Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 4516 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Basics, Network Protection

hegl
Beschäftige mich gerade mit dem Zugriff aus anderen Netzen ins LAN hinter einer UTM. Hier sind eine UTM320 und eine Cisco ASA über ein Transfer-LAN verbunden. Jetzt möchte ich einen Zugriff eines Clients im Netz hinter der ASA 10.250.22.4 (Client im LAN-ASA) auf einen Server (10.240.22.10) im LAN der UTM mittels TCP/445 gewähren. Also LAN-A --> Transfer-LAN --> LAN-UTM. Auf der ASA sehe ich im logging auch, dass das Paket mit der Original-IP-Adresse im Transfer-LAN aufschlägt. Auf der UTM habe ich dann ein FW-Regel erstellt, die den Zugriff von 10.250.22.4 (Client im LAN-ASA) auf den internen Server 10.240.22.10 (LAN-UTM) zulässt. 
Der Zugriff schlägt aber fehl. Ich denke, ich muss ja noch irgendwo ein NAT vom Transfer-LAN ins LAN-UTM bauen, oder wo liegt mein Problem? Statische Routen habe ich auf beiden FW´s konfiguriert.

Bei Cisco bekommt man eigentlich für alles Beispielkonfigurationen, bei Sophos bin ich bis jetzt nicht fündig geworden :-(


This thread was automatically locked due to age.
Parents
  • 0
    Netzwerkkonfiguratin auf dem Server - welche Netzmaske ist hinterlegt? Wenn da ne /8 statt ne /24 drin steht dann wird die Antwort falsch geroutet.
    100%ige Sicherheit bekomst du mit tcpdump auf der UTM
     
    tcpdump -npi ethX host 10.240.22.10    
    parallel (2. SSH Session)
    tcpdump -npi ethY host 10.240.22.10    
    ethx= LAN Interface  ethy = WAN interface
    so siehst du ob pakete von der ASA ankommen (das tun sie auf jeden Flal, sonst wuerde die FW ja nicht grün loggen), ob Sie auf der anderen Seite der UTM wieder rausgehen in Richtung Server, ob der Server antwortet, und ob das Antwortpaket die UTM in Richtung ASA verlaesst
  • 0 in reply to Ölm
    IP-Konfiguration am Server ist ok.

    Am Interface des Transfer-LAN an der UTM sehe ich die Pakete reingehen, aber nicht mehr herauskommen.
    Also liegt ja der Hund im LAN-UTM begraben. Hier werde ich aber nicht richtig schlau. 
    Wäre nett, wenn Du dazu (siehe Anhang) was sagen könntest.

    NACHTRAG !!! Habe gerade mal einen dump auf´s WAN gemacht und sehe, dass die Pakete da herausgehen. Also ist irgendwas am Routing falsch. Aber was???
Reply
  • 0 in reply to Ölm
    IP-Konfiguration am Server ist ok.

    Am Interface des Transfer-LAN an der UTM sehe ich die Pakete reingehen, aber nicht mehr herauskommen.
    Also liegt ja der Hund im LAN-UTM begraben. Hier werde ich aber nicht richtig schlau. 
    Wäre nett, wenn Du dazu (siehe Anhang) was sagen könntest.

    NACHTRAG !!! Habe gerade mal einen dump auf´s WAN gemacht und sehe, dass die Pakete da herausgehen. Also ist irgendwas am Routing falsch. Aber was???
Children
  • 0 in reply to hegl
    mach mal den tcpdump auf dem WAN interface mit -e
     
    also tcpdump -nepi ethX
     
    dann siehst du die MAC addressen wo die pakete hingeroutet werden
    und kannst prüfen, ob die Rückpackete (zur 10.250.22.4) auch wirklich zur MAC der ASA geroutet werden oder nicht
     
    arp -an ist ebenfalls hilfreich
Cookie Information Banner