15
Cisco ASA 5505 Firewall: VPN Verbindung steht - keine Verbindung per Remote-Desktop-Client auf den Server - AnyConnect-Client funktioniert
Guten Morgen Forum,
erstmal kurz die Randbedingungen:
Cisco ASA 5505 mit ASA 9.2.3 und ASDM 7.5.2
Windows Server 2008 R2
statische IP
folgendes Problem stellt sich mir derzeit:
Verbindung mit dem AnyConnect-Client klappt sowohl unter Windows und unter OS X und ich kann per Remotedesktopclient den Server aufrufen. Es scheint folglich alles richtig konfiguriert zu sein - die VPN-User haben Zugriff etc.
Verbindung mit dem "alten" VPN-Client (z.B. unter WinXP) und über den nativen Mac VPN-Client (Chef will keine Zusatzsoftware auf seinem MacBook - es muss also mit dem nativen Mac-Client klappen) klappt auch, allerdings kann ich hier keinerlei Verbindung zum Netzwerk aufbauen.
Die VPN-Verbindung steht, ich bekomme eine korrekte IP aus dem VPN-Adress-Pool zugewiesen und das war es dann. Sobald ich mich per Remotedesktop verbinden möchte kommt die Meldung, dass die IP nicht erreichbar ist.
Ein Ping auf die Server-IP schlägt fehl.
Bin momentan ziemlich ratlos, zumal ich mich mit der Cisco-Firewall nicht wirklich auskenne (wurde so vom Vorgänger übernommen).
Kann mir jemand einen Tipp geben wo ich ansetzen muss?
Vielen Dank!
erstmal kurz die Randbedingungen:
Cisco ASA 5505 mit ASA 9.2.3 und ASDM 7.5.2
Windows Server 2008 R2
statische IP
folgendes Problem stellt sich mir derzeit:
Verbindung mit dem AnyConnect-Client klappt sowohl unter Windows und unter OS X und ich kann per Remotedesktopclient den Server aufrufen. Es scheint folglich alles richtig konfiguriert zu sein - die VPN-User haben Zugriff etc.
Verbindung mit dem "alten" VPN-Client (z.B. unter WinXP) und über den nativen Mac VPN-Client (Chef will keine Zusatzsoftware auf seinem MacBook - es muss also mit dem nativen Mac-Client klappen) klappt auch, allerdings kann ich hier keinerlei Verbindung zum Netzwerk aufbauen.
Die VPN-Verbindung steht, ich bekomme eine korrekte IP aus dem VPN-Adress-Pool zugewiesen und das war es dann. Sobald ich mich per Remotedesktop verbinden möchte kommt die Meldung, dass die IP nicht erreichbar ist.
Ein Ping auf die Server-IP schlägt fehl.
Bin momentan ziemlich ratlos, zumal ich mich mit der Cisco-Firewall nicht wirklich auskenne (wurde so vom Vorgänger übernommen).
Kann mir jemand einen Tipp geben wo ich ansetzen muss?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 291022
Url: https://administrator.de/contentid/291022
Ausgedruckt am: 27.11.2024 um 05:11 Uhr
15 Kommentare
Neuester Kommentar
Hi,
wie sehen denn die Firewallregeln für das VPN aus? Klingt nach einem Deny in der Firewall.
Gruß
wie sehen denn die Firewallregeln für das VPN aus? Klingt nach einem Deny in der Firewall.
Gruß
Hi
gibt es auf der ASA nur eine Group POlicy für die PVN Einwahl oder wird für IPSEC eine andere Group Policy (rofil) verwendet. Eventuell ist hier eine andere ACL hinterlegt. Was sagt die Routing Tabelle mit dem nativen Client nach der Einwahl ?
LG
gibt es auf der ASA nur eine Group POlicy für die PVN Einwahl oder wird für IPSEC eine andere Group Policy (rofil) verwendet. Eventuell ist hier eine andere ACL hinterlegt. Was sagt die Routing Tabelle mit dem nativen Client nach der Einwahl ?
LG
Vielen Dank erstmal für die Unterstützung.
Konnte in der Firewall für die IP-Range des VPN-Pools kein deny entdecken.
es gibt für die VPN-Zugänge nur einen VPN-Pool und entsprechend nur eine GroupPolicy.
Wie kann ich mir die Routing-Tabelle aufrufen?
Konnte in der Firewall für die IP-Range des VPN-Pools kein deny entdecken.
es gibt für die VPN-Zugänge nur einen VPN-Pool und entsprechend nur eine GroupPolicy.
Wie kann ich mir die Routing-Tabelle aufrufen?
Hallo,
am ende jeder Access Liste steht immer ein "implizites deny" das heißt alles was nicht explizit erlaubt ist, ist verboten.....
Wenn also deine IP-Range nicht erlaubt ist, ist die Range verboten....
brammer
Konnte in der Firewall für die IP-Range des VPN-Pools kein deny entdecken.
am ende jeder Access Liste steht immer ein "implizites deny" das heißt alles was nicht explizit erlaubt ist, ist verboten.....
Wenn also deine IP-Range nicht erlaubt ist, ist die Range verboten....
brammer
Hi
die ASA behandlet VPN Traffic etwas anders und die normalen FIrewallrules werden nicht verwendet. Wenn man das machen will, dann muss man in der Group Policy eine ACL hinterlegen. Kannst du mal deine gesamte Config posten ?
LG
die ASA behandlet VPN Traffic etwas anders und die normalen FIrewallrules werden nicht verwendet. Wenn man das machen will, dann muss man in der Group Policy eine ACL hinterlegen. Kannst du mal deine gesamte Config posten ?
LG
so - habe nochmals nachgeschaut.
Die IP-Range ist erlaubt.
Muss ja auch so sein, sonst würde es ja mit dem AnyConnect-Client vermutlich auch nicht funktionieren?!
wie kann ich die Config so exportieren, dass ich es hier sinnvoll posten kann?
Die IP-Range ist erlaubt.
Muss ja auch so sein, sonst würde es ja mit dem AnyConnect-Client vermutlich auch nicht funktionieren?!
wie kann ich die Config so exportieren, dass ich es hier sinnvoll posten kann?
Hi
show run in der CLI und dann hier in Code Tags einschließen
LG
show run in der CLI und dann hier in Code Tags einschließen
LG
wie gewünscht:
Ich habe einen Teil der Informationen ausgext - ich hoffe man kann damit trotzdem weiterarbeiten ;)
so, hab jetzt noch weitere Informationen.
Scheinbar wurde die ASA 5505 kurz vor dem Zuständigkeitswechsel noch von 6.4.5 auf die aktuelle Version 9.2.3 aktualisiert. ASDM wurde wohl analog hochgezogen.
Kann es sein, dass bei diesem Update-Vorgang über den Wizard irgendwelche Einstellungen verloren gehen bzw. gegangen sind oder alle Clients außer dem AnyConnect-Client von der Cisco nicht mehr akzeptiert werden?
Ich habe einen Teil der Informationen ausgext - ich hoffe man kann damit trotzdem weiterarbeiten ;)
so, hab jetzt noch weitere Informationen.
Scheinbar wurde die ASA 5505 kurz vor dem Zuständigkeitswechsel noch von 6.4.5 auf die aktuelle Version 9.2.3 aktualisiert. ASDM wurde wohl analog hochgezogen.
Kann es sein, dass bei diesem Update-Vorgang über den Wizard irgendwelche Einstellungen verloren gehen bzw. gegangen sind oder alle Clients außer dem AnyConnect-Client von der Cisco nicht mehr akzeptiert werden?
niemand?
Hallo,
da du in den ACL ualle IP Adressen unkenntlich gemacht hast, wird das schwierig nachzuvollziehen was diese dürfen und was nicht....
Außerdem solltest du alle Einträge Firma2 löschen.
nicht das dir die irgnedwo die Suppe versalzen....
Was sagt den ein
brammer
da du in den ACL ualle IP Adressen unkenntlich gemacht hast, wird das schwierig nachzuvollziehen was diese dürfen und was nicht....
den VPN-Zugang Firma2 kann man ignorieren - war ein kläglicher Test meinerseits ;)
Außerdem solltest du alle Einträge Firma2 löschen.
nicht das dir die irgnedwo die Suppe versalzen....
Was sagt den ein
debug crypto ipsec
debug crypto isakmpbrammer
vielen Dank für die Unterstützung!
Hab die Config oben erweitert und etwas weniger geschwärzt. Tu mir halt schwer damit, die komplette Konfiguration einfach so ins Internet zu stellen.
Wenn ich die beiden Befehle
in die CLI eingebe kommt folgende Meldung:
Führe ich die beiden Befehle in einer Putty-Session per Telnet aus passiert nach Eingabe der Befehle gar nichts.
Hab die Config oben erweitert und etwas weniger geschwärzt. Tu mir halt schwer damit, die komplette Konfiguration einfach so ins Internet zu stellen.
Wenn ich die beiden Befehle
debug crypto ipsec
debug crypto isakmpin die CLI eingebe kommt folgende Meldung:
Debug commands are not supported in CLI Window.Führe ich die beiden Befehle in einer Putty-Session per Telnet aus passiert nach Eingabe der Befehle gar nichts.
Hallo,
dann mach mal ein
bzw.
während du versuchst einen Tunnel vom Chef Laptop aufzubauen....
brammer
dann mach mal ein
term monbzw.
sh logwährend du versuchst einen Tunnel vom Chef Laptop aufzubauen....
brammer
der Tunnel als solcher steht ja - der Mac bzw. der "alte" VPN-Client in aktuellster 5.x Version haben einen Tunnel aufgebaut. Die Cisco zeigt mir im ADSM auch an, dass die Verbindung korrekt aufgebaut ist.
Ich bekomme am WinXP-Rechner mit dem 5er Client folgende IP zugewiesen:
IP: 10.10.120.102
Subnet: 255.255.0.0
Gateway:
DNS-Server: 10.10.20.250
WINS-Server: 10.10.20.250
Es scheitert letztlich daran, dass ich im Netzwerk nichts anpingen kann und folglich keine Verbindung bekomme - weder per RDP noch per Browser-Aufruf.
Im Gegensatz dazu funktioniert komischerweise mit dem AnyConnect-Client egal von welchem Rechner/Betriebssystem aus alles problemlos.
Dort bekomme ich die IP-Adresse analog dem oben angegebenen zugewiesen:
IP: 10.10.120.103
Subnet: 255.255.0.0
Gateway:
DNS-Server: 10.10.20.250
WINS-Server: 10.10.20.250
Ich bekomme am WinXP-Rechner mit dem 5er Client folgende IP zugewiesen:
IP: 10.10.120.102
Subnet: 255.255.0.0
Gateway:
DNS-Server: 10.10.20.250
WINS-Server: 10.10.20.250
Es scheitert letztlich daran, dass ich im Netzwerk nichts anpingen kann und folglich keine Verbindung bekomme - weder per RDP noch per Browser-Aufruf.
Im Gegensatz dazu funktioniert komischerweise mit dem AnyConnect-Client egal von welchem Rechner/Betriebssystem aus alles problemlos.
Dort bekomme ich die IP-Adresse analog dem oben angegebenen zugewiesen:
IP: 10.10.120.103
Subnet: 255.255.0.0
Gateway:
DNS-Server: 10.10.20.250
WINS-Server: 10.10.20.250
keiner ne Idee woran es liegen könnte?
sind jetzt schlussendlich auf Sophos umgestiegen, da sich auch der Cisco-Support nicht berufen fühlte zu unterstützen.
Mit Sophos läuft jetzt soweit alles problemlos.
Mit Sophos läuft jetzt soweit alles problemlos.
