VPN Tunnel kann nicht aufgebaut werden

[fly87]

Hallo zusammen,

ich habe hier eine ASA 5510.
Bei dieser bekomme ich beim verbinden, folgende Fehlermeldung.
Und ich weiß echt nicht mehr, was ich noch tun soll...

4|Aug 19 2010 17:14:00|713903: Group = itest, IP = 192.168.1.120, Error: Unable to remove PeerTblEntry
3|Aug 19 2010 17:14:00|713902: Group = itest, IP = 192.168.1.120, Removing peer from peer table failed, no match!

Ich habe das ganze zunächst mal mit dem VPN Wizard gemacht.

Jemand eine Idee??

[Otaku19]

auch gleich für die gegenseite ? Dann sollten nämlich die configs exakt passen...gib die mal her und wirf mal debugs an

[fly87]

Für die Gegenseite??

Das ist keine Site to Site Verbidung sondern eine Remote Access... Oder soll es werden...
Also man soll sich per VPN Client anmelden können.

[Otaku19]

hm wäre zB hilfreich sowas zu erwähnen....was ich vorhin geschrieben haben hat aber weiterhin Gültigkeit, config her und debugs anwerfen

[fly87]

Hallo noch mal,

ich konnte das Problem inzwischen einigermaßen beheben.
Ich denke mal, jetzt fehlen mir irgendwo noch Rules.

Das VPN Sysopt habe ich abgeschaltet, auch wenn Cisco empfiehlt, es eingeschaltet zu lassen. Mir erscheint es aber so, als wäre es besser, weil man mehr Kontrolle hat, das ganze über Access-lists selbst zu steuern.

Ich versuche immer gerne die Sachen selbst zu lösen... Aber hier komme ich jetzt nach langer Zeit gar nicht weiter.

Code:

2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/54648 to 192.168.1.2/53 due to DNS Query
2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/53683 to 194.8.194.60/53 due to DNS Query
2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/53683 to 192.168.1.2/53 due to DNS Query
6|Aug 25 2010 16:45:42|110002: Failed to locate egress interface for UDP from outside:192.168.1.104/2777 to 239.255.255.250/1900
2|Aug 25 2010 16:45:41|106007: Deny inbound UDP from 192.168.1.104/54648 to 192.168.1.2/53 due to DNS Query
2|Aug 25 2010 16:45:41|106007: Deny inbound UDP from 192.168.1.104/53683 to 192.168.1.2/53 due to DNS Query

Manchmal erhalte ich auch die Meldung, das es keine Überstzungsrule gibt...
Die Meldungen stimmen auch. Ich habe keine NATs gebaut und keine Access-lists, weil ich da nicht weiter komme.

Der Client 192.168.1.104 ist im VPN, der Client 192.168.1.2 ist ein Server hier im Testnetz, der u.a. Domain Controller mit einem DNS Server ist.

Weil das Problem ist auch, ich komme zwar ins VPN aber das wars. Von da aus gehts nicht weiter. Kein Ping, kein gar nichts.
Da fehlt wohl eine NAT Rule... Aber von wo nach wo?

Von 0.0.0.0 0.0.0.0 nach 192.168.1.0 <- ?
Dann gäbs ja ein komplett NAT von außen nach innen...

Ich komme da zur Zeit nicht weiter.

Danke für eine Info...

[blackbox]

Hallo Fly,

du hast geschrieben - du haettest es mit dem Wizard gemacht - dann kann obiges nicht passieren - desweiteren bist du noch nicht sattelfest was VPN betrifft - warum schaltest du dann direkt "VPN Sysopt" ab ? - ich kann dir nur den tip geben - lade dir den ASDM "Offline Test Tool" - da kannst du auch mit dem Wizard mal das VPN aufseten - und dann siehst du was er für Rules vorschlägt - wenn du die "verstanden" hast - würde ich mich auf den "Handbetrieb" konzentrieren.

Soviel vorab - zu deinem NAT Problem - du hast sicher eine NAT Rule mit der du "raussurfst" - dazu musst du eine passende "DeNAT" Rule bauen - die für den Traffik in den Tunnel das ganze wieder aufheben - aber halt nur für den Traffik vom Internen NET und dem VPN-Client Range.

Intressant wäre zu wissen ob IOS 6.2 oder 6.3 - da bei 6.3 alles etwas anderst ist. Wie gesagt - gebe dir aber den TIP nimm ruhig den Wizard - und schau dir an wie es überhaupt aussen müsste - danach kannst du dann immer noch "HAND" anlegen.

[Otaku19]

auch bei aktivierten sysopt kann man immer noch access-rules nehmen, die kann man an den user oder die gruppe binden.

Ansonten...wer immer ein Geheimnis aus seinen Configs macht, bekommt keinen support, Ende. Was denkst du denn geheim halten zu müssen ? Das du eine suuuuper Config hast auf die sonst nie jemand kommen würde ?