HSforce Geschrieben 25. März 2011 Teilen Geschrieben 25. März 2011 Hallo zusammen, ich bin neu hier im Forum. Ich bin gerade an meinem Abschlussprojekt und es läuft eigentlich auch alles soweit gut... abgesehen von einer Sache. Meine ASA 5510 will mein VLANs nicht routen. Zum Aufbau: Ich habe einen Switch Catalyst 2940 dieser trunkt über seinen Gig-Port 3 VLANs zu meiner ASA (5510) auf den Port ETH0/1. Die 3 Netze sind ein Servernetz (192.168.2.0/26) in dem sich mein DC befindet, ein Clientnetz (192.168.2.128/26) in das (wer hätte es gedacht ^^) die Clients kommen und als letztes ein kleines Managementnetz (192.168.1.0/29) über dass man den Switch und die ASA konfigurieren kann. Jedes Netz befindet sich in einem VLAN. Auf der ASA befindet sich außerdem das Outside-Interface (ETH0/0)(192.168.178.201/24) das mit über eine FritzBox mit dem Internet verbunden ist. Um auch wirklich ins Internet zu kommen habe ich eine statische Route eingerichtet. Da die Netze vom DC im Servernetz mit IPs versorgt werden sollen, habe ich auf der ASA DHCP Relay aktiviert und meinen DC eigetragen. Jetzt mein Problem: Die ASA sollte normalerweise alle Netze routen, da sie ja alle directly connected sind. Aber das macht sie nicht. Ich habe zum testen für alle Interface UDP, TCP, ICMP und IP auf permit gesetzt, um auszuschließen, dass die Pakete abgefangen werden. Das hat aber leider auch nichts geändert. Auch bei meinem Client und dem Server sind die Firewall aus, aber wenn ich pinge kommt nur Zeitüberschreitung der Anforderung. Ich habe schon ziemlich viel gegoogelt aber nichts hilfreiches gefunden. Jetzt habe ich fast die Vermutung, dass die ASA gar keine VLANs routen kann. Anders kann ich mir das nicht erklären. Hat vllt. jemand von euch eine Idee oder sogar eine Lösung. Das wäre echt super! Hier noch die running configs: Switch: no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname projectswitch ! enable secret 5 $1$EyiX$w3WJYdS2si7rv.jHN1fth. ! username root privilege 15 password 7 051B140A26431F5B4A clock timezone MEZ 1 clock summer-time MEZ recurring errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause link-flap errdisable recovery cause loopback errdisable recovery interval 60 ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! ! ! ! vlan 2 name Servernetz ! vlan 3 name Clientnetz ! vlan 4 name Managementnetz ! interface FastEthernet0/1 switchport access vlan 2 switchport mode access switchport port-security switchport port-security mac-address 0023.7dd9.4220 spanning-tree portfast spanning-tree bpduguard enable ! interface FastEthernet0/2 switchport access vlan 3 switchport mode access switchport port-security switchport port-security mac-address 0017.0830.ca85 spanning-tree portfast spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport mode access shutdown spanning-tree portfast spanning-tree bpduguard enable ! interface FastEthernet0/4 switchport access vlan 3 switchport mode access spanning-tree portfast spanning-tree bpduguard enable ! interface FastEthernet0/5 shutdown ! interface FastEthernet0/6 shutdown ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 switchport access vlan 4 ! interface GigabitEthernet0/1 switchport mode trunk ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan2 no ip address no ip route-cache shutdown ! interface Vlan3 ip address 192.168.2.126 255.255.255.128 no ip route-cache shutdown ! interface Vlan4 ip address 192.168.1.6 255.255.255.248 no ip route-cache ! no ip http server banner motd ^CC ||||||||||||||||||||| ||Abschluss Projekt|| ||||||||||||||||||||| ^C ! line con 0 password 7 1209171215045D5679 line vty 0 4 login line vty 5 15 password 7 105E1B1C021843595F login ASA: hostname projectasa domain-name projectdomain.local enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names name 192.168.2.128 Clientnetz name 192.168.1.0 Managementnetz name 192.168.178.0 Outside name 192.168.2.0 Servernetz ! interface Ethernet0/0 nameif Outside security-level 0 ip address 192.168.178.201 255.255.255.0 ! interface Ethernet0/1 no nameif no security-level no ip address ! interface Ethernet0/1.2 vlan 2 nameif Servernetz security-level 0 ip address 192.168.2.1 255.255.255.128 ! interface Ethernet0/1.3 vlan 3 nameif Clientnetz security-level 0 ip address 192.168.2.129 255.255.255.128 ! interface Ethernet0/1.4 vlan 4 nameif Managementnetz security-level 0 ip address 192.168.1.1 255.255.255.248 management-only ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address management-only ! ftp mode passive dns server-group DefaultDNS domain-name projectdomain.local access-list Servernetz_access_in extended permit icmp any any access-list Servernetz_access_in extended permit tcp any any access-list Clientnetz_access_in extended permit icmp any any access-list Clientnetz_access_in extended permit tcp any any pager lines 24 logging enable logging asdm informational mtu Outside 1500 mtu Servernetz 1500 mtu Clientnetz 1500 mtu Managementnetz 1500 ip local pool VPN-Addresspool 192.168.2.180-192.168.2.253 mask 255.255.255.128 no failover monitor-interface Servernetz monitor-interface Clientnetz icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 access-group Servernetz_access_in in interface Servernetz access-group Clientnetz_access_in in interface Clientnetz route Outside 0.0.0.0 0.0.0.0 192.168.178.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa-server VPN-Access protocol radius aaa-server VPN-Access (Servernetz) host 192.168.2.2 timeout 5 key ***** http server enable http Managementnetz 255.255.255.248 Managementnetz no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcprelay server 192.168.2.1 Servernetz dhcprelay setroute Clientnetz dhcprelay timeout 60 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn enable Outside anyconnect-essentials svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1 svc enable group-policy DfltGrpPolicy attributes vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn username root password nJlbH0yHvcbNhZqh encrypted privilege 15 tunnel-group DefaultWEBVPNGroup general-attributes authentication-server-group VPN-Access LOCAL tunnel-group VPN-Access type remote-access tunnel-group VPN-Access general-attributes address-pool VPN-Addresspool authentication-server-group VPN-Access LOCAL ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 message-length maximum client auto policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:fad4ee319c9d0c753428145ea9691195 Und noch die die Routen: Gateway of last resort is 192.168.178.1 to network 0.0.0.0 C Outside 255.255.255.0 is directly connected, Outside C Managementnetz 255.255.255.248 is directly connected, Managementnetz C Servernetz 255.255.255.128 is directly connected, Servernetz C Clientnetz 255.255.255.128 is directly connected, Clientnetz S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.178.1, Outside Danke im Voraus! MfG, HSforce Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.