6
Cisco ASA 5510 VPN manuell Starten
Hallo,
ich habe hier eine Watchguard FB X1250e mit der ich einen VPN Tunnel zu einer Cisco ASA 5510 herstellen möchte. Nun initiiert die FB den Tunnel und es kommen Fehlermeldungen im Log. Diese Logs sind aber nicht aussagekräftig. Daher muss die Cisco den Tunnel initiieren, damit die FB die Logs bekommt und diese hoffentlich aussagekräftiger sind. Gibt es eine Möglichkeit den Tunnel bei solch einer Cisco manuell zu starten? (Außer Traffic über den Tunnel zu schicken. Dies funktioniert nämlich nicht.)
mfg
Marcel
ich habe hier eine Watchguard FB X1250e mit der ich einen VPN Tunnel zu einer Cisco ASA 5510 herstellen möchte. Nun initiiert die FB den Tunnel und es kommen Fehlermeldungen im Log. Diese Logs sind aber nicht aussagekräftig. Daher muss die Cisco den Tunnel initiieren, damit die FB die Logs bekommt und diese hoffentlich aussagekräftiger sind. Gibt es eine Möglichkeit den Tunnel bei solch einer Cisco manuell zu starten? (Außer Traffic über den Tunnel zu schicken. Dies funktioniert nämlich nicht.)
mfg
Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 117800
Url: https://administrator.de/contentid/117800
Printed on: May 7, 2024 at 21:05 o'clock
6 Comments
Latest comment
Wenn du uns noch das VPN Protokoll mitteilen würdest was du verwendest wäre das sehr hilfreich 
Bei PPTP kann man es manuell starten aber vermutlich verwendest du IPsec, oder ??
Antwort: Nein, das geht nicht, denn die IPsec Encapsulation wird nur bei Tunneltraffic gemacht !
Kannst du ja aber mit einem schlichten und einfachen Ping auslösen !!
Schalte auf dem Cisco einfach den Debug Modus für die IPsec Crypto Funktionen ein und schon weisst du sofort woran es liegt !!
Warum auch die FB Logs unverständlich sein sollen ist nicht nachvollziehbar ?!
Bei PPTP kann man es manuell starten aber vermutlich verwendest du IPsec, oder ??
Antwort: Nein, das geht nicht, denn die IPsec Encapsulation wird nur bei Tunneltraffic gemacht !
Kannst du ja aber mit einem schlichten und einfachen Ping auslösen !!
Schalte auf dem Cisco einfach den Debug Modus für die IPsec Crypto Funktionen ein und schon weisst du sofort woran es liegt !!
Warum auch die FB Logs unverständlich sein sollen ist nicht nachvollziehbar ?!
Hi,
sorry IPsec wird verwendet.
Das initiieren durch einen Ping funktioniert aus irgendwelchen Gründen nicht. Das haben wir auch schon ausprobiert. Aber Danke für den Tipp mit dem Debug Modus
Die FB, die zurzeit initiiert, kann ab dem Packet 5/6 nichts mehr verstehen, da diese zu diesem Zeitpunkt bereits verschlüsselt sind.
"Cannot Process MM ID payload..."
"Cannot process the inform message..."
sorry IPsec wird verwendet.
Das initiieren durch einen Ping funktioniert aus irgendwelchen Gründen nicht. Das haben wir auch schon ausprobiert. Aber Danke für den Tipp mit dem Debug Modus
Die FB, die zurzeit initiiert, kann ab dem Packet 5/6 nichts mehr verstehen, da diese zu diesem Zeitpunkt bereits verschlüsselt sind.
"Cannot Process MM ID payload..."
"Cannot process the inform message..."
Schon als gelöst markiert den Thread....du bist aber schnell zu befriedigen 
Woran siehst du das das Initiieren mit Ping nicht klappt ???
Hast du dir die Crypto SAs einem mit show crypto... angesehen auf dem Cisco ??? Damit siehst du das sofort !
Der Debugger sollte dich aber schnell zum Erfolg führen...
(Nur dran denken das du den später mit undebug all wieder ausschaltet sonst rennt der Cisco nur noch im 3ten Gang !!)
Außerdem hat die Watchguard Seite diverse Beispiel wie man den VPN Tunnel einrichtet:
http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...
Und vielleicht hilft dir dies auch noch:
Woran siehst du das das Initiieren mit Ping nicht klappt ???
Hast du dir die Crypto SAs einem mit show crypto... angesehen auf dem Cisco ??? Damit siehst du das sofort !
Der Debugger sollte dich aber schnell zum Erfolg führen...
(Nur dran denken das du den später mit undebug all wieder ausschaltet sonst rennt der Cisco nur noch im 3ten Gang !!)
Außerdem hat die Watchguard Seite diverse Beispiel wie man den VPN Tunnel einrichtet:
http://watchguard.custhelp.com/cgi-bin/watchguard.cfg/php/enduser/std_a ...
Und vielleicht hilft dir dies auch noch:
Hi,
meine Frage war ja beantwortet Ich selber habe die Cisco nicht hier. Diese auf der Gegenseite, deshalb kann ich dazu nicht viel weitergeben und die Antworten auch nur weiterleiten. Aber die Gegenstelle hat herausgefunden, dass es mit einem Ping funktioniert, wenn das Keep-Alive disabled ist.
Danke für die Links.
meine Frage war ja beantwortet
Ich selber habe die Cisco nicht hier. Diese auf der Gegenseite, deshalb kann ich dazu nicht viel weitergeben und die Antworten auch nur weiterleiten. Aber die Gegenstelle hat herausgefunden, dass es mit einem Ping funktioniert, wenn das Keep-Alive disabled ist.Danke für die Links.
Wichtig ist in diesem Zusammenhang noch die Extended Ping Funktion auf dem Cisco.
Nach dem Kommando ping drückt man einfach <return> und wird dann menügeführt gefragt. Bei den extended commands kann man immer die Quell IP Adresse des Pings angeben !
In Zusammenhang mit VPNs ist das sehr wichtig, da der Cisco sonst immer die niedrigste IP als Quelle nimmt und man so oft in den Firewall Settings hängenbleibt mit dem Ping weil die Quell IP nicht stimmt !!
Nach dem Kommando ping drückt man einfach <return> und wird dann menügeführt gefragt. Bei den extended commands kann man immer die Quell IP Adresse des Pings angeben !
In Zusammenhang mit VPNs ist das sehr wichtig, da der Cisco sonst immer die niedrigste IP als Quelle nimmt und man so oft in den Firewall Settings hängenbleibt mit dem Ping weil die Quell IP nicht stimmt !!
OK Danke für deine schnelle Hilfe.
