Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ASA 5505 VPN zum Kunden geht nicht durch den Router

Mitglied: mathschut

mathschut (Level 1) - Jetzt verbinden

15.02.2008, aktualisiert 18.02.2008, 12164 Aufrufe, 6 Kommentare

VPN Verbindung von lokalen Netzwerk durch ASA 5505 zum Kunden über WAN

Hallo ich möchte VPN von meinen Laptop zum Kunden machen. Das VPN muss durch meinen CISCO ASA 5505 aber leider bleibt es bei "Benutzer und Passwort werden überprüft" hängen.

Es wird bei der ASA folgender Fehler angezeigt:

3 Feb 15 2008 06:20:08 305006 217.230.234.174 regular translation creation failed for protocol 47 src inside:198.168.1.205 dst outside:217.230.234.174


2 Feb 15 2008 06:20:09 106001 62.26.208.5 192.168.2.21 Inbound TCP connection denied from 62.26.208.5/80 to 192.168.2.21/3438 flags ACK on interface outside

2 Feb 15 2008 06:20:05 106001 62.26.208.5 192.168.2.21 Inbound TCP connection denied from 62.26.208.5/80 to 192.168.2.21/3431 flags ACK on interface outside


Kann mir jemand sagen was ich noch machen muss damit das VPN geht?
Hier meine Config:


Saved
ASA Version 7.2(3)
!
hostname ciscoasa
domain-name default.domain.invalid

names
!
interface Vlan1
nameif inside
security-level 100
ip address 198.168.1.254 255.255.255.0
!
interface Vlan2
description FritzBox mit weiterleitung Ip-Adresse FritzBox: 192.168.2.1
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 100
ip address 193.168.3.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 198.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn
dhcp-client client-id interface outside
dhcpd auto_config outside
!
dhcpd address 198.168.1.2-198.168.1.30 inside
!
dhcpd address 193.168.3.2-193.168.3.10 dmz
dhcpd enable dmz
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:bc96bb3126e11b54582ea11c90785859
: end
asdm image disk0:/asdm-523.bin
no asdm history enable
Mitglied: aqui
15.02.2008 um 23:18 Uhr
Protokoll 47 ist das GRE Tunnel Protokoll. Das wird wahrscheinlich geblockt durch die NAT Firewall. Hier musst du einen Port Forwarding eintrag vorsehen fuer auf das Zielsystem sofern du NAT machst !

Vermutlich nutzt du PPTP dann muss auch der Port TCP 1723 zusaetzlich eroeffnet werden !
Bitte warten ..
Mitglied: mathschut
15.02.2008 um 23:25 Uhr
Nee ich mache kein PPOE. Ich habe eine Fritzbox vor der ASA. Wieso muss ich das Freischalten es ist doch Ausgehend. Bitte um deine Hilfe!!!


Mathias
Bitte warten ..
Mitglied: aqui
16.02.2008 um 12:05 Uhr
Leider schreibst du ja nicht WELCHES VPN Protokoll du benutzt aber vermutlich wird es wohl PPTP sein wenn man die Fehlermeldungen ansieht...
Dein internes Netz ist vermutlich die 198.168.1.0/24 mit dem PC/Laptop der die 198.168.1.205 hat. Die ASA kann keine Translation Table aufbauen für das GRE Protokoll dessn Zieladresse vermutlich die 217.230.234.174 ist.
Vermutlich fehlt dir in der ASA die Berechtigung für das GRE Protokoll oder PPTP im Allgemeinen. Der ASA auch eine variable IP Adresse per DHCP von der FB vergeben zu lassen ist für ein statisches Endgerät wie eine Firewall oder Router keine besonders weise Idee. Besser ist hier auch eine statische Adresse zu vergeben und DHCP auf der FB abzuschalten. Das ist aber letztlich nicht der Grund deines Problems.
Bitte warten ..
Mitglied: mathschut
16.02.2008 um 13:34 Uhr
ah ok danke

Ich benutze das Windows VPN PPoP.

Was muss ich machen damit es geht oder was muss ich einstellen??
Bitte warten ..
Mitglied: aqui
18.02.2008 um 08:43 Uhr
PPoP gibt es nicht ! Du meinst sicher PPTP, oder ???
PPTP benutzt die Ports TCP 1723 und das GRE Protokoll (IP Protokollnummer 47). Du musst sicherstellen, das die durch die FW durchgehen.
Bitte warten ..
Mitglied: mathschut
18.02.2008 um 09:14 Uhr
Wie richte ich die Portweiterleitung in der ASA 5505 ein?

(WEBoberfläche)
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Firmware Update Cisco ASA 5505
Frage von JoeJoeSwitche und Hubs3 Kommentare

Hallo zusammen, ich suche eine Firma der mir meine Firmware auf einer Cisco ASA 5505 auf den neuesten technischen ...

Router & Routing

CISCO ASA 5505 undLANCOM - VPN mit einseitig dyn. IP-Adresse

Frage von Stadtaffe84Router & Routing1 Kommentar

Hallo Zusammen, ich habe folgendes Szenario. In der Firmenzentrale steht eine CISCO ASA 5505 und dient unter anderem als ...

Router & Routing

Cisco Asa VPN Fragen

Frage von brooksRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

Router & Routing

VPN Tunnel im Tunnel Cisco RV-320 und Cisco ASA

Frage von realswoodRouter & Routing1 Kommentar

Servus, Ich habe einen Kunden in dessen Netzwerk ich nicht sein darf, deshalb stellt er mir eine interne IP ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 19 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 2 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...

DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
Frage von C.MorgensternDNS8 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...

E-Mail
Rechtssichere Archivierung von emails
Frage von gerd33E-Mail8 Kommentare

Hallo zusammen, bin gerade dabei, eine revisions- und rechtsichere email-archivierung aucf meinem Server zu projektieren. Da eigentlich nur ich ...