@Otaku19
da bin ich voll deiner Meinung! normalerweise dürfte in keiner Richtung was durchgehen!!! da müßen doch die beiden Phasen1/2 vollständig und erfolgreich aufgebaut sein oder?
Durch debug war auch "Mismatch von "Diffie-Hellman Group" zusehen, auf einer Seite war "2" konfiguriert und auf der andere Seite war "5"
genau das ist es - die ASA macht bei der DH Group ganz tolle Sachen - habe ich schon häufiger gehabt - das er in eine Richtung sich dann eine andere passende Policies gesucht hat - die zu einem ganz anderen VPN gehörte und damit die Session gestartet - anderstrum passte es dann natürlich nicht. Ist aber schon immer in der 8.x so.
Koennte auch was mit Prioritaeten sein, 5 < 2 deswegen geht 5 auf 2, aber 2 auf 5 nicht.
Mit anderen Herstellern ist das aber auch so. Wenn einer z.B. 192.168.0.0/24 => 10.0.0.0/24 eingetragen hat und der andere aber 10.0.0.0/16 kann auch schon mal nur von einer Seite aus klappen.
naja naja...im debug scheinene manche Fehler so auf als ob es am DH liegt...zb wenn man au einer Seite PSK und auf der andren certificate hat, dann schauts im logging auch so aus als obs am DH liegen würde..eben am Ende "keien passenden proposals gefunden"
Das mit unterschiedlich grossen Encryptiondomains ist oft das Problem zwischen Cisco und Checkpoint, denn Checkpoint versucht die domains imer soweit wie möglich zusammenzufassen. dann Funtk der Afbau Cisco->Checkpoint, aber nicht umgekehrt
Am coolsten ist, wenn die CheckPoint / Nokia Jünger auf der anderen Seite "route-based" VPN fahren.
Das ist für CP <--> CP ne echt coole Sache. 3rd Party Jungs wie wir haben eben das Nachsehen, wenn man ne 0.0.0.0/0 SA bekommt :-))
