Cisco ASA 5510 L2TP IPSEC mit Win2008 Routing und Ras

Mitglied: 103609

103609

17.11.2011 um 22:04 Uhr, 4546 Aufrufe, 4 Kommentare

Hi,

ab und zu war ich schon da und bin bei so manchem Tip auch fündig geworden, nur diesmal will mein Problem sich nicht so Recht "von selbst" lösen und hoffe auf eure Hilfe..... :\

Folgendes Szenario:

Ich möchte eine Cisco ASA 5510 so einrichten (wurde mir von einem it-dienstleister so hingestellt, deswegen hab ich nicht so unmittelbar den masterplan),
dass ich von außen mit mobilen clients (windows XP / win7) einen L2TP/IPSEC Tunnel aufbauen kann.
Im ersten Schritt habe ich dafür PSK auserkoren - as simple as it could be.
Der VPN-Server ist ein Win2k8R2 mit Routing&RAS - user sollen sich direkt mit dem AD-Konto authentifizieren.

Aktuell ist schon PPTP umgesetzt und funktioniert einwandfrei. soweit ich das gesehen habe nach folgenden einträgen:

access-list outside_access_in extended permit tcp any host ras-extern eq pptp
[...]
static (inside,outside) ras-extern ras-intern netmask 255.255.255.255

nun dachte ich mir, dass man mit 500,4500,1701 und esp das ganze zusätzlich wie folgt umsetzt:

access-list outside_access_in extended permit udp any host wartung.extern eq 1701
access-list outside_access_in extended permit udp any host wartung.extern eq 500
access-list outside_access_in extended permit udp any host wartung.extern eq 4500
access-list outside_access_in extended permit esp host ras-extern

Pustekuchen.... der hit-coutner geht z.b. für 500 zwar hoch, aber das wars auch. auf der clientseite kriege ich den fehler 809 (problem beim verbindungsaufbau, ggf. nat prob).

folgende page von cisco habe ich mir dazu schon reingezogen, die ja eigentlich genau das beschreibt was ich machen will, aber ich komme irgendwie auf keinen grünen zweig
Der Absatz zu "Allow L2TP Over IPsec Through PIX/ASA 7.x and Above"
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...

Intern funktioniert der Verbindungsaufbau mit PPTP und L2TP/IPSEC übrigens einwandfrei. Es muss irgendwas in der ASA stecken was da nicht so richtig will....

Ich hoffe, dass da jemand mehr Plan von hat als ich und mir schreibt ;)

Danke schon mal vorab :\
Mitglied: 103609
103609 (Level 1)
17.11.2011 um 22:16 Uhr
lololololololololol - sorry for wasting your time -.-

es ist genau so wie ich es oben geschildert habe - genau so funktioniert es; jedenfalls in der theorie.

M$ ist schuld.... ich habe natürlich noch weiterrecherchiert und folgende page gefunden:

http://www.bauer-power.net/2011/10/how-to-connect-windows-l2tp-over-ips ...

das habe ich aus verzweiflung einfach mal ausprobiert und ZACK! es geht -.-

For Windows XP clients do the following:
Click Start > Run. Type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Create a new DWORD called AssumeUDPEncapsulationContextOnSendRule and set the value to 2
Reboot
For Windows Vista/Windows 7 clients (If you don’t like SSTP)

Press WIN+R, type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Create a new DWORD value called AssumeUDPEncapsulationContextOnSendRule and set the value to 2.
Reboot
Now your Windows clients should be able to connect using L2TP over IPSEC without issue.

Bitte warten ..
Mitglied: aqui
18.11.2011 um 12:16 Uhr
Eigentlich Blödsinn einen L2TP Tunnel durch eine ASA aufzubauen. Viel sicherer und stabiler ist es das VPN auf der ASA selber zu terminieren und den Winblows Server unbehelligt zu lassen.
So konterkariert man eigentlich den Einsatz einer Firewall wie die ASA ja nun mal ist. Da hättest du das Gled sparen können und auch einen 20 Euro Baumarkt Router für hinsetzen kömnen... Vermutlich ist dir das gar nicht bewusst ?! Na ja so viel zum Thema "Masterplan" der vermutlich nicht mal ansatzweise existiert...
Aber warum sicher machen wenns unsicherer und einfacher auch geht ?!
Hier findest du eine Konfig wie man es richtig macht auf der ASA das VPN zu terminieren:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
bzw. wenn man hier mal die Suchfunktion benutzt:
https://www.administrator.de/forum/Cisco-ASA-L2TP-IPSec-RemoteAccess-VPN ...
oder wenn man nicht lesen will:
http://gregsowell.com/?p=805
Um das VPN für Dummies zu machen, also L2TP einfach zu tunneln durch die ASA findest du hier eine abtipp fertige Anleitung:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hätte dir das überflüssige, gefährliche und auch sinnfreie Verbiegen der Winblows Komponenten erspart...!
Bitte warten ..
Mitglied: 103609
103609 (Level 1)
18.11.2011 um 16:43 Uhr
Hi,

im Grunde hast Du ja Recht - wenn man denn nur diesen Teilaspekt der Anlage betrachtet. Ich hätte es auch lieber anders gehabt. Der RAS-Server war nur schon da und es ist die schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss.
Wie Du aber sicherlich selber weißt gibt es immer mehr als 1 Kriterium an dem bei einer Entscheidung festgehalten wird.... so auch hier.
Die Abtippanleitung hatte ich auch gefunden und in meinem zweiten Post wie Du sicher gesehen hast (oder auch nicht) auch schon die Lösung für das Problem.

Der 20EUR Baumarkt Router hätte es aber auch nicht sein können, weil der die ganzen Verbindungen die gehandelt werden und des abzubildenden Netzwerkes nicht hätte mitmachen können! Allein die Mailhandles im deutlichen 6-stelligen Bereich hätten den aufgeraucht..

Ich möchte Dir aber dennoch für Deinen Beitrag danken, da er wirklich wertvolle Informationen enthält die hoffentlich nun einem Anderen zu Gute kommen.

Und im Übrigen ist ein: "Bitte mit Sarkasmus und Spott zurückhalten wenn man das Gesamtbild nicht kennt" angebracht!
Solch ein Verhalten schadet einem Forum eher als es nützt, da bringt es auch nichts, wenn man im Anschluss aufopfernd Informationen feil bietet und meint man selber scheint am Hellsten.

Danke!
Bitte warten ..
Mitglied: aqui
18.11.2011 um 20:18 Uhr
Na ja das Quäntchen Helligkeit hat dir ja gefehlt um das Gesamtbild darzustellen. Statt dessen konfrontierst du uns mit einer halb garen Quick and Dirty Lösung und einem vollkommen sinnlosen und zudem gefährlichen Registry Hack. Dein Argument "schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss..." kann man wirklich nicht für voll nehmen, denn auf der ASA ist das mit 3 Mausklicks installiert und steht in keinem Verhältnis zum Customizen des Winblows Servers, den Problemen des Port Forwarding auf der Firewall, Regisry Hack usw. usw. Von der Sicherheit wolln wir lieber mal gar nicht reden...
Soviel zum Thema Teilaspekt.
Im übrigen sollte man schon so einen Aufriss aushalten können wenn man sich in ein Forum wagt mit löchrigen Beschreibungen und es mal etwas rauher wird....aber egal...es funktioniert und gut iss...
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 1 TagFrageExchange Server83 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

Exchange Server
Exchange-Hack (2021-03) war Angriff erfolgreich? Was dann?
FrM222Vor 10 StundenFrageExchange Server17 Kommentare

Hallo Zusammen, ich bin ganz neu hier im Forum, daher entschuldige ich mich schon mal im Voraus, falls ich beim Einstellen etwas falsch gemacht ...

Exchange Server
Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?
StefanKittelVor 21 StundenFrageExchange Server14 Kommentare

Hallo, ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden. Das führt mich zu der Vermutung, dass ...

Ausbildung
Projektantrag abgelehnt (IHK)
StrowayerVor 11 StundenFrageAusbildung10 Kommentare

Guten Tag, mein Projektantrag für die IHK wurde leider abgelehnt mit der Begründung: "Bitte überarbeiten Sie Ihren Zeitplan. Die Projektdokumentation sollte nicht 25% der ...

Python
Könnt ihr bugs finden ?
adriaanVor 1 TagAllgemeinPython11 Kommentare

Guten Tag liebe Forenmitglieder, Ich schreibe heute diesen Beitrag, weil ich einen Python Zähler entwickelt habe. Diesen würde ich gerne härten und entsprechend gerne ...

Off Topic
So funktioniert das Internet! - Danke, Maus
em-pieVor 1 TagInformationOff Topic2 Kommentare

Anlässlich des Geburtstages unserer orangenen Freundin: So funktioniert das Internet: Alles Gute, liebe Maus :-)

Netzwerke
Cisco IOS: grep?
gelöst PeterGygerVor 1 TagFrageNetzwerke11 Kommentare

Hallo Falls jemand die Antwort aus dem Ärmel schütteln kann , danke ich im Voraus. In einem Vortrag wurde die Cisco IOS (Catalyst / ...

Virtualisierung
Virtualisierung von WIN10 unter Linux mit oder aus ursprünglichen Datenträger
Kai-aus-der-KisteVor 1 TagFrageVirtualisierung16 Kommentare

Hallo in die Gemeinschaft, wie ich in meinem ersten Beitrag schon schrieb, bin ich von WIN10 auf Linux umgestiegen. Da ich im letzten Jahre ...