ACL's goed staan, maar dat was in mijn geval al zo.

Gecertificeerd prutser!

zaterdag 1 augustus 2015 19:50

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 12-09 08:29

Kabouterplop01

chown -R me base:all

TOP (En dank voor het posten ik heb er ook van geleerd!)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq