CISCO ASA 5510 8.4(1) Static Nat klappt nicht bei Debian

[cangermeier]

Hallo Zusammen,

ich habe da ein merkwürdiges Problem. Wir haben unseren alten ASA 5510 gegen neue getauscht und jetzt das neue OS mit im Einsatz.

Im Rz befinden sich round about 20 Server, 10 Davon Windows Kisten, der rest Debian 5 und 6 Kisten + 2 OpenSuSE. Die Static Nat und Access regeln funktionieren soweit bei allen Kisten aus den Debian Maschinen. Ich kann mir da keinen Reim drauf machen.

Aufbau:

Internet ----- ASA 5510 (Failover active/standby) -------- Serverfarm

Objektorientiertes NAT:
Code: [Auswählen]
object network svn2
host 192.168.202.130
nat (Inside,Outside) static xx.xxx.xx.xxx dns

Access-List:
Code: [Auswählen]
access-list outside_in extended permit tcp any object svn2 eq www
access-list outside_in extended permit tcp any object svn2 eq ssh
access-list outside_in extended permit tcp any object svn2 eq 10000
access-list outside_in extended permit tcp any object svn2 eq ftp-data
access-list outside_in extended permit tcp any object svn2 eq ftp

Der Cisco Paket Tracer lässt die Pakete entsprechend durch, also denke ich liegt es nicht an der Konfiguration der ASA. Die Pakete werden auch bei den Nat Regelen und Acess-lists gezählt, aber es geht weder was raus, noch was rein. Auffällig ist noch dass die ASA bei SSH meint einen Syn Attacke erkannt zu haben. Liegt aber vielleicht auch daran dass SSH evtl. exzeiv versucht eine Verbindung herzustellen.

Meine Vermutung liegt darin dass an den Debian Kisten in der Netzgeschichte der hase begraben liegt, denn wenn ich die IP-Adressen zwischen einer Debian und einer SuSE Kiste tausche funktioniert die SuSE mit den ursprünglichen Debian Einstellungen. Aber ich habe keine Idee was an den Debian Kisten anders sein könnte.

Hat jemand von euch eine Idee?

Viele Grüße

Christian

[rendegast]

Müssen die debian-hosts vielleicht noch explizit am cisco-Router angemeldet werden,
sind noch nicht dem VPN hinzugefügt?
(host-key oder ähnlich, bei der Umstellung eventuell vergessen worden)

Auf den debian-hosts zum Testen/Beobachten eine Log-Regel setzen?

Code: Alles auswählen

iptables -L
iptables -L -tnat

Code: Alles auswählen

iptables  -I INPUT  -j LOG --log-prefix "INPT"
iptables  -tnat -I PREROUTING  -j LOG --log-prefix "PRER"
tail -f $FIREWALL_LOG                  # je nach Einstellung des syslog

ifconfig / route der debian-hosts sind valide?




--------------------------------------

Die Static Nat und Access regeln funktionieren soweit bei allen Kisten aus den Debian Maschinen.

"... bei allen Kisten außer den Debian Maschinen. "?

"... exzeiv ..."
Cisco-Jargon? Oder soll "exzessiv" heißen?

[cangermeier]

Hallo,

mit VPN hat das wenig zu tun, da die Debian Hosts nicht über VPN mit der ASA kommunizieren.
Das Nat wird von der CISCO ausgeführt nicht durch die Linux Maschinen.

Ich werd mal die Pakete tracen die von außen durch die Firewall an der Linux Kiste ankommen, und was da dann wieder raus geht. Ich meine nämlich dass die Eingehenden Pakete bis zur Debian Kiste kommen, aber die Antworten gehen nicht mehr so raus wie sie das sollten.