hegl

Moin, moin, zu dem VPN-Problem gabs hier schon einige Diskusionen - auch von mir. Ich hatte damals auf der PIX nat-traversal konfiguriert und die Probleme waren weg. Da es aber generell Probleme gibt, die PIX ja wohl die letzten beiden Jahre störungsfrei gelaufen ist und keine Konfigurationsänderungen erfolgt sind, würde ich von irgendeinem Defekt an der PIX ausgehen. Es können aber auch andere Gründe vorliegen: Hängen inside- und outside-interaface am gleichen Switch? --> Vielleicht hat der ´ne Macke...

schau mal in das posting von blacky_24, sollte ganz hilfreich sein: http://www.mcseboard.de/cisco-forum-allgemein-38/pix-mehrere-vpn-s-90498.html

und wo ist deine dynamic map?

Hast Du mit NetScreen´s Erfahrung? Ich stehe gerade auch wieder vor der Entscheidung, eine PIX 506 zu ersetzen oder eine zweite hinzuzunehmen. Mit meinen 4 VLAN´s komme ich bei der 506-er nicht mehr aus. Also müsste es eine ASA5505 werden oder ich stelle ´ne zweite kleine PIX (501) dazu, da in das neue zu integrierende Netz nur aus einem der vorhandenen VLAN´s zugegriffen werden soll. Kommt aber nochmal eins hinzu, stehe ich wieder da, also lieber die ASA....oder aber ´ne NetScreen? da wäre ich allerdings blutiger Anfänger. Kannst Du was zur Handhabung sagen?

Ich sehe das nicht so ernst, vor allem, wenn ich daneben lag :mad: Jepp, kann ich nachvollziehen. Gibts da spezielle Unterlagen/Quellen, für solche debugs auseinander zu nehmen? Oder muss man sich einfach nur mehr damit beschäftigen? Dankeeeee.

und schon wieder was gelernt, obwohl ich es nicht verstehe :confused: :confused: :confused:

Hier stimme ich Dir vollkommen zu, dass die dyn. cryptomap ans Ende sollte/muss. Aber, ist das wirklich ausschlaggebend für die site-to-site? Ich denke, dass er so wie er´s hat "nur" Probleme beim Aufbau mit seinen Clients bekommt. Ich lasse mich gerne eines Besseren belehren, schließlich sind wir ja alle hier, um Hilfe zu erhalten oder auch zu geben. Bis jetzt habe ich halt die Erfahrung gemacht, dass bei einer Berechtigung von IP auch ICMP funktionierte - deshalb auch mein obiges Statement Also lass uns nicht streiten, sondern versuchen dem Kollegen zu helfen. Wenn ich Dir zu nahe getreten bin - sorry! ;) Nach wie vor sehe ich aber, dass er in der Aussenstelle die ACL access-list VPN extended permit ip 192.168.2.0 255.255.255.0 192.168.10.0 255.255.255.0 schon hat und in der Zentrale diese nicht konfiguriert werden muss, da zuerst das lokale Netz und dann das remote Netz angegeben wird und das hat er ja mit [access-list VPNRG extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0 bereits getan. @maegl: Was sacht denn jetzt das logging? Wird irgendein Fehler protokolliert? Gruß hegl

Nur so als Tipp: editiere dein letztes Posting und x-e die VPN-Peer-IP´s aus! Leider kann ich mit dem Output der SA´s nicht viel anfangen. Sie bestätigen mir nur, dass der Tunnel steht. Vielleicht weiß aber ein anderer mehr? Ob die anderen beiden debugs uns weiterbringen kann ich auch nicht beurteilen, da ich sooo tief auch nicht in der Materie stecke. M.E. sieht man da auch nur die interessanten Dinge für den Tunnel selbst und keine Berchtigungsgeschichten. Hast Du denn nun schon mal den LogViewer im ASDM eingeschaltet und auf die IP getriggert?

Sorry, aber meinst Du doppelt gemoppelt hält besser? Erstens hat er die ACL schon und zweitens, wenn er in der ACL ip freigibt, muss er nicht auch noch icmp freigeben, da ja bekanntlich icmp in ip drin ist !!! @maegl: Hast Du irgendein inspection (Service Policy) konfiguriert?

Seitdem unsere Serveradmins kräftig im AD an den group-policys drehen, zudem ein SW-Verteilungsprogramm sowie ein Inventarisierungstool im Einsatz ist, habe ich die gleichen Erfahrungen gemacht. Demnach solltest Du auch die Prozesse im Auge haben, die beim Anmelden an der Domäne gestartet werden.

Kontrolliere im ASDM im Connection Profile unter Advanced\Crypto Map Entry ob der Connection Type auf bidirectional steht. Wenn ja, schalte das logging im ASDM ein und filtere auf die IP. Was ich in der config nicht verstehe, ist die ACL splittunnel! Setze die doch mal testweise auf inactive.

Bei meiner Frage nach dem Modell ging es mir darum, ob irgendwelche Probleme mit speziellen Typen bekannt sind. Ich habe hier die ASA5520 im Einsatz und hier ist die config: ip local pool easy-pool 172.16.200.1-172.16.200.6 mask 255.255.255.248 access-list ISK_nat0_outbound extended permit ip object-group LAN-IP object-group Remote-IP access-list vpn extended permit ip object-group LAN-IP object-group Remote-IP group-policy EASY internal group-policy EASY attributes wins-server value XXX dns-server value XXX vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpn default-domain value test.de split-dns value test.de nem enable tunnel-group EASY type remote-access tunnel-group EASY general-attributes address-pool easy-pool authentication-server-group VPN_Auth default-group-policy EASY tunnel-group EASY ipsec-attributes pre-shared-key xxx Da bleibt mir aber keine andere Möglichkeit, da unsere Anwender auf der Remote-Site von der dortigen Firma nur einen, mit anderen Anwendern gemeinsam genutzten DSL-Anschluss zur Verfügung gestellt bekommen.

Erst einmal danke, dass Du Dich dem Thema annimmst. Aber was willst Du mit der config bzw. dem ASA-Modell? Grundsätzlich läuft der Tunnel und konfiguriert habe ich diesen über den Wizzard im ASDM, also Standard wie unter Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Configuring Easy VPN on the ASA 5505* [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems beschrieben. Mittlerweile habe ich festgestellt, dass "automatic tunnel initiation" nichts mit meinem Problem zu tun hat. Der Tunnel steht, sobald die beiden device sich sehen. Aber die Zugriffe aus dem Firmen-LAN greifen erst, wenn vom privaten Netz hinter dem Easy-VPN-Client eine Verbindung initiiert wurde. Wahrscheinlich ist das ja sogar so gewollt bzw Philosophie von CISCO. Trotzdem würde es mich interessieren, wie es am elegantesten möglich ist, einen Zugriff auch vom Firmen-LAN zu ermöglichen.

Folgendes Szenario: privates Netz --- PIX als Easy VPN --- DSL-Router --- Internet --- ASA --- Firmen LAN Die User aus dem privaten Netz können auch problemlos auf die Server im Firmen-LAN zugreifen. Andersherum ist es genauso möglich, aus dem Server-VLAN in das private Netz zuzugreifen. Nun besteht aber die Anforderung, auch aus einem anderen VLAN im Firmen-LAN auf einen Netzwerkdrucker in dem privaten Netz zuzugreifen. Der Zugriff funktioniert aber erst dann, wenn ein Client aus dem privaten Netz in eben dieses VLAN eine Verbindung initiiert hat, d.h der Verbindungsaufbau muss aus dem privaten Netz kommen. Wie kann ich das am einfachsten realisieren? Habe gerade noch folgendes gefunden: Automatic tunnel initiation is disabled if secure unit authentication is enabled Wo oder wie kann ich automatic tunnel initiation einschalten? Zur info: konfiguriert habe ich den NEM!

Das habe ich im Discussion Forum bei CISCO gefunden: Cisco NetPro Forum - Security - Firewalling - PIX downgrade Wenn Du aber erst gar nicht in den Monitor Mode gelangst, bist Du in bester Gesellschaft: Cisco NetPro Forum - Security - Firewalling - PIX 515 Will Not Read Flash Image

Deine Antwort in Ehren, aber die Frage bezieht sich auf PIXen. Wenn ich mit einem DSL-Router arbeite, brauche ich keine PIX mehr...

Zu welchem Zeitpunkt tritt die Fehlermeldung denn genau auf? Sobald Du "Strg+Alt+Entf" drückst (hierbei beginnt ja der Initialiserungsvorgang), oder bereits vorher? Hast Du den Rechner mal beim LogIn-Screen stehen gelassen und erst nach einer gewissen Zeit (ca. 1min) "Strg+Alt+Entf" gedrückt? Kommt dann die Meldung auch?

Ich würde gerne die ASA als NTP-Server einrichten. Kann sie dieses? Sie holt sich zwar erfolgreich die Zeit von einem öffentlichen Zeitserver, aber weder unserer Router, Switche oder andere PIXen synchronisien sich. :confused: :confused: :confused:

Auch Cisco Most Common L2L and Remote Access IPSec VPN Troubleshooting Solutions - Cisco Systems weist auf eine falsches group-password hin...

Ist zwar nicht lebensnotwendig, trotzdem würde es mich interessieren: bei den Access-Rules im ASDM sieht man in der Spalte "Hits" so eine Art Zugriffsstatistik. Bei einigen ACL´s stehen diese Hits aber auf Null, obwohl die Regel angewendet wird. Hat jemand eine Erklärung dafür? Ist dies ein Bug?

Hast Du die Fehlermeldung 53 16:38:18.884 01/16/08 Sev=Warning/2 IKE/0xE300007E Hash verification failed... may be configured with invalid group password beachtet und das PW mal gecheckt?

Im ersten Beitrag hast Du noch von einer PIX gesprochen.... Ich würde einen Rechner nehmen der letzte Woche lief, Wiederherstellungspunkt vor dem Update wählen - testen. Oder ein anderes Testsystem schnell aufsetzen, dass gerade mal mit XP/SP1 oder max XP/SP2 läuft. Und schon weisst Du wo der Hase hüpft.

Auf meinem Test-System sind unter XP alle Patche drauf und die Einwahl klappt vorzüglich...

Hm, auch wenn ich die Option "Allow Launching of application before logon" aktiviert habe, kann ich mich trotzdem am Rechner anmelden - nur habe ich dann keine Verbindung ins Remote-Netz, weil der VPN-Client nicht gestartet wurde. Meine Frage ist auch noch nicht beantwortet: hat der PC schon eine Netzverbindung oder nicht? Wenn das bei den anderen Geräten so ist, muss es bei dem PC noch lange nicht so sein!

NATÜRLICH ;)