5
Cisco PIX501 und Server 2003R2 oder 2008R2 VPN mit AD Authentifizierung
Upgrade 2k3 auf 2k8 (Nicht InPlace)
VPN ging vorher
VPN geht jetzt nicht mehr
Betreiben eine Cisco Pix501 und ein Server 2003 AD zu dem jetzt ein Server 2008 dazu gekommen ist.
Der entsprechende Server war vorher 2003R2 und 1. DC, nun ist er 2k8R2 und 2.DC.
DCpromo wurde ordnungsgemäß ausgeführt. In der Firma können alle normal arbeiten, was Programme und Zugriffe betrifft.
Über die Cisco Pix konnten wir vorher unsere Homeoffices per VPN in unser Firmennetzwerk hineinbringen.
Nun klappt das nicht mehr.
ShrewSoft gibt nach ca. 8 Sekunden folgenden Fehler aus:
user authentication error
tunnel disabled
Welche Einstellung fehlt dass dies wieder funktioniert? Ich gehe hierbei von einer Servereinstellung aus.
Hoffe auf schnelle Antworten, sonst reißt mir die GL den Kopf ab
Falls configs benötigt werden, oder weitere Fragen bestehen, ich bemühe mich detailgenau zu antworten.
Der entsprechende Server war vorher 2003R2 und 1. DC, nun ist er 2k8R2 und 2.DC.
DCpromo wurde ordnungsgemäß ausgeführt. In der Firma können alle normal arbeiten, was Programme und Zugriffe betrifft.
Über die Cisco Pix konnten wir vorher unsere Homeoffices per VPN in unser Firmennetzwerk hineinbringen.
Nun klappt das nicht mehr.
ShrewSoft gibt nach ca. 8 Sekunden folgenden Fehler aus:
user authentication error
tunnel disabled
Welche Einstellung fehlt dass dies wieder funktioniert? Ich gehe hierbei von einer Servereinstellung aus.
Hoffe auf schnelle Antworten, sonst reißt mir die GL den Kopf ab
Falls configs benötigt werden, oder weitere Fragen bestehen, ich bemühe mich detailgenau zu antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176253
Url: https://administrator.de/contentid/176253
Printed on: April 19, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hallo,
Grundsätzlich gibt's ja das mit 1. DC und 2.DC so nicht mehr.
Macht ihr Raidus Anmeldung? Was treibt den der IAS bzw was habt ihr da umgestellt?
Siehst du was im Log des DC's?
Grundsätzlich gibt's ja das mit 1. DC und 2.DC so nicht mehr.
Macht ihr Raidus Anmeldung? Was treibt den der IAS bzw was habt ihr da umgestellt?
Siehst du was im Log des DC's?
Ohne einen Blick auf die PIX Konfig zu werfen ist eine Hilfestellung unmöglich. Oder wie hattest du dir das vorgestellt...Hand auflegen ??
Kann es sein das die PIX eine LDAP Anfrage macht an den AD zur User Authentisierung ??
Genau das ist ja dein Problem das die PIX die User nicht mehr authentisieren kann. Siehe Fehlermeldung !!
Nun wissen wir hier ja leider ob deiner mehr als oberflächlichen Beschreibung nicht welche Authentisierung die PIX denn nun macht. Lokal, Radius, AD/LDAP, Tacacs+ oder was auch immer.
Mit dem Server hat das wohl eher weniger zu tun, denn die PIX macht ja das gesamte VPN Handling...nicht der Winblows Server ! Also Telent auf die PIX und mal ins Log gesehen oder die Konfig kontrolliert. Im PIX Log steht meisten sofort waran es liegt !
Wenn dir aber Raten im freien Fall oder die Kristallkugel reicht ist ja gut... ?!
Kann es sein das die PIX eine LDAP Anfrage macht an den AD zur User Authentisierung ??
Genau das ist ja dein Problem das die PIX die User nicht mehr authentisieren kann. Siehe Fehlermeldung !!
Nun wissen wir hier ja leider ob deiner mehr als oberflächlichen Beschreibung nicht welche Authentisierung die PIX denn nun macht. Lokal, Radius, AD/LDAP, Tacacs+ oder was auch immer.
Mit dem Server hat das wohl eher weniger zu tun, denn die PIX macht ja das gesamte VPN Handling...nicht der Winblows Server ! Also Telent auf die PIX und mal ins Log gesehen oder die Konfig kontrolliert. Im PIX Log steht meisten sofort waran es liegt !
Wenn dir aber Raten im freien Fall oder die Kristallkugel reicht ist ja gut... ?!
Sarkasmus ist schon eine nette Sache. Ich hatte mich allerdings fast auf so eine Antwort eingestellt 
Es tut mir leid dass meine Ausführung etwas dürftig war, allerdings war die Zeit sehr knapp.
Aber jetzt mal ab die Post, hier die PIX Config
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd encrypted
hostname
domain-name
fixup protocol dns maximum-length 5XX
fixup protocol ftp X1
fixup protocol ftp X1X1
fixup protocol h323 h225 1X2X
fixup protocol h323 ras 1XX8-1XX9
fixup protocol http X0
fixup protocol rsh X1X
fixup protocol rtsp X5X
fixup protocol sip X0X0
fixup protocol sip udp 5XX0
fixup protocol skinny 2XX0
fixup protocol smtp X5
fixup protocol smtp 55XX5
fixup protocol sqlnet 1XX1
fixup protocol tftp 6X
names
name 192.168.X.13 GAPAPPL1
name 192.168.X.6 GAPSTOR1
name 192.168.X.5 GAPISA1
name 192.168.X.4 GAPCOM1
name 192.168.X.21 EDV-RAL
name 192.168.X.22 EDV-DJA
name 192.168.X.20 NB-DJA
name 192.168.X.18 gaptk1
name 192.168.X.182 gaptk2
name 192.168.X.232 VPN_User_3
name 192.168.X.0 gapdom
name 192.168.X.199 Maserati_Bekum
access-list inside_outbound_nat0_acl permit ip any 192.168.X.224 255.255.255.240
access-list outside_cryptomap_dyn_20 permit ip any 192.168.X.224 255.255.255.240
access-list outside_access_in deny tcp any host X.X.X.X eq www
access-list outside_access_in deny tcp any host X.X.X.X eq www
access-list outside_access_in deny ip any any
access-list inside_access_in permit tcp host GAPISA1 eq ftp any eq ftp
access-list inside_access_in permit ip host GAPISA1 any
access-list inside_access_in permit ip host 192.168.X.81 any
access-list inside_access_in remark 2nd Port-Forwarding Tobit Mail Access
access-list inside_access_in permit tcp host GAPCOM1 eq XX any eq XX
access-list inside_access_in remark Port-Forwarding Message Identification Services
access-list inside_access_in permit tcp host GAPCOM1 eq XX any
access-list inside_access_in permit tcp host 192.168.X.26 any
access-list inside_access_in remark genesisWorld Homeoffice
access-list inside_access_in permit ip host GAPAPPL1 any
access-list inside_access_in remark MyPortal Homeoffice
access-list inside_access_in permit tcp host gaptk2 eq XX any
access-list inside_access_in remark MyPortal Homeoffice
access-list inside_access_in permit tcp host gaptk2 eq XX any
access-list inside_access_in remark MyPortal Homeoffice
access-list inside_access_in permit tcp host gaptk2 eq XX any
access-list inside_access_in remark Navision Homeoffice
access-list inside_access_in permit ip host 192.168.X.14 any
access-list inside_access_in remark Multicash
access-list inside_access_in permit tcp host 192.168.X.167 range XX XX any
access-list inside_access_in remark Bekum Maschinenzugriff Maserati
access-list inside_access_in permit ip host Maserati_Bekum any
access-list inside_access_in deny ip any any
access-list 1X2 remark Tobit Mail-Access Port-Forwarding
access-list 1X2 permit tcp any eq XX host X.X.X.X eq XX
access-list Tobit permit icmp any any echo-reply
access-list Tobit remark Message Identification Services
access-list Tobit permit tcp any host X.X.X.X eq XX
access-list Tobit remark Message Identification Services
access-list Tobit permit tcp any host X.X.X.X eq XXX
access-list VPN_USER_splitTunnelAcl_1 permit ip gapdom 255.255.255.0 any
pager lines 24
logging on
logging timestamp
icmp deny any outside
mtu outside 1X00
mtu inside 1X00
ip address outside X.X.X.X 255.255.255.248
ip address inside 192.168.X.245 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN_IP_POOL 192.168.X.230-192.168.X.239
ip local pool VPN_POOL2 192.168.X.146-192.168.X.149
pdm location GAPCOM1 255.255.255.255 inside
pdm location GAPISA1 255.255.255.255 inside
pdm location GAPSTOR1 255.255.255.255 inside
pdm location GAPAPPL1 255.255.255.255 inside
pdm location EDV-RAL 255.255.255.255 inside
pdm location EDV-DJA 255.255.255.255 inside
pdm location NB-DJA 255.255.255.255 inside
pdm location 192.168.31.14 255.255.255.255 inside
pdm location 192.168.31.26 255.255.255.255 inside
pdm location 192.168.31.81 255.255.255.255 inside
pdm location 192.168.31.224 255.255.255.240 outside
pdm location gaptk2 255.255.255.255 inside
pdm location gaptk1 255.255.255.255 inside
pdm location VPN_User_3 255.255.255.255 inside
pdm location 192.168.X.167 255.255.255.255 inside
pdm location Maserati_Bekum 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (inside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) X.X.X.X 192.168.X.14 netmask 255.255.255.255 0 0
static (inside,outside) X.X.X.X GAPCOM1 netmask 255.255.255.255 0 0
static (inside,outside) X.X.X.X GAPAPPL1 netmask 255.255.255.255 0 0
static (inside,outside) 192.168.X.167 192.168.X.167 netmask 255.255.255.255 0 0
access-group Tobit in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 X.X.X.X 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server RADIUS (inside) host GAPCOM1 ooooo timeout 5
aaa-server RADIUS (inside) host GAPSTOR1 ooooo timeout 5
aaa-server RADIUS (inside) host 192.168.X.14 ooooo timeout 5
aaa-server LOCAL protocol local
http server enable
http gapdom 255.255.255.0 inside
snmp-server host inside 192.168.X.14
snmp-server host inside EDV-DJA
snmp-server host inside GAPISA1
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection tcpmss 0
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPN_USER address-pool VPN_IP_POOL
vpngroup VPN_USER dns-server 192.168.X.14 GAPCOM1
vpngroup VPN_USER split-tunnel VPN_USER_splitTunnelAcl_1
vpngroup VPN_USER split-dns 192.168.X.4 192.168.X.249
vpngroup VPN_USER idle-time 1800
vpngroup VPN_USER password
telnet gapdom 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.X.246-192.168.X.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:
: end
Es tut mir leid dass meine Ausführung etwas dürftig war, allerdings war die Zeit sehr knapp.
Aber jetzt mal ab die Post, hier die PIX Config
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password encrypted
passwd encrypted
hostname
domain-name
fixup protocol dns maximum-length 5XX
fixup protocol ftp X1
fixup protocol ftp X1X1
fixup protocol h323 h225 1X2X
fixup protocol h323 ras 1XX8-1XX9
fixup protocol http X0
fixup protocol rsh X1X
fixup protocol rtsp X5X
fixup protocol sip X0X0
fixup protocol sip udp 5XX0
fixup protocol skinny 2XX0
fixup protocol smtp X5
fixup protocol smtp 55XX5
fixup protocol sqlnet 1XX1
fixup protocol tftp 6X
names
name 192.168.X.13 GAPAPPL1
name 192.168.X.6 GAPSTOR1
name 192.168.X.5 GAPISA1
name 192.168.X.4 GAPCOM1
name 192.168.X.21 EDV-RAL
name 192.168.X.22 EDV-DJA
name 192.168.X.20 NB-DJA
name 192.168.X.18 gaptk1
name 192.168.X.182 gaptk2
name 192.168.X.232 VPN_User_3
name 192.168.X.0 gapdom
name 192.168.X.199 Maserati_Bekum
access-list inside_outbound_nat0_acl permit ip any 192.168.X.224 255.255.255.240
access-list outside_cryptomap_dyn_20 permit ip any 192.168.X.224 255.255.255.240
access-list outside_access_in deny tcp any host X.X.X.X eq www
access-list outside_access_in deny tcp any host X.X.X.X eq www
access-list outside_access_in deny ip any any
access-list inside_access_in permit tcp host GAPISA1 eq ftp any eq ftp
access-list inside_access_in permit ip host GAPISA1 any
access-list inside_access_in permit ip host 192.168.X.81 any
access-list inside_access_in remark 2nd Port-Forwarding Tobit Mail Access
access-list inside_access_in permit tcp host GAPCOM1 eq XX any eq XX
access-list inside_access_in remark Port-Forwarding Message Identification Services
access-list inside_access_in permit tcp host GAPCOM1 eq XX any
access-list inside_access_in permit tcp host 192.168.X.26 any
access-list inside_access_in remark genesisWorld Homeoffice
access-list inside_access_in permit ip host GAPAPPL1 any
access-list inside_access_in remark MyPortal Homeoffice
access-list inside_access_in permit tcp host gaptk2 eq XX any
access-list inside_access_in remark MyPortal Homeoffice
access-list inside_access_in permit tcp host gaptk2 eq XX any
access-list inside_access_in remark MyPortal Homeoffice
access-list inside_access_in permit tcp host gaptk2 eq XX any
access-list inside_access_in remark Navision Homeoffice
access-list inside_access_in permit ip host 192.168.X.14 any
access-list inside_access_in remark Multicash
access-list inside_access_in permit tcp host 192.168.X.167 range XX XX any
access-list inside_access_in remark Bekum Maschinenzugriff Maserati
access-list inside_access_in permit ip host Maserati_Bekum any
access-list inside_access_in deny ip any any
access-list 1X2 remark Tobit Mail-Access Port-Forwarding
access-list 1X2 permit tcp any eq XX host X.X.X.X eq XX
access-list Tobit permit icmp any any echo-reply
access-list Tobit remark Message Identification Services
access-list Tobit permit tcp any host X.X.X.X eq XX
access-list Tobit remark Message Identification Services
access-list Tobit permit tcp any host X.X.X.X eq XXX
access-list VPN_USER_splitTunnelAcl_1 permit ip gapdom 255.255.255.0 any
pager lines 24
logging on
logging timestamp
icmp deny any outside
mtu outside 1X00
mtu inside 1X00
ip address outside X.X.X.X 255.255.255.248
ip address inside 192.168.X.245 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN_IP_POOL 192.168.X.230-192.168.X.239
ip local pool VPN_POOL2 192.168.X.146-192.168.X.149
pdm location GAPCOM1 255.255.255.255 inside
pdm location GAPISA1 255.255.255.255 inside
pdm location GAPSTOR1 255.255.255.255 inside
pdm location GAPAPPL1 255.255.255.255 inside
pdm location EDV-RAL 255.255.255.255 inside
pdm location EDV-DJA 255.255.255.255 inside
pdm location NB-DJA 255.255.255.255 inside
pdm location 192.168.31.14 255.255.255.255 inside
pdm location 192.168.31.26 255.255.255.255 inside
pdm location 192.168.31.81 255.255.255.255 inside
pdm location 192.168.31.224 255.255.255.240 outside
pdm location gaptk2 255.255.255.255 inside
pdm location gaptk1 255.255.255.255 inside
pdm location VPN_User_3 255.255.255.255 inside
pdm location 192.168.X.167 255.255.255.255 inside
pdm location Maserati_Bekum 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (inside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) X.X.X.X 192.168.X.14 netmask 255.255.255.255 0 0
static (inside,outside) X.X.X.X GAPCOM1 netmask 255.255.255.255 0 0
static (inside,outside) X.X.X.X GAPAPPL1 netmask 255.255.255.255 0 0
static (inside,outside) 192.168.X.167 192.168.X.167 netmask 255.255.255.255 0 0
access-group Tobit in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 X.X.X.X 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server RADIUS (inside) host GAPCOM1 ooooo timeout 5
aaa-server RADIUS (inside) host GAPSTOR1 ooooo timeout 5
aaa-server RADIUS (inside) host 192.168.X.14 ooooo timeout 5
aaa-server LOCAL protocol local
http server enable
http gapdom 255.255.255.0 inside
snmp-server host inside 192.168.X.14
snmp-server host inside EDV-DJA
snmp-server host inside GAPISA1
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection tcpmss 0
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication RADIUS
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup VPN_USER address-pool VPN_IP_POOL
vpngroup VPN_USER dns-server 192.168.X.14 GAPCOM1
vpngroup VPN_USER split-tunnel VPN_USER_splitTunnelAcl_1
vpngroup VPN_USER split-dns 192.168.X.4 192.168.X.249
vpngroup VPN_USER idle-time 1800
vpngroup VPN_USER password
telnet gapdom 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.X.246-192.168.X.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Cryptochecksum:
: end
Da sieht man es schon wenn man denn mal hinsieht und strategisch vorgeht: (Ggf. etwas weiter anonymisieren die Konfig oben !! Man muss nicht alle Namen sehen !)
crypto map outside_map client authentication RADIUS
Die komplette VPN User Authetication wird also auf einem externen Radius Server gemacht. Entweder kann die PIX den nicht erreichen oder eine ACL verhindert das sofern du andere IPs benutzt.
Du solltest also auch mal parallel ins Logg der PIX sehen ob es einen Radius Connect Fehler gibt.
Zusätzlich natürlich besonders in das Log dieses externen Radius Servers oder Server, warum die VPN Benutzer Authentication fehlschlägt !!
Es sind 3 Radius Server vorhanden die alle der Reihe nach abgefragt werden im Failover Fall.
Primär ist es der Radius Host mit Namen GAPCOM1 unter der IP 192.168.X.4
Wenn der nicht antwortet fragt er GAPSTOR1 unter der IP 192.168.X.6
Wenn der nicht antwortet einen Radius unter der IP 192.168.X.14
...und wenn der nicht antwortet gibts ne Fehlermeldung wie oben !
crypto map outside_map client authentication RADIUS
Die komplette VPN User Authetication wird also auf einem externen Radius Server gemacht. Entweder kann die PIX den nicht erreichen oder eine ACL verhindert das sofern du andere IPs benutzt.
Du solltest also auch mal parallel ins Logg der PIX sehen ob es einen Radius Connect Fehler gibt.
Zusätzlich natürlich besonders in das Log dieses externen Radius Servers oder Server, warum die VPN Benutzer Authentication fehlschlägt !!
Es sind 3 Radius Server vorhanden die alle der Reihe nach abgefragt werden im Failover Fall.
Primär ist es der Radius Host mit Namen GAPCOM1 unter der IP 192.168.X.4
Wenn der nicht antwortet fragt er GAPSTOR1 unter der IP 192.168.X.6
Wenn der nicht antwortet einen Radius unter der IP 192.168.X.14
...und wenn der nicht antwortet gibts ne Fehlermeldung wie oben !
Danke für deine Hilfe.
Gapcom wurde auf 2008 geupgraded, gapappl3 zwar dc aber kein Radius installiert, gapstor1 hatte diese Einstellungen mal vor ein paar Jahren
PS: Kannst du mir nochn paar Tipps zur Konfig geben, kann zwar von außen die IP´s anpingen und mich mit ihnen verbinden, aber per DNS Namen geht es nicht.
Gapcom wurde auf 2008 geupgraded, gapappl3 zwar dc aber kein Radius installiert, gapstor1 hatte diese Einstellungen mal vor ein paar Jahren
PS: Kannst du mir nochn paar Tipps zur Konfig geben, kann zwar von außen die IP´s anpingen und mich mit ihnen verbinden, aber per DNS Namen geht es nicht.
