Cisco PIX501 und Server 2003R2 oder 2008R2 VPN mit AD Authentifizierung
Upgrade 2k3 auf 2k8 (Nicht InPlace)
VPN ging vorher
VPN geht jetzt nicht mehr
Betreiben eine Cisco Pix501 und ein Server 2003 AD zu dem jetzt ein Server 2008 dazu gekommen ist.
Der entsprechende Server war vorher 2003R2 und 1. DC, nun ist er 2k8R2 und 2.DC.
DCpromo wurde ordnungsgemäß ausgeführt. In der Firma können alle normal arbeiten, was Programme und Zugriffe betrifft.
Über die Cisco Pix konnten wir vorher unsere Homeoffices per VPN in unser Firmennetzwerk hineinbringen.
Nun klappt das nicht mehr.
ShrewSoft gibt nach ca. 8 Sekunden folgenden Fehler aus:
user authentication error
tunnel disabled
Welche Einstellung fehlt dass dies wieder funktioniert? Ich gehe hierbei von einer Servereinstellung aus.
Hoffe auf schnelle Antworten, sonst reißt mir die GL den Kopf ab
Falls configs benötigt werden, oder weitere Fragen bestehen, ich bemühe mich detailgenau zu antworten.
VPN ging vorher
VPN geht jetzt nicht mehr
Betreiben eine Cisco Pix501 und ein Server 2003 AD zu dem jetzt ein Server 2008 dazu gekommen ist.
Der entsprechende Server war vorher 2003R2 und 1. DC, nun ist er 2k8R2 und 2.DC.
DCpromo wurde ordnungsgemäß ausgeführt. In der Firma können alle normal arbeiten, was Programme und Zugriffe betrifft.
Über die Cisco Pix konnten wir vorher unsere Homeoffices per VPN in unser Firmennetzwerk hineinbringen.
Nun klappt das nicht mehr.
ShrewSoft gibt nach ca. 8 Sekunden folgenden Fehler aus:
user authentication error
tunnel disabled
Welche Einstellung fehlt dass dies wieder funktioniert? Ich gehe hierbei von einer Servereinstellung aus.
Hoffe auf schnelle Antworten, sonst reißt mir die GL den Kopf ab
Falls configs benötigt werden, oder weitere Fragen bestehen, ich bemühe mich detailgenau zu antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176253
Url: https://administrator.de/forum/cisco-pix501-und-server-2003r2-oder-2008r2-vpn-mit-ad-authentifizierung-176253.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
5 Kommentare
Neuester Kommentar
Ohne einen Blick auf die PIX Konfig zu werfen ist eine Hilfestellung unmöglich. Oder wie hattest du dir das vorgestellt...Hand auflegen ??
Kann es sein das die PIX eine LDAP Anfrage macht an den AD zur User Authentisierung ??
Genau das ist ja dein Problem das die PIX die User nicht mehr authentisieren kann. Siehe Fehlermeldung !!
Nun wissen wir hier ja leider ob deiner mehr als oberflächlichen Beschreibung nicht welche Authentisierung die PIX denn nun macht. Lokal, Radius, AD/LDAP, Tacacs+ oder was auch immer.
Mit dem Server hat das wohl eher weniger zu tun, denn die PIX macht ja das gesamte VPN Handling...nicht der Winblows Server ! Also Telent auf die PIX und mal ins Log gesehen oder die Konfig kontrolliert. Im PIX Log steht meisten sofort waran es liegt !
Wenn dir aber Raten im freien Fall oder die Kristallkugel reicht ist ja gut... ?!
Kann es sein das die PIX eine LDAP Anfrage macht an den AD zur User Authentisierung ??
Genau das ist ja dein Problem das die PIX die User nicht mehr authentisieren kann. Siehe Fehlermeldung !!
Nun wissen wir hier ja leider ob deiner mehr als oberflächlichen Beschreibung nicht welche Authentisierung die PIX denn nun macht. Lokal, Radius, AD/LDAP, Tacacs+ oder was auch immer.
Mit dem Server hat das wohl eher weniger zu tun, denn die PIX macht ja das gesamte VPN Handling...nicht der Winblows Server ! Also Telent auf die PIX und mal ins Log gesehen oder die Konfig kontrolliert. Im PIX Log steht meisten sofort waran es liegt !
Wenn dir aber Raten im freien Fall oder die Kristallkugel reicht ist ja gut... ?!
Da sieht man es schon wenn man denn mal hinsieht und strategisch vorgeht: (Ggf. etwas weiter anonymisieren die Konfig oben !! Man muss nicht alle Namen sehen !)
crypto map outside_map client authentication RADIUS
Die komplette VPN User Authetication wird also auf einem externen Radius Server gemacht. Entweder kann die PIX den nicht erreichen oder eine ACL verhindert das sofern du andere IPs benutzt.
Du solltest also auch mal parallel ins Logg der PIX sehen ob es einen Radius Connect Fehler gibt.
Zusätzlich natürlich besonders in das Log dieses externen Radius Servers oder Server, warum die VPN Benutzer Authentication fehlschlägt !!
Es sind 3 Radius Server vorhanden die alle der Reihe nach abgefragt werden im Failover Fall.
Primär ist es der Radius Host mit Namen GAPCOM1 unter der IP 192.168.X.4
Wenn der nicht antwortet fragt er GAPSTOR1 unter der IP 192.168.X.6
Wenn der nicht antwortet einen Radius unter der IP 192.168.X.14
...und wenn der nicht antwortet gibts ne Fehlermeldung wie oben !
crypto map outside_map client authentication RADIUS
Die komplette VPN User Authetication wird also auf einem externen Radius Server gemacht. Entweder kann die PIX den nicht erreichen oder eine ACL verhindert das sofern du andere IPs benutzt.
Du solltest also auch mal parallel ins Logg der PIX sehen ob es einen Radius Connect Fehler gibt.
Zusätzlich natürlich besonders in das Log dieses externen Radius Servers oder Server, warum die VPN Benutzer Authentication fehlschlägt !!
Es sind 3 Radius Server vorhanden die alle der Reihe nach abgefragt werden im Failover Fall.
Primär ist es der Radius Host mit Namen GAPCOM1 unter der IP 192.168.X.4
Wenn der nicht antwortet fragt er GAPSTOR1 unter der IP 192.168.X.6
Wenn der nicht antwortet einen Radius unter der IP 192.168.X.14
...und wenn der nicht antwortet gibts ne Fehlermeldung wie oben !