ASA 5510 Management VPN Client Routing

[neelix]

Hallo zusammen,

da die ASA 5510 ja einen dedizierten Management-Port habe ich mir gedacht, dann klemm ich die darüber in mein Management-VLAN und brauche vom normalen Netz den dem DMZ kein SSH auf das Geträt erlauben. Klappt auch super, solange ich mit meinem PC im LAN bin.

Zentraler Routingswitch im Netz ist ein 3750X-Stack. Hier gibt es einfache ACLs, die Zugriffe zwischen den einzelnen VLANs regeln.

Wenn ich aber per VPN eingewählt bin, kann ich das Management-VLAN nicht mehr erreichen, da die ASA dieses ja für lokal hält (wegen Management-Interface), aber wegen 'management-only' über dieses Interface nicht routen kann. Eine Route 'route Management-Netz/24 3750X-Stack' kann ich nicht setzen, da ja das Netz schon 'directly connected' ist.

Jemand eine Idee, wie ich es schaffe, mein Management-Netz über das VPN zu erreichen?

Danke & Gruß,

Neelix

[#9370]

wenn du dich auf diese ASA per VPN einwählst, dann sollte das schon funktionieren.
Das "management interface" command gibt an, welches Interface per VPN erreiochbar ist und das "management-only" command sagt nur, dass über das Intreface nicht geroutet werden kann. Hast du das Management Netz im Nat0 berücksichtigt, oder in der Crypto ACL? Ist der Zugriff in den ACLs freigegeben?

/#9370

[neelix]

Hallo,

ja, ich denke schon (Config s.u.). Der Weg sollte dieser sein:

VPN-Client <-> ASA <-> Server-Net <-> sx01 <-> Management-Net

Auf dem sx01 gibt es eine Route für das VPN-Netz über die ASA.

Code: [Auswählen]

: Saved
:
ASA Version 8.2(1)11
!
hostname gw01
domain-name intern.***.de
enable password ***** encrypted
passwd **** encrypted
names
name 10.10.120.0 Server-Net
name 10.10.159.0 Management-Net
name 10.10.121.100 lx02
name 10.10.121.1 lx01
name 10.10.120.12 as01
name 10.10.120.10 dc01
name 10.10.120.11 dc02
name 10.10.123.254 sx01
name 81.173.193.222 nc-ntp1
name 81.173.193.223 nc-ntp2
name 10.1.1.0 VPN-Pool
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.10.120.1 255.255.252.0
!
interface Ethernet0/1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 nameif outside
 security-level 0
 ip address 195.***.***.130 255.255.255.224
!
interface Management0/0
 nameif management
 security-level 100
 ip address 10.10.159.1 255.255.255.0
 management-only
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group DefaultDNS
 name-server dc01
 name-server dc02
 name-server lx01
 domain-name intern.***.de
object-group network NAT-Clients
 network-object host lx02
 network-object host lx01
object-group icmp-type ICMP-Allowed
 description Erlaubte ICMP Typen
 icmp-object echo
 icmp-object echo-reply
 icmp-object unreachable
 icmp-object parameter-problem
object-group network NTP-Server
 network-object host nc-ntp1
 network-object host nc-ntp2
access-list NAT-Clients extended permit ip object-group NAT-Clients any
access-list acl_outside extended permit ip object-group NAT-Clients any
access-list acl_outside extended permit icmp any any object-group ICMP-Allowed
access-list acl_outside extended permit ip VPN-Pool 255.255.255.240 Server-Net 255.255.252.0
access-list acl_outside extended permit ip VPN-Pool 255.255.255.240 Management-Net 255.255.255.0
access-list acl_outside extended permit udp host sx01 object-group NTP-Server eq ntp
access-list acl_noNat_inside extended permit ip Server-Net 255.255.252.0 VPN-Pool 255.255.255.0
access-list acl_noNat_inside extended permit ip Management-Net 255.255.255.0 VPN-Pool 255.255.255.0
pager lines 24
logging enable
logging buffered informational
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu management 1500
ip local pool VPN-Pool-Admin 10.1.1.1-10.1.1.14 mask 255.255.255.255
ip verify reverse-path interface inside
ip verify reverse-path interface outside
ip verify reverse-path interface management
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo inside
icmp permit any unreachable inside
icmp permit any echo-reply inside
icmp permit any echo outside
icmp permit any unreachable outside
icmp permit any echo-reply outside
asdm image disk0:/asdm-623.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 195.***.***.137
nat (inside) 0 access-list acl_noNat_inside
nat (inside) 1 access-list NAT-Clients
access-group acl_outside in interface outside
route outside 0.0.0.0 0.0.0.0 195.***.***.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server MS-NPS protocol radius
aaa-server MS-NPS (inside) host as01
 key ******
aaa authentication ssh console LOCAL
http server enable 9443
http Management-Net 255.255.255.0 management
sysopt connection tcpmss 1300
no sysopt connection permit-vpn
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map dynmap 1000 set transform-set ESP-AES-256-SHA
crypto map outside_map 1000 ipsec-isakmp dynamic dynmap
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 20
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 management
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
 enable outside
group-policy DfltGrpPolicy attributes
 dns-server value 10.10.120.10 10.10.120.11
 default-domain value intern.***.de
group-policy Admin internal
group-policy Admin attributes
 banner value Verbindung mit Admin-VPN erfolgreich hergestellt.
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-tunnel-protocol IPSec
 group-lock value Admin
 address-pools value VPN-Pool-Admin
username admin password ***** encrypted privilege 15
tunnel-group Admin type remote-access
tunnel-group Admin general-attributes
 authentication-server-group (outside) MS-NPS
 default-group-policy Admin
tunnel-group Admin ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 1280
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:c74a602cd47aac06f5d243d1740fe58b
: end


Im die Rechner im Server-Netz kann ich problemlos erreichen, nur im Management laufen alle Anfragen ins Leere. Zum Test habe ich auf der ASA ein 'debug icmp trace' abgesetzt. Einen Ping auf eine IP im Server-Netz  kann ich dann sehen, ins Management nicht.

Danke & Gruß,

Neelix

[#9370]

es fehlt noch das nonat am management interface.
Wenn das nichts helfen sollte, dann schau mal im ASDM log mit...

/#9370

[neelix]

Hallo,

das verstehe ich nicht ganz. Was soll ich dann da vom NAT ausnehmen, ich route ja nicht über Management0/0.

Neelix

[thematrix]

Hi,

das NAT hat nichts mit Routing zu tun, sondern ist eine Adressumsetzung. Beim NoNAT wird für eine Addresse/Netz explizit diese Addressumsetzung ausgeschaltet. In Deinem Fall wird vom Managementnetz zum Client keine Addressen geNATet. So solls ja auch sein. In der Regel werden VPN-Verbindungen nicht genattet (ein paar Ausnahmen gibts, aber eher selten).


gruss,

theMatrix

[neelix]

Hallo,

das ist mir schon klar. Aber das Problem ist ja nicht das NAT, sondern das (anschließende) Routing. Hier mal die Routingtable der ASA

Code: [Auswählen]

C    195.***.***.128 255.255.255.224 is directly connected, outside
C    Server-Net 255.255.252.0 is directly connected, inside
C    Management-Net 255.255.255.0 is directly connected, management
S*   0.0.0.0 0.0.0.0 [1/0] via 195.***.***.129, outside

Mein Problem ist die 3.  Zeile. Wenn ich mit meinem classic VPN-Client jetzt auf der ASA lande und eine IP im Management-Netz erreichen möchte, dann versucht die ASA das natürlich über das Interface 'management', was ja der kürzeste Weg ist. Der Haken ist jetzt ja aber, dass hier 'management-only' aktiviert ist, die Pakete also nicht über das Interface dürfen.

So, wie sage ich der ASA jetzt: Vergiss dein 'directly connected' und route das 'Management-Net' über 'sx00' ? Denn alle Geräte im 'Management-Net' haben als default gateway sx00, und dort wiederrum ist eine Route die besagt '10.1.1.0/24 via 10.10.120.1'

Wozu hat die ASA sonst dieses dedizierte Management-Interface?

Neelix

[#9370]

probier einfach mal das nat 0 fürs Management Interface...

@Management Interface grundsätzlich: Es ist leider eine Fehlkonstruktion, da es keine eigene Routing Tabelle dafür gibt. Es gibt nur ein sinnvolles Szenario dafür, und zwar wenn ein separates Management Netz vorhanden ist. Meistens wird das Management Interface als normales Routing-Interface verwendet.

/#9370

[neelix]

probier einfach mal das nat 0 fürs Management Interface...

Nütz nix. Wir schlichtweg ignoriert. Das Interface blockt die Pakete ab.

Wir haben ein separates Manegement-Netz, aber das will ich als Admin ja auch über VPN erreichen. Und da auf der ASA auch VPNs zu verschiedenen Niederlassungen terminieren, und auch VPN-Clients normaler Mitarbeiter, will ich die ACLs so übersichtlicht und kompakt wie möglich halten.

Ich hab mich aber jetzt dazu entschieden, die ASA einfach als "Server" zu betrachten, und hab das Management-Interface wieder abgeschaltet. Dann klappt das auch mit meiner Route, und ich muss das Netz nur im noNAT für insinde und die VPN-ACLs betrachten.

Ich glaube, das Managemant0/0 macht nur Sinn, wenn die ASA im transparent Mode läuft.

Neelix

[Otaku19]

Ne,das kann man zb als failover interface nehmen und im transparent mode ist die kiste auch aus den beiden "produktiven" lans erreichbar

[thematrix]

Hi,

das Managementinterface ist ja auch ein eingeschränktes Interface. Ich kann mich dunkel dran erinnern das Traffic auch nur eingeschränkt über das Interface laufen darf(is lange her das ich ein Interface als management interface only verwendet habe).
Ich denke es liegt daran.

https://supportforums.cisco.com/docs/DOC-4296

Gruss,

theMatrix