VPN-Tunnel IOS-Fortigate wird nur von einer Seite aufgebaut

[-TylerDurden-]

Guten Morgen lieben Community,

folgende Gegebenheiten:

- Anforderung: VPN-Tunnel zw. CISCO 2800 Router(Wir) mit IOS 12.4(3a) und Fortinet Fortigate 60(Dienstleister) mit PSK
- Konfiguration bzgl. Encr., Hash, PSK abgeglichen auf beiden Seiten
- Phase 1-ISAKMP-SA wird ohne Probleme aufgebaut
- Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird(Ping auf einen Host in unserem LAN). Dann steht der Tunnel aber und von beiden Seiten aus können Pakete versendet werden.
- Auf den Router der Gegenstelle habe ich leider keinen Zugriff
- Folgend die Konfigurationseinstellen auf dem CISCO:

crypto isakmp policy 1
Hier andere Verfahren für andere VPN-Verbindungen
crypto isakmp policy 2
Hier andere Verfahren für andere VPN-Verbindungen
crypto isakmp policy 3
Hier die Verfahren nach Vorgabe des DL
encr 3des
hash md5
authentication pre-share
group 2
lifetime 8640

crypto isakmp key Übereinstimmender-PSK address IP des DL no-xauth
crypto isakmp keepalive 60 periodic
crypto isakmp nat keepalive 20

crypto ipsec transform-set ts-3des-md5 esp-3des esp-md5-hmac
crypto ipsec df-bit clear

crypto dynamic-map vpn-clients-map 1
Für unsere VPN-Clients
set ip access-group 103 out
set transform-set XXX

crypto map vpn-tunnel 6 ipsec-isakmp
description vpn-Dienstleister
set peer IP des DL
set security-association lifetime seconds 8640
set transform-set ts-3des-md5
match address 115

interface FastEthernet0/1
bandwidth 4000
ip address unsere öffentliche IP
ip access-group 100 in
ip access-group 101 out
ip nbar protocol-discovery
load-interval 30
duplex auto
speed auto
crypto map vpn-tunnel
service-policy output FORWARD

access-list 115 permit ip unser Netz 0.0.255.255 Netz DL 0.0.0.255


Anbei die Debug-Meldungen von
Cryptographic Subsystem:
Crypto ISAKMP debugging is on
Crypto Engine debugging is on
Crypto IPSEC debugging is on
Crypto IPSEC Error debugging is on

nach einem PING auf eine IP im DL-Netz.

und die Ausgabe von show crypto ipsec sa

Danke im Voraus für eure Hilfe und Gruß,

Stefan

[Wordo]

Wo ist denn die Frage? Du willst auch von dir aus das VPN initiieren koennen? Setz mal die isakmp policy vom DL auf 1 und nicht 3. Vielleicht blockt der ab wenn du erst mit was anderem kommst.

[-TylerDurden-]

Hallo Wordo,

danke für deine Antwort.

"Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird"...dies ist das Problem.

Die crypto isakmp policys sind doch nur für Phase1, die ja erfolgreich abgeschlossen wird, richtig??

[Wordo]

Und wenn du die Verbindung initiierst wird Phase 1 korrekt fertiggestellt?

[-TylerDurden-]

JA, so ists.

[Lian]

@Stefan: Bitte die Dateien als Textdateien hochladen.

[Wordo]

Ach, jetzt seh ichs erst ... die Prio von der Dynamic-map muss hoeher sein als die der normalen!

[-TylerDurden-]

@ Wordo: Müsste die Konfig also so aussehen? War nicht kleinerer Index auch höhere Priorität?

crypto map vpn-tunnel 6 ipsec-isakmp
description vpn-Dienstleister
set peer IP des DL
set security-association lifetime seconds 8640
set transform-set ts-3des-md5
match address 115

crypto dynamic-map vpn-clients-map 10
Für unsere VPN-Clients
set ip access-group 103 out
set transform-set XXX

@ Lian: Sorry! Hab's geändert.

[Wordo]

Bei dynamic-maps wird meisstens immer 65535 empfohlen, also der hoechste Wert. Die 10 sollten auch reichen.

[-TylerDurden-]

Ok, besten Dank. Ich werd's mal testen.