L2TP und ASA

[hegl]

Ich muss auf unserer ASA, L2TP over IPSEc einrichten. Dabei habe ich mich an das sample L2TP Over IPsec Between Windows 2000/XP PC and PIX/ASA 7.2 Using Pre-shared Key Configuration Example - Cisco Systems gehalten. Leider funktioniert´s nicht ganz.

Die Pase 1 wird noch als completed gemeldet, doch dann erhalte ich den syslog 713177:
Error Message %PIX|ASA-6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address, Protocol protocol, Port port
Explanation A Phase 2 ID payload containing an FQDN has been received from the peer.
Recommended Action None required. [/B]

Anschließend kommt die Meldung:
%PIX|ASA-3-713902 descriptive_event_string
This system log message could have several possible text strings describing an error. This may be the result of a configuration error either on the headend or remote access client.


Da der FQDN aber nicht offiziell ist, habe ich bei den IKE Parameters die Option "Identity to be sent to Peer: address" gewählt, was auch bei den IPSec-Clients bestens funktioniert. Da dies eine globale Einstellung ist, wundert es mich sehr, dass bei L2TP over IPSec die ASA den FQDN erhält.


Habt ihr ne Ahnung, an was das liegen könnte?

[Wordo]

Ist der Client hinter einem NAT-Device? Kannst du nen Gegentest machen?

[mr._oiso]

hi hegl,

bist Du gezwungen worden das zu konfigurieren oder machst Du das
freiwillig ?

Egal: FQDN sollte eigendlich nicht abgefragt werden !

Daher scheint das Problem schon ernster.
Hast Du denn die ganzen Registry Einstellungen für den Client (Windoofs)
gemacht ?
Die sind auf jeden Fall genau (peinlichst genau) zu machen, sonst geht nix.
Ich habe eine Konfiguration im Feld mit L2TPoIPSec welche "Gott sei Dank"
läuft. Unter Version 7.2.2 recht stabil !
Hast Du auf die "crypto map" geachtet ?
Habe sowohl in der dynmap den L2TP ganz am Ende (highest ID) als wie in der gebundenen map am Interface (outside) auch.
Ohne dem, ist es damals auch nicht gegangen.
Die einzelnen Fhler jedoch habe ich nicht mehr auf dem Schirm, welche mir dabei über den Weg gelaufen sind !

Notfalls teste ruhig mal "crypto isakmp identity auto" !

Und mach mal nen "debug crypto ipsec 7"
oder gleich die "debug crypto ipsec 100"


Greez

Mr. Oiso

[hegl]

Zitat von Wordo Ist der Client hinter einem NAT-Device? Kannst du nen Gegentest machen?

Was meinst du denn mit Gegentest? Jawohl, der Client ist hinter einem NAT-Device. Meinst Du ich sollte mal auf L2TP-Passthrough checken?

[hegl]

Zitat von mr._oiso hi hegl, bist Du gezwungen worden das zu konfigurieren oder machst Du das freiwillig ?

gezwungen...

Zitat von mr._oiso Hast Du denn die ganzen Registry Einstellungen für den Client (Windoofs) gemacht ? Die sind auf jeden Fall genau (peinlichst genau) zu machen, sonst geht nix.

Ich denke bei XP hat sich das mit der Registry erübrigt!?

Zitat von mr._oiso Hast Du auf die "crypto map" geachtet ? Habe sowohl in der dynmap den L2TP ganz am Ende (highest ID) als wie in der gebundenen map am Interface (outside) auch. Ohne dem, ist es damals auch nicht gegangen..

Verstehe ich nicht ganz: highest ID habe ich, weil ich die gleiche map, wie die für IPSec verwende. Oder ist hier bereits dann der Hund begraben und ich muss eine extra map konfigurieren? Was meinst Du mit "als wie in der gebundenen map am Interface (outside) auch"

Zitat von mr._oiso Und mach mal nen "debug crypto ipsec 7" oder gleich die "debug crypto ipsec 100"..

Mache ich am Montag, die können mich jetzt alles mal

Schon mal besten Dank für die Hinweise.

[Wordo]

Zitat von hegl Ich denke bei XP hat sich das mit der Registry erübrigt!?

Ach, bei XP ist das so n hin und her mit Service Pack etc.
Wenn dus auch mit nem Client ohne NAT versuchen kannst waers nicht schlecht. L2TP/IPSec macht hin und wieder Aerger mit PSK statt Zertifikat.

[hegl]

Habe es doch noch mal eben mit den Registry-Einträgen probiert, weil die bei meinem XP-System nicht vorhanden waren. Jetzt scheinen gar keine Anfragen mehr bis zur ASA (Version 8.0.2) durchzukommen. Auf der ASA sehe ich jedenfalls nichts und der Client steht so ne halbe Minute bei "Verbindung wird hergestellt mit xxxx" und bricht dann ab.

Na ja, kommt Zeit, kommt Overath

[hegl]

Zitat von Wordo Ach, bei XP ist das so n hin und her mit Service Pack etc. Wenn dus auch mit nem Client ohne NAT versuchen kannst waers nicht schlecht. L2TP/IPSec macht hin und wieder Aerger mit PSK statt Zertifikat.

Mit ner öffentlichen IP direkt auf der Providerstandleitung klappts auch ned

Fehler 678: Der Remotecomputer antwortet nicht!

[Wordo]

Ja ... wahrscheinlich weil du dir in der Reg was zerschossen hast. Rueckgaengig machen, Sniffer installieren, nochmal probieren .. (und Reboot is auch nie verkehrt)

[hegl]

Zitat von Wordo Ja ... wahrscheinlich weil du dir in der Reg was zerschossen hast. Rueckgaengig machen, Sniffer installieren, nochmal probieren .. (und Reboot is auch nie verkehrt)

Wieder der alte Zustand mit den ersten Fehlermeldungen. Im wireshark sehe ich als letztes ISAKMP Identy Protection (Main Mode) , dann versucht der Client den Quick Mode worauf die ASA mit zwei ISAKMP Informational antwortet. Aber hier ist nichts weiter zu entnehmen