hindin
Goto Top

PIX 501 convertiert zu ASA 5505 kein VPN mehr möglich

Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr.

Folgende Konfiguration:

Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.
Zweigstelle: Draytek 2910 / dynamische WAN IP.

Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.

Mit folgender Config:

sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 28800

Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.
Folgende Config ist in der ASA aktiv:

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *

Im Syslog werden folgende Einträge angezeigt:
%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!
%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!
%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup
%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes
%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping

Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????

Content-ID: 99625

Url: https://administrator.de/contentid/99625

Ausgedruckt am: 25.11.2024 um 10:11 Uhr

spacyfreak
spacyfreak 18.10.2008, aktualisiert am 18.10.2012 um 18:36:24 Uhr
Goto Top
Cisco PIX und ASA Workshop Teil 2 - IPSEC Site-to-Site Tunnel konfigurieren

Überprüfe die komplette Einstellung pro Tunnel auf beiden Peers. Die IKE Phase 1 (ISAKMP) ist wohl erfolgreich laut Log, aber bei Phase 2 (IPSEC) gibts ein Problem, die Security Associations passen nicht zusammen, ich denke irgendein Parameter (z. B. Lifetime) passt nicht zusamemn.

Schritt für Schritt alle Parameter checken auf beiden gegenüberliegenden Peers!
Hindin
Hindin 18.10.2008 um 15:00:43 Uhr
Goto Top
Hallo spacyfreak,

genau nach dieser Anleitung bin ich vorgegangen. Ich verstehe nicht, warum es mit der PIX 501 funktioniert und mit der ASA 5505 nicht. Denn wenn ich die config rübernehme konvertiert er Sie ja in die 7.2.4 Version des IOS.
Ich kann an der Config von mir keinen Fehler finden.

Gruß Daniel
Hindin
Hindin 18.10.2008 um 15:11:25 Uhr
Goto Top
Hallo Spacyfreak,

danke für den Tip jetzt funktioniert alles. Die Lifetime war anderst.

Gruß Daniel