Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

ich bin neu hier im Forum. Ich bin gerade an meinem Abschlussprojekt und es läuft eigentlich auch alles soweit gut... abgesehen von einer Sache. Meine ASA 5510 will mein VLANs nicht routen.

Zum Aufbau:

Ich habe einen Switch Catalyst 2940 dieser trunkt über seinen Gig-Port 3 VLANs zu meiner ASA (5510) auf den Port ETH0/1. Die 3 Netze sind ein Servernetz (192.168.2.0/26) in dem sich mein DC befindet, ein Clientnetz (192.168.2.128/26) in das (wer hätte es gedacht ^^) die Clients kommen und als letztes ein kleines Managementnetz (192.168.1.0/29) über dass man den Switch und die ASA konfigurieren kann. Jedes Netz befindet sich in einem VLAN. Auf der ASA befindet sich außerdem das Outside-Interface (ETH0/0)(192.168.178.201/24) das mit über eine FritzBox mit dem Internet verbunden ist. Um auch wirklich ins Internet zu kommen habe ich eine statische Route eingerichtet. Da die Netze vom DC im Servernetz mit IPs versorgt werden sollen, habe ich auf der ASA DHCP Relay aktiviert und meinen DC eigetragen.

Jetzt mein Problem:

Die ASA sollte normalerweise alle Netze routen, da sie ja alle directly connected sind. Aber das macht sie nicht. Ich habe zum testen für alle Interface UDP, TCP, ICMP und IP auf permit gesetzt, um auszuschließen, dass die Pakete abgefangen werden. Das hat aber leider auch nichts geändert. Auch bei meinem Client und dem Server sind die Firewall aus, aber wenn ich pinge kommt nur Zeitüberschreitung der Anforderung. Ich habe schon ziemlich viel gegoogelt aber nichts hilfreiches gefunden. Jetzt habe ich fast die Vermutung, dass die ASA gar keine VLANs routen kann. Anders kann ich mir das nicht erklären. Hat vllt. jemand von euch eine Idee oder sogar eine Lösung. Das wäre echt super!

Hier noch die running configs:

Switch:

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname projectswitch

!

enable secret 5 $1$EyiX$w3WJYdS2si7rv.jHN1fth.

!

username root privilege 15 password 7 051B140A26431F5B4A

clock timezone MEZ 1

clock summer-time MEZ recurring

errdisable recovery cause bpduguard

errdisable recovery cause security-violation

errdisable recovery cause link-flap

errdisable recovery cause loopback

errdisable recovery interval 60

ip subnet-zero

!

ip ssh time-out 120

ip ssh authentication-retries 3

vtp mode transparent

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

!

!

vlan 2

name Servernetz

!

vlan 3

name Clientnetz

!

vlan 4

name Managementnetz

!

interface FastEthernet0/1

switchport access vlan 2

switchport mode access

switchport port-security

switchport port-security mac-address 0023.7dd9.4220

spanning-tree portfast

spanning-tree bpduguard enable

!

interface FastEthernet0/2

switchport access vlan 3

switchport mode access

switchport port-security

switchport port-security mac-address 0017.0830.ca85

spanning-tree portfast

spanning-tree bpduguard enable

!

interface FastEthernet0/3

switchport mode access

shutdown

spanning-tree portfast

spanning-tree bpduguard enable

!

interface FastEthernet0/4

switchport access vlan 3

switchport mode access

spanning-tree portfast

spanning-tree bpduguard enable

!

interface FastEthernet0/5

shutdown

!

interface FastEthernet0/6

shutdown

!

interface FastEthernet0/7

shutdown

!

interface FastEthernet0/8

switchport access vlan 4

!

interface GigabitEthernet0/1

switchport mode trunk

!

interface Vlan1

no ip address

no ip route-cache

shutdown

!

interface Vlan2

no ip address

no ip route-cache

shutdown

!

interface Vlan3

ip address 192.168.2.126 255.255.255.128

no ip route-cache

shutdown

!

interface Vlan4

ip address 192.168.1.6 255.255.255.248

no ip route-cache

!

no ip http server

banner motd ^CC

|||||||||||||||||||||

||Abschluss Projekt||

|||||||||||||||||||||

^C

!

line con 0

password 7 1209171215045D5679

line vty 0 4

login

line vty 5 15

password 7 105E1B1C021843595F

login

ASA:

hostname projectasa

domain-name projectdomain.local

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

name 192.168.2.128 Clientnetz

name 192.168.1.0 Managementnetz

name 192.168.178.0 Outside

name 192.168.2.0 Servernetz

!

interface Ethernet0/0

nameif Outside

security-level 0

ip address 192.168.178.201 255.255.255.0

!

interface Ethernet0/1

no nameif

no security-level

no ip address

!

interface Ethernet0/1.2

vlan 2

nameif Servernetz

security-level 0

ip address 192.168.2.1 255.255.255.128

!

interface Ethernet0/1.3

vlan 3

nameif Clientnetz

security-level 0

ip address 192.168.2.129 255.255.255.128

!

interface Ethernet0/1.4

vlan 4

nameif Managementnetz

security-level 0

ip address 192.168.1.1 255.255.255.248

management-only

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

shutdown

no nameif

no security-level

no ip address

management-only

!

ftp mode passive

dns server-group DefaultDNS

domain-name projectdomain.local

access-list Servernetz_access_in extended permit icmp any any

access-list Servernetz_access_in extended permit tcp any any

access-list Clientnetz_access_in extended permit icmp any any

access-list Clientnetz_access_in extended permit tcp any any

pager lines 24

logging enable

logging asdm informational

mtu Outside 1500

mtu Servernetz 1500

mtu Clientnetz 1500

mtu Managementnetz 1500

ip local pool VPN-Addresspool 192.168.2.180-192.168.2.253 mask 255.255.255.128

no failover

monitor-interface Servernetz

monitor-interface Clientnetz

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

access-group Servernetz_access_in in interface Servernetz

access-group Clientnetz_access_in in interface Clientnetz

route Outside 0.0.0.0 0.0.0.0 192.168.178.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

aaa-server VPN-Access protocol radius

aaa-server VPN-Access (Servernetz) host 192.168.2.2

timeout 5

key *****

http server enable

http Managementnetz 255.255.255.248 Managementnetz

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet timeout 5

ssh timeout 5

console timeout 0

dhcprelay server 192.168.2.1 Servernetz

dhcprelay setroute Clientnetz

dhcprelay timeout 60

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

enable Outside

anyconnect-essentials

svc image disk0:/anyconnect-win-2.4.1012-k9.pkg 1

svc enable

group-policy DfltGrpPolicy attributes

vpn-tunnel-protocol IPSec l2tp-ipsec svc webvpn

username root password nJlbH0yHvcbNhZqh encrypted privilege 15

tunnel-group DefaultWEBVPNGroup general-attributes

authentication-server-group VPN-Access LOCAL

tunnel-group VPN-Access type remote-access

tunnel-group VPN-Access general-attributes

address-pool VPN-Addresspool

authentication-server-group VPN-Access LOCAL

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

message-length maximum client auto

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:fad4ee319c9d0c753428145ea9691195

Und noch die die Routen:

Gateway of last resort is 192.168.178.1 to network 0.0.0.0

C Outside 255.255.255.0 is directly connected, Outside

C Managementnetz 255.255.255.248 is directly connected, Managementnetz

C Servernetz 255.255.255.128 is directly connected, Servernetz

C Clientnetz 255.255.255.128 is directly connected, Clientnetz

S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.178.1, Outside

Danke im Voraus!

MfG,

HSforce

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...