Site-to-Site - IPSec tunnel

[MYOEY]

Moin Moin,
Ich versuche zwischen einem C6506(mit VPN Modul) und einer PIX501 einen Site-to-Site IPSec Tunnel aufzubauen.

Es funktioniert soweit bis auf daß ich keinen ping durchbekomme und komische state auf der Switch-Seite habe!
Sobal ich versuche intersting traffic zu erzeugen, bekomme ich auf mit dem command "sho cry isa sa" auf beiden Seiten die folgenden Medlungen:

PIX state: QM_IDLE
Switch state:CONF_ADDR


was bedeutet eigentlich state "CONF_ADDR" und woran könnte es liegen?

Hoffe, hat man sowas gesehen hat!

Danke im voraus

Grüsse

[hegl]

Bist Du sicher, dass der Tunnel steht?
Habe zwar keine Erfahrung mit dem VPN-Modul, aber bei

Code:

sh cry isa sa

sollten dir eigentlich die IKE-Peer angezeigt werden.

[Wordo]

CONF_ADDR hoert sich bisschen nach EasyVPN statt Site-to-Site an ...

[MYOEY]

Erstmal danke für die Antworten!

Hier mal die config:

PIX:

access-list noNAT permit ip 192.168.1.0 255.255.255.0 10.16.0.0 255.255.0.0
sysopt connection permit-ipsec
crypto ipsec transform-set policy1 esp-3des esp-md5-hmac
crypto map cisco 10 ipsec-isakmp
crypto map cisco 10 match address noNAT
crypto map cisco 10 set peer x.x.x.x
crypto map cisco 10 set transform-set policy1
crypto map cisco interface outside
isakmp enable outside
isakmp key *********** address x.x.x.x netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400



C6506 config:

aaa new-model
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local


crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2


crypto isakmp key plazamedia address Y.Y.Y.Y no-xauth
crypto isakmp keepalive 30 5
!
crypto isakmp client configuration group test
key ********
pool SDM_POOL_1
netmask 255.255.255.0

crypto ipsec transform-set policy1 esp-3des esp-md5-hmac

crypto dynamic-map SDM_DYNMAP_1 1
set transform-set policy1
reverse-route

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

crypto map SDM_CMAP_1 10 ipsec-isakmp
set peer Y.Y.Y.Y
set transform-set policy1
match address 100

interface vlan 35
description [ outside - Internet ]
crypto map SDM_CMAP_1


ip local pool SDM_POOL_1 192.168.1.1 192.168.1.100
access-list 100 permit ip 10.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255


Ich möchte dass, der Catalyst6506 als VPN Remote Access Server und auch Site-to-Site macht aber das tut er anscheinend nicht!!! hab ich da was übersehen oder fehlt irgendwas noch in der config??

mit der o. g. config funktioniert VPN Remote Access ohne Problem aber L2L nicht und bekomme als status "CONF_ADDR" mit sho cry isa sa.
Wenn ich aber die folgenden 3 Zeilen von der config rausnehme, funktioniert L2L aber Remote Access nicht mehr:

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond


Wie läßt sich sowas konfigurieren, sodass ich mich über Cisco VPN Client auf den C6506 verbinden kann und er auch als peer eine L2L VPN Verbindung aufbauen kann?

was ist der zusammenhang der 3 Zeilen mit Site-to-Site tunnel? Ich dachte, die sind nur für die VPN Clients!

[MYOEY]

bin leider noch nicht weitergekommen... keine Idee oder Tipp ;-)

Gruß

[isehuet]

Hast du ICMP offen? Ping ist standardmässig nicht erlaubt.
Was gibt es aus, wenn du folgenden Command eingibst?

Code:

sh crypto session