L2TP und ASA

[Wordo]

Hast schon mal den Wizard vom ASDM fuer die Config probiert?

[hegl]

Zitat von Wordo Hast schon mal den Wizard vom ASDM fuer die Config probiert?

Nöö, aber gute Idee
ist halt das Problem wenn man von der PIX das CLI gewöhnt ist ...

[Wordo]

Ich find seit ASA 8 machts mit CLI keinen Spass mehr wenn du was mit WebVPN machen musst. Dauernd exportieren und importieren, und mit "sh run" hast keinen Ueberblick.

Wenigstens is der ASDM stabiler als der SDM

[hegl]

Zitat von Wordo Ich find seit ASA 8 machts mit CLI keinen Spass mehr wenn du was mit WebVPN machen musst. Dauernd exportieren und importieren, und mit "sh run" hast keinen Ueberblick.

Ich mache mittlerweile auch fast alles über den ASDM, vergesse aber immer den Wizzard

Zitat von Wordo Wenigstens is der ASDM stabiler als der SDM

SDM oder PDM habe ich nie genutzt.

Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig

Bleibt mir wohl nichts anderes übrig, als mal einen Spezi einzukaufen...
...und das für wahrscheinlich 5 Minuten Arbeit.
–

Zitat von hegl Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig

Kommando zurück! Beim Entfernen der über den ASDM konfigurierten comamnds sind wohl irgendwelche Dinge nicht wieder sauber rausgeschmissen worden. Nach Wiederherstellung der vorher laufenden conf und Konfiguration des L2TP-Tunnels mit dem Wizzard funzt der Tunnel

Einziges manuelles Eingreifen war noch das Deaktivieren von PFS.
–
Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"...

...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht.

Habt Ihr eine Idee?
–
Warum wird das immer hinten dran geschrieben???

[hegl]

Ich eröffne den Thread http://www.mcseboard.de/cisco-forum-...-2-133173.html (L2TP und ASA) hier noch mal neu, da meine neuen Infos immer hinten dran gehangen werden und man nicht sieht, dass was Neues dazu gekommen ist. Also:

Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"...

...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht.

Habt Ihr eine Idee?

[Lian]

Keine Angst, das sieht man - er taucht in den Neuen Beiträgen auf.


merged

[Wordo]

Stell mal in der Einstellungen der VPN Verbindung im Windows die Datenverschluesselung auf optional, und wenn das nicht geht, beim Reiter Sicherheit auf Erweitert und in den Einstellungen alle Authentifizierungsprotokolle anklicken.

[hegl]

Zitat von Wordo Stell mal in der Einstellungen der VPN Verbindung im Windows die Datenverschluesselung auf optional, und wenn das nicht geht, beim Reiter Sicherheit auf Erweitert und in den Einstellungen alle Authentifizierungsprotokolle anklicken.

Hatte ich bereits getestet, geht aber auch nicht (ja, auf der ASA hatte ich dann auch entsprechend die Einträge gesetzt ).
Im debugging sehe ich:

%PIX|ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = X.X.X.X : user = testuser

Ist egal, welchen User ich teste, immer das gleiche Ergebnis

Er zeigt mir ja den richtigen Server und User an, d.h. der Befehl für die authentication-server-group stimmt.