4 Antworten in diesem Thema

[-= Brummbär =-]

Hallo,

Ich muss auf einer ASA 5505 eine VPN-Clienteinwahl hinbekommen. Ich habs per Wizard versucht, aber es scheint nicht wirklich zu klappen. Die Konfig sieht so aus:

access-list vpn-group_splitTunnelAcl standard permit any 
access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.0 

global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs 
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 5
 lifetime 86400

group-policy vpn-group internal

group-policy vpn-group attributes
 dns-server value 192.168.2.1 192.168.2.2
 vpn-tunnel-protocol IPSec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value vpn-group_splitTunnelAcl

tunnel-group vpn-group type remote-access

tunnel-group vpn-group general-attributes
 address-pool vpn-pool
 default-group-policy vpn-group
tunnel-group vpn-group ipsec-attributes
 pre-shared-key *

Wenn ich mich versuche einzuwählen zeigt das ASDM:

Removing peer from peer table failed, no math!
Error: Unable to remove PeerTblEntry

Wo ist mein Fehler?

Besten Dank für eure Hilfen!
–
Ich hab den Wizard noch mal durchlaufen lassen und nun geht es. Wahrscheindlich habe ich beim NAT einen Fehler gemacht.

[hegl]

Tipp: im ASDM den Real-Time-Log-Viewer verwenden, der zeigt Dir recht gut, wo etwas faul ist.

[-= Brummbär =-]

Merci für den Tipp. Ich habe jetzt mal die Konfig für einen VPN-Clientzugang auf dem CLI zusammengefasst.

! ========= Nur Traffic fürs Hausnetz wird durch den Tunnel geschickt ==========
!
access-list VPN-Split extended permit ip object-group Hausnetz any
!
! =============== Kein NAT zwischen VPN-Clients und Hausnetz ===============
!
access-list NoNat-Inside extended permit ip object-group Hausnetz object-group VPN-Clients 
nat (inside) 0 access-list NoNat-Inside

! ===================== Adresspool für VPN-Clients
!
ip local pool vpn-pool 192.168.250.1-192.168.250.99
!
!
! ===================== Konfiguration Phase 2 ==================================
!
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 65535 set pfs 
crypto dynamic-map dynmap 65535 set transform-set ESP-AES-256-SHA ESP-3DES-MD5
!
crypto map outside_map 65535 ipsec-isakmp dynamic dynmap
crypto map outside_map interface outside

!
! ===================== Konfiguration Phase 1 ===============================
!
crypto isakmp enable outside
!
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
!
! ====================== Tunnel Richtlinien ==================================
!
group-policy vpn-remoteuser internal
group-policy vpn-remoteuser attributes
 dns-server value 192.168.2.1 192.168.2.1
 vpn-tunnel-protocol IPSec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value VPN-Split
!
!
! ====================== Tunnel Gruppe =======================================
!
!tunnel-group vpn-remoteuser type remote-access
!
tunnel-group vpn-remoteuser type ipsec-ra
tunnel-group vpn-remoteuser general-attributes
 address-pool vpn-pool
 default-group-policy vpn-remoteuser
!
tunnel-group vpn-remoteuser ipsec-attributes
 pre-shared-key vpn-psk

Vorab: es funktioniert bei mir *freu* Aber ich hätte noch ein paar Verständnisfragen:

crypto dynamic-map dynmap 65535 set pfs

Was macht diese Zeile?

In meinen PIX 501 Konfigs steht für die VPN-Clients immer auch:

isakmp identity address
isakmp nat-traversal 30

Kann ich die einfach so weglassen?

Ansonsten bin ich natürlich für jede Anmerkung / jeden Verbesserungsvorschlag zu haben, der die ganze Sache besser macht.

[hegl]

Vorab: es funktioniert bei mir *freu* Aber ich hätte noch ein paar Verständnisfragen:

crypto dynamic-map dynmap 65535 set pfs

Was macht diese Zeile?

http://netzikon.net/.../p/pfs-vpn.html

In meinen PIX 501 Konfigs steht für die VPN-Clients immer auch:

isakmp identity address
isakmp nat-traversal 30

Kann ich die einfach so weglassen?

Das habe ich Dir ja gerade in Deinem anderen thread beantwortet

[-= Brummbär =-]

Und falls jemand anders auf diesen Thread stößt:

isakmp nat-traversal 30

gehört in die Konfig, damit man sich nicht zu tode sucht, warum kein Traffic fließt

Besten Dank an hegl!!!