6
VPN Cisco ASA5505 wird nicht aufgebaut
Hallo Administratorengemeinde.
Ich habe ein Problem mit zwei Cisco ASA 5505 ein Site-To Site VPN zu erstellen. Gemeint ist eine sog. LAN-to-LAN Koppplung der zwei ASA's.
Die ASA's laufen in einer Testumgebeung und zuvor habe ich noch nie etwas mit einem Site-to-Site VPN mit Cisco ASA's gemacht.
Evtl. habe ich nur einen kleinen Punkt vergessen zu aktivieren.
Das VPN habe ich als erstes mit dem ASDM Wizard erstellt, jedoch wird es nicht aufgebaut.
Ich habe auch schon mehrfach, u.a. nach dieser Anleitung:
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ ...
und auch dieser:
http://www.networkengineerblog.com/2009/12/configuring-site-to-site-vpn ...
versucht, das VPN zu erstellen. Jeweils ohne Erfolg.
Zur Hardware:
Es handelt sich um zwei identische CISCO ASA 5505 Modelle.
die Firmware ist: 8.2(5)
Zum Netz:
Die erste ASA hat folgende IP's:
Outsite: 192.168.0.2/24
Inside: 10.0.0.1/16
DHCP-Server ist auf dem Inside Interface aktiviert um die Clients zu versorgen.
Die zweite ASA hat folgende IP's:
Outsite: 192.168.0.4/24
Inside: 10.1.0.1/16
Auch hier ist der DHCP aktiviert.
Hier sind die Configs:
http://media.hasecke-online.de/asa/run-cfg-asa01.cfg
http://media.hasecke-online.de/asa/run-cfg-asa02.cfg
Wäre schön, wenn Ihr mir helfen könnt.
Besten Dank
~ Killtec ~
Ich habe ein Problem mit zwei Cisco ASA 5505 ein Site-To Site VPN zu erstellen. Gemeint ist eine sog. LAN-to-LAN Koppplung der zwei ASA's.
Die ASA's laufen in einer Testumgebeung und zuvor habe ich noch nie etwas mit einem Site-to-Site VPN mit Cisco ASA's gemacht.
Evtl. habe ich nur einen kleinen Punkt vergessen zu aktivieren.
Das VPN habe ich als erstes mit dem ASDM Wizard erstellt, jedoch wird es nicht aufgebaut.
Ich habe auch schon mehrfach, u.a. nach dieser Anleitung:
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ ...
und auch dieser:
http://www.networkengineerblog.com/2009/12/configuring-site-to-site-vpn ...
versucht, das VPN zu erstellen. Jeweils ohne Erfolg.
Zur Hardware:
Es handelt sich um zwei identische CISCO ASA 5505 Modelle.
die Firmware ist: 8.2(5)
Zum Netz:
Die erste ASA hat folgende IP's:
Outsite: 192.168.0.2/24
Inside: 10.0.0.1/16
DHCP-Server ist auf dem Inside Interface aktiviert um die Clients zu versorgen.
Die zweite ASA hat folgende IP's:
Outsite: 192.168.0.4/24
Inside: 10.1.0.1/16
Auch hier ist der DHCP aktiviert.
Hier sind die Configs:
http://media.hasecke-online.de/asa/run-cfg-asa01.cfg
http://media.hasecke-online.de/asa/run-cfg-asa02.cfg
Wäre schön, wenn Ihr mir helfen könnt.
Besten Dank
~ Killtec ~
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187718
Url: https://administrator.de/contentid/187718
Printed on: May 5, 2024 at 16:05 o'clock
6 Comments
Latest comment
Hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
findest du fertige ASA Konfigurationen die auf Anhieb nach dem Abtippen laufen !
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
findest du fertige ASA Konfigurationen die auf Anhieb nach dem Abtippen laufen !
Hi aqui,
danke für deine Antwort. Ich weiss nicht wieso, aber wenn ich das abtippe, funktioniert es bei mir trotzdem nicht
Habe dieses Beispiel hier: http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
genommen und an meine ASA's angepasst und folgendes eingetippt:
ASA01:
access-list 100 extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.4
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.4 type ipsec-l2l
tunnel-group 192.168.0.4 ipsec-attributes
pre-shared-key myvpntest
ASA02:
access-list 100 extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
access-list nonat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.2
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.2 type ipsec-l2l
tunnel-group 192.168.0.2 ipsec-attributes
pre-shared-key myvpntest
der Tunnel wird nicht aufgebaut.
Wenn ich die Crypto isakmp sa's und ipsec sa's anzeigen lasse kommt folgendes:
asa02# sh cryp isa sa
There are no isakmp sas
asa02# sh cry ips sa
There are no ipsec sas
asa02# debug cry
asa02# debug crypto isa 7
asa02# debug crypto ips 7
asa02#
Hast du noch einen Tipp?
Danke
danke für deine Antwort. Ich weiss nicht wieso, aber wenn ich das abtippe, funktioniert es bei mir trotzdem nicht
Habe dieses Beispiel hier: http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
genommen und an meine ASA's angepasst und folgendes eingetippt:
ASA01:
access-list 100 extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.4
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.4 type ipsec-l2l
tunnel-group 192.168.0.4 ipsec-attributes
pre-shared-key myvpntest
ASA02:
access-list 100 extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
access-list nonat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.2
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.2 type ipsec-l2l
tunnel-group 192.168.0.2 ipsec-attributes
pre-shared-key myvpntest
der Tunnel wird nicht aufgebaut.
Wenn ich die Crypto isakmp sa's und ipsec sa's anzeigen lasse kommt folgendes:
asa02# sh cryp isa sa
There are no isakmp sas
asa02# sh cry ips sa
There are no ipsec sas
asa02# debug cry
asa02# debug crypto isa 7
asa02# debug crypto ips 7
asa02#
Hast du noch einen Tipp?
Danke
Oha, da fehlen dann noch ein paar IPsec Konfig Schritte. Deine ISAkmp Policies fehlen komplett damit kann es logischerweise auch nicht klappen... Vermutlich hast du nicht wirklich alles abgetippt.
Vielleicht hilft dir mal ein funktionierendes Live Beispiel mit einem IPsec Tunnel auf Monowall oder pfSense:
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
Vielleicht hilft dir mal ein funktionierendes Live Beispiel mit einem IPsec Tunnel auf Monowall oder pfSense:
Cisco PIX Firewall IPsec VPN Tunnel auf pfsense Firewall
Ich habe das ganze nochmal mit dem Wizard gemacht,
nach einer Weile Pingen von einem ins andere Netz stand das VPN, warum auch immer. Es dauert anscheind eine ganze Weile, bis das VPN aufgebaut wird und das ganze geschieht auch nur mit hilfe von Traffic auf dem VPN.
Gruß
nach einer Weile Pingen von einem ins andere Netz stand das VPN, warum auch immer. Es dauert anscheind eine ganze Weile, bis das VPN aufgebaut wird und das ganze geschieht auch nur mit hilfe von Traffic auf dem VPN.
Gruß
Ja, das werde ich tun. Werde das nur nochmal testen ob es nochmal "richtig" klappt und wenn das der Fall ist werde ich das als Gelöst machen
