3
Keine Verbindung Symantec VPN-Client durch ASA 5505 zu Symantec FW
Hallo zusammen,
in einem kleinen Netzwerk (W2K3 Server und XP-Clients) soll der einfache D_Link-Router gegen eine ASA 5505 ausgewechselt werden (keine DMZ, nur zwei Interfaces).
Nach Benutzung des Basic Wizard und des IPSEC für VPN Wizard kann man nun von innen auf das Internet zugreifen und sich von außen in das Portal für Clientless SSL einloggen. Von dort aus kann man auf den angegebenen Bereich zugreifen, mit RDP oder VNC arbeiten und das Netzwerk durchsuchen.
Soweit, so schön.
Aus diesem Netzwerk heraus sollen VPN-Verbindungen zu Kunden möglich sein.
Die Sonicwall-Clients können Verbindung aufnehmen, mit den Symantec-Clients will es mir nicht gelingen.
Der Client vermeldet, daß die Authentifizierung über ISAKMP nicht funktioniert, bzw. Benutzername und Kennwort nicht stimmen (tun sie, ohne ASA funktioniert das nämlich).
Ich hab daraufhin port 500 UDP freigegeben, in allen Richtungen.
Trotzdem geht es nicht - und darüber hinaus ist dann auch keine Verbindung mehr zum Internet möglich.
Grüße
nyx
config:
cisco> ena
Password:
cisco# show running-config
ASA Version 8.0(2)
!
hostname cisco
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.90.201 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group xyz
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group xx
name-server 192.168.90.253
domain-name yy
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service gre
service-object gre
object-group service ike tcp
port-object eq 500
object-group service l2tp-pptp-1 udp
port-object eq 1701
object-group service l2tp-pptp-2 tcp
port-object eq pptp
object-group service ssdp udp
port-object eq 1900
object-group service symantec tcp-udp
port-object eq 4500
object-group service symantec-client udp
port-object eq 4529
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service 137 tcp
port-object eq 137
object-group service 138 tcp
port-object eq 138
object-group service 139 udp
port-object eq 139
access-list inside_access_out extended permit udp any eq isakmp any eq isakmp
access-list inside_access_out extended permit udp any object-group ssdp any eq 1900
access-list inside_access_out extended permit esp any any
access-list outside_access_out extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_out out interface inside
access-group outside_access_out out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.90.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group xyz request dialout pppoe
vpdn group xyz localname 1234567890
vpdn group xyz ppp authentication pap
vpdn username 1234567890abcdef
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
tftp-server inside 192.168.1.2 C:\TFTP-Root
webvpn
enable outside
group-policy DfltGrpPolicy attributes
webvpn
url-list value xyz
username aaa password G0ioKilbrN.gzdyk encrypted privilege 0
username aaa attributes
vpn-group-policy DfltGrpPolicy
username bbb password e3PDJQMRbGzetIPC encrypted privilege 0
username bbb attributes
vpn-group-policy DfltGrpPolicy
username ccc password ycVuTWDCILRGuEcQ encrypted privilege 0
username ccc attributes
vpn-group-policy DfltGrpPolicy
tunnel-group xyz type remote-access
prompt hostname context
Cryptochecksum:77821b24e8809c44dd8f6ad916184456
: end
cisco#
in einem kleinen Netzwerk (W2K3 Server und XP-Clients) soll der einfache D_Link-Router gegen eine ASA 5505 ausgewechselt werden (keine DMZ, nur zwei Interfaces).
Nach Benutzung des Basic Wizard und des IPSEC für VPN Wizard kann man nun von innen auf das Internet zugreifen und sich von außen in das Portal für Clientless SSL einloggen. Von dort aus kann man auf den angegebenen Bereich zugreifen, mit RDP oder VNC arbeiten und das Netzwerk durchsuchen.
Soweit, so schön.
Aus diesem Netzwerk heraus sollen VPN-Verbindungen zu Kunden möglich sein.
Die Sonicwall-Clients können Verbindung aufnehmen, mit den Symantec-Clients will es mir nicht gelingen.
Der Client vermeldet, daß die Authentifizierung über ISAKMP nicht funktioniert, bzw. Benutzername und Kennwort nicht stimmen (tun sie, ohne ASA funktioniert das nämlich).
Ich hab daraufhin port 500 UDP freigegeben, in allen Richtungen.
Trotzdem geht es nicht - und darüber hinaus ist dann auch keine Verbindung mehr zum Internet möglich.
Grüße
nyx
config:
cisco> ena
Password:
cisco# show running-config
- Saved
ASA Version 8.0(2)
!
hostname cisco
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.90.201 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group xyz
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group xx
name-server 192.168.90.253
domain-name yy
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service gre
service-object gre
object-group service ike tcp
port-object eq 500
object-group service l2tp-pptp-1 udp
port-object eq 1701
object-group service l2tp-pptp-2 tcp
port-object eq pptp
object-group service ssdp udp
port-object eq 1900
object-group service symantec tcp-udp
port-object eq 4500
object-group service symantec-client udp
port-object eq 4529
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service 137 tcp
port-object eq 137
object-group service 138 tcp
port-object eq 138
object-group service 139 udp
port-object eq 139
access-list inside_access_out extended permit udp any eq isakmp any eq isakmp
access-list inside_access_out extended permit udp any object-group ssdp any eq 1900
access-list inside_access_out extended permit esp any any
access-list outside_access_out extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_out out interface inside
access-group outside_access_out out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.90.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group xyz request dialout pppoe
vpdn group xyz localname 1234567890
vpdn group xyz ppp authentication pap
vpdn username 1234567890abcdef
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
tftp-server inside 192.168.1.2 C:\TFTP-Root
webvpn
enable outside
group-policy DfltGrpPolicy attributes
webvpn
url-list value xyz
username aaa password G0ioKilbrN.gzdyk encrypted privilege 0
username aaa attributes
vpn-group-policy DfltGrpPolicy
username bbb password e3PDJQMRbGzetIPC encrypted privilege 0
username bbb attributes
vpn-group-policy DfltGrpPolicy
username ccc password ycVuTWDCILRGuEcQ encrypted privilege 0
username ccc attributes
vpn-group-policy DfltGrpPolicy
tunnel-group xyz type remote-access
prompt hostname context
Cryptochecksum:77821b24e8809c44dd8f6ad916184456
: end
cisco#
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91285
Url: https://administrator.de/contentid/91285
Ausgedruckt am: 26.11.2024 um 18:11 Uhr
3 Kommentare
Neuester Kommentar
ISAKMP ist nur ein Teil des IPsec Protokolls. Außer IKE UDP 500 musst du noch das ESP Protokoll (Protokoll Nummer 50) und UDP 4500 mit forwarden bzw. durchlassen.
Danke, ich setz mich am Montag wieder dran, um Dir anschl zu berichten 
Hi aqui,
danke für deinen Rat. Leider habe ich Probleme beim Umsetzen gehabt:
Im ASDM gibt es ja eine Möglichkeit, für die jeweiligen Schnittstellen Regeln festzulegen. Also denk ich mir doch, wenn die zwei Seiten über den IKEport (u.a.) tunneln, dann sollte bei beiden Schnittstellen die 500 UDP in beide Richtungen offen sein.
Ist das ein Denkfehler?
Ich hab an der Outside-Schnittstelle in- und outgoing für 500 UDP, 4500 UDP, ESP sowie 1723und 1701 ermöglicht. Standardmäßig ist aber outgoing an der Outside-Schnittstelle für ip auf "permit" gesetzt (bei any/any).
Der Verkehr soll aber doch hinein ins private Netz, also müssen die Verkehrsregeln doch auch für die Inside-Schnittstelle gelten?
Den outgoing-Verkehr an der Inside-Schnittstelle kann ich mit den o.a. Ports problemlos konfigurieren - will ich aber (sozusagen zum Abschluß) den ingoing-Verkehr an der Inside-Schnittstelle festlegen, führt dass dazu, dass die Kollegen keine Verbindung (über 80) ins Internet mehr haben.
Standard für das ingoing an der Inside-Schnittstelle ist zum einen ein DENY für sämtlich Verbindungen via ip, aufgehoben wird das teilweise durch ein PERMIT zu weniger sicheren Netzen.
Adde ich da jetzt etwas, wird die PERMIT-Regel durch die neue ersetzt (statt noch eine hinzugefügt).
Ich dachte, das funktioniert wie mit den Rechten? So ergänzungsmäßig? Ach ja, ich hatte auch gesehen, dass die Rules nummeriert sind ... Abarbeitung nach der Reihe?
Wo kann ich mich da belesen (falls die Antwort zu aufwendig für dich ausfallen würde)?
LG von der
nyx
Ach ja ... ich hab mir eine Simulation eines Datenpaketes von außen nach innen angesehen ... da schien alles richtig konfiguriert -nur in der NAT-Tabelle fehlte etwas. Es wird aber dann auch nur angegeben, was falsch ist und bei welcher Regel ... aber für mich sind das z.Zt. noch böhmische Dörfer.
Bei anderen FWs ist das irgendwie einfacher. Aber mit der ASA und mir, das ist sone Haßliebe. Das Ding macht mich irre und ich will es DOCH verstehen
danke für deinen Rat. Leider habe ich Probleme beim Umsetzen gehabt:
Im ASDM gibt es ja eine Möglichkeit, für die jeweiligen Schnittstellen Regeln festzulegen. Also denk ich mir doch, wenn die zwei Seiten über den IKEport (u.a.) tunneln, dann sollte bei beiden Schnittstellen die 500 UDP in beide Richtungen offen sein.
Ist das ein Denkfehler?
Ich hab an der Outside-Schnittstelle in- und outgoing für 500 UDP, 4500 UDP, ESP sowie 1723und 1701 ermöglicht. Standardmäßig ist aber outgoing an der Outside-Schnittstelle für ip auf "permit" gesetzt (bei any/any).
Der Verkehr soll aber doch hinein ins private Netz, also müssen die Verkehrsregeln doch auch für die Inside-Schnittstelle gelten?
Den outgoing-Verkehr an der Inside-Schnittstelle kann ich mit den o.a. Ports problemlos konfigurieren - will ich aber (sozusagen zum Abschluß) den ingoing-Verkehr an der Inside-Schnittstelle festlegen, führt dass dazu, dass die Kollegen keine Verbindung (über 80) ins Internet mehr haben.
Standard für das ingoing an der Inside-Schnittstelle ist zum einen ein DENY für sämtlich Verbindungen via ip, aufgehoben wird das teilweise durch ein PERMIT zu weniger sicheren Netzen.
Adde ich da jetzt etwas, wird die PERMIT-Regel durch die neue ersetzt (statt noch eine hinzugefügt).
Ich dachte, das funktioniert wie mit den Rechten? So ergänzungsmäßig? Ach ja, ich hatte auch gesehen, dass die Rules nummeriert sind ... Abarbeitung nach der Reihe?
Wo kann ich mich da belesen (falls die Antwort zu aufwendig für dich ausfallen würde)?
LG von der
nyx
Ach ja ... ich hab mir eine Simulation eines Datenpaketes von außen nach innen angesehen ... da schien alles richtig konfiguriert -nur in der NAT-Tabelle fehlte etwas. Es wird aber dann auch nur angegeben, was falsch ist und bei welcher Regel ... aber für mich sind das z.Zt. noch böhmische Dörfer.
Bei anderen FWs ist das irgendwie einfacher. Aber mit der ASA und mir, das ist sone Haßliebe. Das Ding macht mich irre und ich will es DOCH verstehen
