PIX 501 convertiert zu ASA 5505 kein VPN mehr möglich
Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr.
Folgende Konfiguration:
Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.
Zweigstelle: Draytek 2910 / dynamische WAN IP.
Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.
Mit folgender Config:
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 28800
Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.
Folgende Config ist in der ASA aktiv:
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *
Im Syslog werden folgende Einträge angezeigt:
%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!
%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!
%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup
%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes
%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping
Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????
Folgende Konfiguration:
Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.
Zweigstelle: Draytek 2910 / dynamische WAN IP.
Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.
Mit folgender Config:
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 28800
Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.
Folgende Config ist in der ASA aktiv:
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *
Im Syslog werden folgende Einträge angezeigt:
%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!
%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!
%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup
%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes
%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping
Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 99625
Url: https://administrator.de/contentid/99625
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Cisco PIX und ASA Workshop Teil 2 - IPSEC Site-to-Site Tunnel konfigurieren
Überprüfe die komplette Einstellung pro Tunnel auf beiden Peers. Die IKE Phase 1 (ISAKMP) ist wohl erfolgreich laut Log, aber bei Phase 2 (IPSEC) gibts ein Problem, die Security Associations passen nicht zusammen, ich denke irgendein Parameter (z. B. Lifetime) passt nicht zusamemn.
Schritt für Schritt alle Parameter checken auf beiden gegenüberliegenden Peers!
Überprüfe die komplette Einstellung pro Tunnel auf beiden Peers. Die IKE Phase 1 (ISAKMP) ist wohl erfolgreich laut Log, aber bei Phase 2 (IPSEC) gibts ein Problem, die Security Associations passen nicht zusammen, ich denke irgendein Parameter (z. B. Lifetime) passt nicht zusamemn.
Schritt für Schritt alle Parameter checken auf beiden gegenüberliegenden Peers!