ASA 5510 VPN site2site und remote access auf dem selben interface

[jussi]

Hallo,

ich habe probleme den ite2site tunnel und das remote vpn auf das gleich interface zu legen.
solange remote acces auf dem anderen liegt ist alles i.o. sobald ich beides auf das gleiche (vpn interfac e) lege bricht der s2s tunnel zusammen)

aktuelle config, beide auf verschiedenen interfaces:

remote access:
----------------------

ip local pool VPN_Pool_new x.y.nx.1-x.y.nx.254 mask 255.255.255.0

group-policy remote_vpn internal
group-policy remote_vpn attributes
dns-server value x.y.z.n
vpn-tunnel-protocol IPSec
wins-server value x.y.z.n
dns-server value x.y.z.n
vpn-tunnel-protocol IPSec
default-domain value dummy.local



crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map remotevpn_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map remotevpn_dyn_map 20 set security-association lifetime seconds 288000
crypto map remotevpn_map 20 ipsec-isakmp dynamic remotevpn_dyn_map
crypto map remotevpn_map interface outside # ********
crypto isakmp enable outside # ********
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20

tunnel-group remotevpn type ipsec-ra
tunnel-group remotevpn general-attributes


address-pool VPN_Pool_new
default-group-policy remote_vpn
tunnel-group remotevpn ipsec-attributes
pre-shared-key XXXXXX

sobald ich die mit ***** gekennzeichneten Zeilen auf

crypto map remotevpn_map interface vpn
crypto isakmp enable vpn

ändere, wobei das interface vpn eben den site-2-site tunnel treibt, bricht der site-2-site zusammen.

VIelen Dank im voraus für eure Meinungen.

[Otaku19]

je interface spielts nur eien crypto-map..in dide kann man man aber RA und L2L einbinden

[jussi]

schreib ich einfach beides in die cryptomap rein?

Kennst du da ein knackiges howto?

Danke im Voraus.

[Otaku19]

alle RA mässige eben in die gleiche cryptomap wie die L2L Sachen, nur eben mit der höchsten Sequenznummer (35xxx irgendwas ?)

[jussi]

otaku, ich muss hier noch mal nen alten thread hervorholen.

habe nun endlich mal zeit gehabt das zu tun was du mir geraten hast.
beide vpns (site2site und remote access) in die gleich cryptomap lege, antwortet die asa nicht auf ra anfragen zum vergleich:



GEHT:
-----------

crypto dynamic-map remotevpn_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map remotevpn_dyn_map 20 set security-association lifetime seconds 288000

crypto map OUTSIDE_MAP 20 match address <accessliste>
crypto map OUTSIDE_MAP 20 set pfs
crypto map OUTSIDE_MAP 20 set peer <peername>
crypto map OUTSIDE_MAP 20 set transform-set <transformset>
crypto map OUTSIDE_MAP 20 set security-association lifetime seconds 3600
crypto map OUTSIDE_MAP interface vpn

crypto map REMOTE_MAP 20 ipsec-isakmp dynamic remotevpn_dyn_map
crypto map REMOTE_MAP interface outside

crypto isakmp enable outside
crypto isakmp enable vpn


GEHT NICHT:
----------------------

crypto dynamic-map remotevpn_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map remotevpn_dyn_map 20 set security-association lifetime seconds 288000

crypto map OUTSIDE_MAP 20 match address <accessliste>
crypto map OUTSIDE_MAP 20 set pfs
crypto map OUTSIDE_MAP 20 set peer <peername>
crypto map OUTSIDE_MAP 20 set transform-set <transformset>
crypto map OUTSIDE_MAP 20 set security-association lifetime seconds 3600
crypto map OUTSIDE_MAP interface vpn
crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic remotevpn_dyn_map

crypto isakmp enable outside
crypto isakmp enable vpn





alle anderen config parts identisch, im client die peer ip aufs das entsprechende 2. interface der asa (vpn) gelegt.


das log des clients meldet im 2. fall

DEL_REASON_PEER_NOT_RESPONDING

sieht aus wie eine fw regel die das verhindert, aber ich sehe nicht das irgendwo etwas bestimmtes für das interface outside geöffnet war was hier eine rolle spielt.

[jussi]

noch mal ich!

ich glaube ich habe (mal wieder) ein schlichtes routing problem.


die default route liegt doch am interface outside, dann wird doch NIEMALS remote-access am interface vpn funktionieren, ich weiss ja nicht von wo der ra zugriff kommt, kann ihn also auch nicht statisch routen.


Die ASA unterstützt kein PBR lese ich gerade.... also dann gehen mir die ideen aus.

[blackbox]

Hallo,

da musst du in der Config noch grundlegende Fehler haben - den schau mal - folgendes klappt ohne Probs :

crypto map outside_map 40 match address outside_40_cryptomap
crypto map outside_map 40 set pfs group5
crypto map outside_map 40 set peer xxxxxxx
crypto map outside_map 40 set transform-set ESP-AES-256-MD5
crypto map outside_map 40 set security-association lifetime seconds 3600
crypto map outside_map 40 set security-association lifetime kilobytes 4608000
crypto map outside_map 60 match address outside_60_cryptomap
crypto map outside_map 60 set pfs
crypto map outside_map 60 set peer zzzzzzzzzzzzz
crypto map outside_map 60 set transform-set ESP-3DES-MD5
crypto map outside_map 60 set security-association lifetime seconds 28800
crypto map outside_map 60 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside

Ich weiss aber nicht was du mit dem Routing meinst. Es gibt auf einer Firewall ein "Outside" Interface - wo die Outside IP anliegt und eine Default Route nach draussen. Alle VPN´s von extern terminieren auf dem Interface. Ich denke du solltest ne kleine Zeichnung für uns machen - was du vorhast und uns die komplette Config zur Verfügung stellen.

[Otaku19]

ne, dafür hat er ja ein eigenes VPN Interface hat wohl outside und VPN je ein anderes offiziösses Netz nach draussen War wohl gedacht um RA/Tunneltraffic komplett getrennt abhandeln zu können

[jussi]

hintergrund ist folgender:

vorher gab es eine internetleitung. asymmetrisch (kleiner uplaod) für mail/surfen + remote access vpn.
Dann kam ein site to site tunnel dazu, welcher eine bestimmte bandbreite in beiden richtungen erforderte. man schaffte eine 2. leitung an, symmetrisch. den site2site tunnel habe ich darauf gelegt und das macht nun soviel spass, dass das ra vpn auch darauf gelegt werden soll, was aber nicht geht da die df route auf outside liegt (weil natürlich surfen , mailen etc weiter darüber laufen soll).
ein klassischer fall für pbr, welches die asa scheinbar nicht kann.

blackbox, die maps sind schon ok, wenn ich ne hostroute auf die ip lege von welchem ich das versucht habe, geht es natürlich, allerdings halte ich es nicht für praktikabel, dass jeder der r-a machten will vorher anruft um dem admin die derzeitige ip mitzuteilen. :P

[Otaku19]

tja dann -> RA VPN bleibt am outside