Probleme mit Site-to-Site-Tunnel

[luckystrike04]

Hallo zusammen,

ich habe ein Problem beim Aufbau eines IPSec-Tunnels zwischen zwei ASA5505.

Habe das bisher schon mehrmals erfolgreich konfiguriert.
Aber diesmal schießt irgendetwas quer.

Der Tunnel wird einfach nicht aufgebaut.

Der Tunnel wird via VPN-Wizard konfiguriert.
Die Parameter wurden mehrfach auf Richtigkeit überprüft.

Sobald ich vom internen Netz hinter ASA1 auf eine Ressource im internen Netz hinter ASA2 zugreifen will passiert nichts.

In den Syslog-Messages sehe ich keinerlei Meldungen zum Tunnelaufbau sondern nur, dass mein Paket von der ACL denied wurde.

Die betreffenden Pakete werden also wohl gar nicht als "tunnelrelevant" angesehen.

Hier mal ein kurzer Auszug aus der Konfiguration von ASA1:

...
access-list outside_2_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.178.0 255.255.255.0
...
nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static
NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24
...
crypto map outside_map 2 match address outside_2_cryptomap
crypto map outside_map 2 set pfs group1
crypto map outside_map 2 set peer xxx.xxx.xxx.xxx
crypto map outside_map 2 set transform-set ESP-AES-256-SHA
...

Woran kann das liegen, dass die betreffenden Pakete nicht den Tunnelaufbau initiieren?

Viele Grüße
Christoph

[Otaku19]

die lange nat wurst schaut komisch aus, 8,3 ?

Ansonsten ->debugs anwerfen, wenn möglich encryption nullen und so auch am outside mitschnüffeln können.

[blackbox]

Hi,

schau mal - was der unter den NAT Rules gemacht hat. Beim 8.3er Software hängt er die Rules immer unten an - ggf. hast du weiter oben eine NAT Rule - die falsch natted.

[sessi]

hi luckystrike

Check Phase1

sh isakmp sa

Check Phase2

sh ipsec sa

Eine detailierte Anleitung findest Du unter:

ASA VPN - Cisco asa vpn Configuration

Wenn Du mit dem ASDM arbeitest. Schalte Dein Log ein (Home Site). Und poste die Fehlermeldungen.

Gruss Sessi

[blackbox]

Hi,

oder gib mal die ganze Config - so ist das aus dem Zusammenhang gerissen.

[Otaku19]

dann aber wenn möglich gleich beide Seiten

[MYOEY]

was sagen eigentlich deine debugs:

debug cry isakmp 255
debug cry ipsec 255

und prüf mal bitte folgendes:

crypto map outside_map interface outside

[luckystrike04]

So, wieder da.

Also ich musste jetzt (aus Termingründen) eine schnelle Lösung finden.
Ich habe die ASA auf die Version 7.2 downgegradet, sie dann konfiguriert (inkl. funktinierendem VPN) und sie anschließend wieder auf Version 8.3 upgegradet.
Und dann hats funktioniert.

Ich habe dann mal die beiden unterschiedlichen NAT-Konfigurationen verglichen:

Auf 8.3 konfiguriert(ASDM) (funktioniert nicht):

nat (inside,outside) source static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 destination static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24


Auf 7.2 konfiguriert(ASDM) und anschließend auf 8.3 upgegradet (funktioniert):

nat (inside,any) source static obj-192.168.178.0 obj-192.168.178.0 destination static obj-192.168.100.0 obj-192.168.100.0

Ich werde die Tage weiter dranbleiben und an einer neuen ASA eure debug-tipps testen.

Viele Grüße

[Otaku19]

vorrausgesetzt das in den objekten das gleiche definiert ist, ist das NAT eh gleich...bis auf die Tastache das bei einem inside,outside und beim anderen inside,any steht, wo terminiert denn das VPN ?

Aus termingründen sotware rauf und runter zu graden ist übrigens keine gute Idee, schon garnicht wenn sich wie bei 8.3 mal eben das NAT Konzept komplett umkrempelt. Prinzipiell gilt, selbst wenn man die Realease Notes auswendig kann, man kann nie wissen was passiert bis man es tatsächlich durchgeführt hat