glady

SVTI ist weniger das Problem. Aber wir haben auch IPSec Verbindungen, SVTI ist ja Cisco proprietär, weshalb ich vorhandene VPN-Tunnel zu z.B. Checkpoint nicht durch ein SVTI ablösen kann. Ist der Befehl "sh crypto ipsec sa peer x.x.x.x" richtig, zum Abfragen, ob der Tunnel up oder down ist? Was bedeutet EEM?

Hallo, ich würde gerne mehrere VPN-Tunnel auf einem Cisco Router überwachen, ohne dafür auf der Gegenseite eine IP-Adresse pingen zu müssen. Gibt es eine Möglichkeit, dies mit snmp und z.B. Nagios umzusetzen? glady

Habe die 8.2.2 / 6.2.5 aktiv, leider mit gleichem Fehler. Mir ist aufgefallen, dass die Anmeldung nach ca. 30 Min. wieder über Tacacs funktioniert. Syslog sagt: Jan 14 2010 12:16:18: %ASA-4-409023: Attempting AAA Fallback method LOCAL for Authentication request for user xy : Auth-server group ACSAUTH unreachable Jan 14 2010 12:16:18: %ASA-6-113015: AAA user authentication Rejected : reason = Invalid password : local database : user = xy Jan 14 2010 12:16:18: %ASA-6-611102: User authentication failed: Uname: xy Jan 14 2010 12:16:18: %ASA-6-605004: Login denied from x.x.x.x/2276 to Inside:x.x.x.x/telnet for user "xy"

ASDM ist 6.2.3, mit 8.2.1 geht weder die ANmeldung mit ASDM noch die AnyClient-Anmeldung. Also grundsätzlich kein SSL mit 8.2.1 möglich.

Auch die version 8.2(1)11 hat ein Bug, das ich euch nicht vorenthalten möchte: 1. Console-Anmeldung auf die ASA per AAA Tacacs --> ok 2. ASDM-Anmeldung auf die ASA --> ok 3. Anyclient über outside --> ok Nach der ASDM-Anmeldung funktioniert die Console-Anmeldung per AAA nicht mehr, es wird ein lokaler User verlangt. Anyclient über outside und ASDM-Anmeldung funktionieren weiterhin. Erst nach Reload kann man sich wieder auf Console mit AAA anmelden, bis man sich wieder per ASDM angemeldet hat... glady

Das gibt es nicht... Habe nun die 8.2.(1)11 am Laufen -nun funktioniert die SSL-Anmeldung!!! Reload hatte ich übrigens mit der 8.2.1 bereits durchgeführt, an der Konfig. keine Änderung. Was programmieren die da bloss... Danke für den Software-Tipp!

@ blackbox 8.2(1)11 hast Du wahrscheinlich vom TAC bekommen, oder? Habe nun 8.2(1) aktiv. Vielleicht könnt ihr mir beim nächsten Problem helfen :-) Ich kann mich nicht per ssl auf die Firewall aufschalten. outside nicht und inside auch nicht. Habe bereits durchgeführt: crypto key zeroize rsa crypto key generate rsa modulus 1024 Half leider nicht. Folgende Fehlermeldung erscheint im Syslog: Dec 17 2009 15:28:59: %ASA-7-725014: SSL lib error. Function: SSL_GET_NEW_SESSION Reason: ssl session id callback failed Danke und Gruß glady

Ich habe jetzt mal testhalber die asa821-k8.bin getestet. FUNKTIONIERT!!! Die 8.0.5 und 8.0.4 aktuell auf der Cisco Seite müssen defekt sein. Oder?

Auf der Cisco Seite habe ich unter der Rubrik 5510 runtergeladen. Dateigröße 13934592 bytes Wurde die Software vielleicht auf der Cisco Seite durcheinander gebracht? Habe die Software frisch runtergeladen und vom TFTP-Server booten lassen. Gleiches Ergebnis! Software wird zuerst vom TFTP geladen. Anschließend Rebooting... Info: CISCO SYSTEMS Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17 Low Memory: 631 KB High Memory: 256 MB PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 2578 Host Bridge 00 01 00 8086 2579 PCI-to-PCI Bridge 00 03 00 8086 257B PCI-to-PCI Bridge 00 1C 00 8086 25AE PCI-to-PCI Bridge 00 1D 00 8086 25A9 Serial Bus 11 00 1D 01 8086 25AA Serial Bus 10 00 1D 04 8086 25AB System 00 1D 05 8086 25AC IRQ Controller 00 1D 07 8086 25AD Serial Bus 9 00 1E 00 8086 244E PCI-to-PCI Bridge 00 1F 00 8086 25A1 ISA Bridge 00 1F 02 8086 25A3 IDE Controller 11 00 1F 03 8086 25A4 Serial Bus 5 00 1F 05 8086 25A6 Audio 5 02 01 00 8086 1075 Ethernet 11 03 02 00 8086 1079 Ethernet 9 03 02 01 8086 1079 Ethernet 9 03 03 00 8086 1079 Ethernet 9 03 03 01 8086 1079 Ethernet 9 04 02 00 8086 1209 Ethernet 11 04 03 00 8086 1209 Ethernet 5 Evaluating BIOS Options ... Launch BIOS Extension to setup ROMMON Cisco Systems ROMMON Version (1.0(11)2) #0: Thu Jan 26 10:43:08 PST 2006 Platform ASA5510 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. Ethernet0/0 Link is UP MAC Address: 001b.d589.72d6 ROMMON Variable Settings: ADDRESS=1.1.1.1 SERVER=2.2.2.2 GATEWAY=3.3.3.3 PORT=Ethernet0/0 VLAN=untagged IMAGE=asa805-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 tftp asa805-k8.bin@2.2.2.2 via 3.3.3.3 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [...] Received 13934592 bytes Launching TFTP Image... Cisco Security Appliance admin loader (3.0) #0: Mon Nov 2 21:27:21 MST 2009 Loading... Processor memory 177774592, Reserved memory: 20971520 (DSOs: 0 + kernel: 20971520) Guest RAM start: 0xd4000080 Guest RAM end: 0xdd400000 Rebooting..... Booting system, please wait... CISCO SYSTEMS Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17

Kann es sein, dass die 8.X Software auf der ersten Generation ASA 5510 mit internem 256MB Speicher nicht läuft? Wenn ich die 8.0(5) oder auch 8.0(4) boote, dann kommt die Kiste nicht mehr hoch. Auf dem Console-Port kann ich sehen, dass die ASA bis zum Punkt "Loading disk0:/asa805-k8.bin... Booting... Loading..." kommt und dann wieder bootet und von Vorne beginnt. Erst wenn ich vom Rommon die 7.2(2) boote, kommt die ASA wieder hoch. Nun habe ich eine Compactflashcard 1GB eingesteckt, disk1 formatiert, Software übertragen, Booteinträge konfiguriert und die ASA gebootet. Habe aber den gleichen Effekt auch mit der CF-Card! Hat jemand eine Idee, was das Problem sein könnte? glady

Hallo, momentan wird die SSL-Client-Software auf einer ASA mit Software 7.2(3) genutzt. Um den Anyclient nutzen zu können, muss ja auf eine 8er Software aufgerüstet werden, soweit ich das in Erinnerung habe. Frage, wäre unter der 8'er Software auch die Funktion des SSL-Clients weiterhin möglich? Dann wäre die Migration einfacher. glady

Hallo, was sollte beachtet werden, wenn man eine Windows-Domäne über dünne WAN-Leitungen über mehrere Standorte zieht? Ich weiß nur, dass die Windows-Protokolle sehr geschwätzig sind und vermute, dass die WAN-Leitungen belastet würden. Gibt es ein Konzept von Microsoft für solche Fälle? Details: - 20 Standorte (teilw. 1 Mitarbeiter an einem Standort) - Zugriff any to any - ein zentraler Fileserver Wieviele DC sollte es geben? Nur an der Zentrale? Dann findet doch ständige Kommunikation zwischen den Clients und DC's in der Zentrale statt?! glady

Hallo, kann mir jemand sagen, wie man folgende Anforderung am Besten umsetzt: Server hat 4 Netzwerkkarten, welche auf den C6500 gesteckt werden. Alle 4 Netzwerkkarten sollen nun gebündelt werden, so dass man quasi 4 Gbit zur Verfügung hat. Wie sieht die Konfiguration auf dem C6500 dafür aus? Danke und Gruß Glady

Was mich wundert, dass das Rekeying, nicht nach den definierten 28800 Sek., sondern nach 27366Sek. startet. Meinste auf dem Router deb crypto ipsec oder auf der ASA? Auf dem Router läuft er schon, aber da sieht man so gut wie gar nichts... Was meinst Du mit 255er Debug?

@blackbox die Lifetime war bereits angepasst Ich konnte weiter eingrenzen. Die Sessions gehen immer nach Rekeying der Phase 2 flöten. Auf der ASA: 2009-05-01 08:19:30 Local4.Notice x.x.x.x May 01 2009 08:19:30: %ASA-5-713041: Group = x.x.x.x, IP = 88.79.244.4, IKE Initiator: Rekeying Phase 2, Intf outside, IKE Peer x.x.x.x local Proxy Address x.x.x.x, remote Proxy Address x.x.x.x, Crypto map (outside_map) 2009-05-01 08:19:46 Local4.Info x.x.x.x May 01 2009 08:19:46: %ASA-6-302014: Teardown TCP connection 1340969 for outside:x.x.x.x/3210 to inside:x.x.x.x/1119 duration 1:06:56 bytes 1225264 Tunnel has been torn down Warum geht die Session beim IPSEC Rekeying verloren?

Das Outside2 ist das Interface Vlan4 und steht auf shutdown. Relevante Parameter: crypto map outside_map 10 match address outside_zentrale crypto map outside_map 10 set peer 99.99.99.99 crypto map outside_map 10 set transform-set ESP-AES-256-SHA crypto map outside_map 10 set security-association lifetime seconds 28800 crypto map outside_map 10 set security-association lifetime kilobytes 4608000 crypto map outside_map 10 set nat-t-disable crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto isakmp policy 10 authentication pre-share encryption aes-256 hash sha group 2 lifetime 43200 (aktualisiert) group-policy DfltGrpPolicy attributes vpn-idle-timeout none user-authentication-idle-timeout 60 tunnel-group 1.2.3.4 type ipsec-l2l tunnel-group 1.2.3.4 ipsec-attributes pre-shared-key * access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.251.0.0 255.255.128.0 access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.200.1.0 255.255.255.0 Zentrale Router: crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 lifetime 43200 crypto ipsec transform-set aes256sha esp-aes 256 esp-sha-hmac crypto isakmp profile aussenstelle-IKE-PROFILE vrf vlan144-vrf keyring ALL-MAP-KEYRING match identity address 1.2.3.4 255.255.255.255 crypto map VPN-KUNDEN 14401 ipsec-isakmp set peer 1.2.3.4 set security-association lifetime seconds 28800 set transform-set aes256sha set isakmp-profile aussenstelle-IKE-PROFILE match address aussenstelle-crypto-acl ip access-list extended aussenstelle-crypto-acl permit ip 10.251.0.0 0.0.127.255 ip 10.0.0.0 0.0.0.255 permit ip 10.200.1.0 0.0.0.255 ip 10.0.0.0 0.0.0.255 access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.251.0.0 255.255.128.0 access-list outside_cryptomap_10 extended permit ip 10.0.0.0 255.255.255.0 10.200.1.0 255.255.255.0

Hallo, kämpfe mit einem hartnäckigem Problem. Gibt es bekannte Probleme mit irgendwelchen Einstellungen/Parametern bei VPN-Verbindungen zwischen ASA und Cisco Router? Details Umgebung: - Beide Seiten Internetstandleitung ohne Zwangstrennung - ASA 505 mit Software 8.0(4) zu Cisco 7206 - Beide öffentliche IP-Adressen werden überwacht --> keine Aussetzer - Testhalber Software 8.0.3(19) auf der ASA eingesetzt --> keine Besserung Problem liegt vermutlich an der ASA, weil der Router zentral eingesetzt wird und zu anderen Standorten keine Probleme bestehen. Problem tritt sporadisch auf, 3x am Tag bis 2x die Woche. Die öffentlichen IP's sind parallel definitiv erreichbar. Im Syslog der ASA mit Version 8.0(4) war zu sehen: ... Tunnel has been torn down Mit Version 8.0.3(19) steht nun: %ASA-7-713906: Group = x.x.x.x, IP = x.x.x.x, IKE SA MM:38aa0e9d terminating: flags 0x0121c006, refcnt 0, tuncnt 0 %ASA-7-713906: Group = x.x.x.x, IP = x.x.x.x, sending delete/delete with reason message %ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing blank hash payload %ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing IKE delete payload %ASA-7-715046: Group = x.x.x.x, IP = x.x.x.x, constructing qm hash payload %ASA-7-713236: IP = x.x.x.x, IKE_DECODE SENDING Message (msgid=519f8536) with payloads : HDR + HASH (8) + DELETE (12) + NONE (0) total length : 80 %ASA-5-713904: IP = x.x.x.x, Received encrypted packet with no matching SA, dropping Anbei die Konfiguration. Hat mir jemand einen Tip? Gruß, Glady konfig.txt

Problem ist gelöst. Der Kunde hat mir ein Ei gelegt. Meine Anweisung war, zieh das Kabel am Router, steck es am NB ein, wähle dich ein. Er hat aber eindere Kabel an's Modem gesteckt... DAS KABEL WAR'S!!! Das Fliederfabene Cisco Original-Kabel wurde an das Fa3 gesteckt. Zwar geht der Port up, funktioniert aber trotzdem nicht. Danke für eure Mithilfe, besonders Wordo, der extra nachgestellt hat! Grüße, Glady

Wordo, erst mal Danke für Deinen Test! Kann das Problem evtl. an der aaa Konfiguration liegen? aaa new-model ! ! aaa authentication login group group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local if-authenticated aaa authorization commands 15 default group tacacs+ local if-authenticated ! ! aaa session-id common tacacs-server host x.x.x.x timeout 2 key 0815

"pppoe-client dial-pool-number 1" steht auf ATM0 nicht mehr, Fehler ist aber immer noch der Gleiche. Wenn das Kabel vom Router augesteckt, auf einem XP-PC eingesteckt wird, funktioniert die PPPOE Einwahl mit den selben Daten wie auf dem Router ohne Probleme. @Wordo Hat vielleicht Dein Kollege nachstellen können?

Soweit komme ich noch gar nicht. Der Router wählt sich nicht per pppoe ins internet ein.

Habe jetzt 12.4.15T8 Adv.IP.Services. Aber leider gleiches Problem. Weiss jetzt nicht mehr weiter... Auszug aktuelle Konfiguration: version 12.4 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers no service dhcp ! boot-start-marker boot-end-marker ! logging buffered 262144 logging rate-limit console 300 no logging console aaa new-model ! ! aaa authentication login group group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local if-authenticated aaa authorization commands 15 default group tacacs+ local if-authenticated ! ! aaa session-id common clock timezone GMT+1 1 clock summer-time GMT+2 recurring last Sun Mar 2:00 last Sun Oct 2:00 ! ! dot11 syslog no ip source-route ip cef ! ! ! ! no ip domain lookup ! multilink bundle-name authenticated vpdn enable ! vpdn-group 1 ! isdn switch-type basic-net3 interface ATM0 no ip address ip mtu 1492 shutdown no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! dsl operating-mode auto hold-queue 224 in ! interface FastEthernet0 description inside switchport access vlan 10 ! interface FastEthernet1 description inside switchport access vlan 10 ! interface FastEthernet2 description inside switchport access vlan 10 ! interface FastEthernet3 description inside switchport access vlan 20 no cdp enable ! interface Vlan1 no ip address ! interface Vlan10 description inside ip address 10.10.10.2 255.255.255.0 no ip redirects no ip proxy-arp ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 key1 ip nat inside ip virtual-reassembly standby 193 ip 10.10.10.1 standby 193 timers 1 3 standby 193 priority 120 standby 193 preempt delay minimum 6 standby 193 authentication md5 key-string 123 ! interface Vlan20 no ip address pppoe enable pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip mtu 1492 encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 priority-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname 123 ppp chap password 123 ppp pap sent-username 123 password 123 dialer-list 1 protocol ip permit no cdp run

Es funktioniert nicht. Ich habe es inzwischen mit einer neuen Software-Version probiert. Der Router baut aifnach keine PPPOE Verbindung auf. Ein PC mit WinXP kann über den selben Anschluss eine PPPOE-Verbindung aufbauen. Hier ein Auzug aus der Konfig: vpdn enable ! vpdn-group 1 interface FastEthernet3 description inside switchport access vlan 20 interface Vlan20 no ip address pppoe-client dial-pool-number 1 interface Dialer1 ip address negotiated ip mtu 1492 encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 priority-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname 123 ppp chap password 123 ppp pap sent-username 123 password 123 sh vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active 10 insside active Fa0, Fa1, Fa2 20 outside active Fa3 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 1002 1003 10 enet 100010 1500 - - - - - 0 0 20 enet 100020 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 1 1003 1003 tr 101003 1500 1005 0 - - srb 1 1002 1004 fdnet 101004 1500 - - 1 ibm - 0 0 1005 trnet 101005 1500 - - 1 ibm - 0 0 Software ist die c870-adventerprisek9-mz.124-22.T.bin Hat mit jemand einen Tip? Hier mal ein Debug Auszug: sh deb PPPoE: PPPoE protocol events debugging is on PPPoE data packets debugging is on PPPoE control packets debugging is on PPPoE protocol errors debugging is on PPPoE elog debugging is on PPP: PPP authentication debugging is on PPP protocol errors debugging is on PPP protocol negotiation debugging is on PPP packet display debugging is on r002ebz# 001366: *Jun 11 10:47:06.775 GMT+2: padi timer expired 001367: *Jun 11 10:47:08.823 GMT+2: padi timer expired 001368: *Jun 11 10:47:10.871 GMT+2: padi timer expired 001369: *Jun 11 10:47:12.919 GMT+2: padi timer expired 001370: *Jun 11 10:47:14.967 GMT+2: padi timer expired 001371: *Jun 11 10:47:17.015 GMT+2: padi timer expired 001372: *Jun 11 10:47:19.063 GMT+2: padi timer expired 001373: *Jun 11 10:47:21.111 GMT+2: padi timer expired 001374: *Jun 11 10:47:23.159 GMT+2: padi timer expired 001375: *Jun 11 10:47:25.207 GMT+2: padi timer expired 001376: *Jun 11 10:47:27.275 GMT+2: padi timer expired 001377: *Jun 11 10:47:29.323 GMT+2: padi timer expired 001378: *Jun 11 10:47:31.371 GMT+2: padi timer expired 001379: *Jun 11 10:47:33.419 GMT+2: padi timer expired 001380: *Jun 11 10:47:35.467 GMT+2: padi timer expired 001381: *Jun 11 10:47:37.259 GMT+2: padi timer expired 001382: *Jun 11 10:47:37.259 GMT+2: Sending PADI: Interface = Vlan20 001383: *Jun 11 10:47:37.259 GMT+2: pppoe_send_padi: FF FF FF FF FF FF 00 1D 70 CD 23 73 88 63 11 09 00 00 00 0C 01 01 00 00 01 03 00 04 85 29 FB 50 ... 001384: *Jun 11 10:47:37.515 GMT+2: padi timer expired 001385: *Jun 11 10:47:39.563 GMT+2: padi timer expired 001386: *Jun 11 10:47:41.611 GMT+2: padi timer expired 001387: *Jun 11 10:47:43.659 GMT+2: padi timer expired

Das habe auch getestet. VLAN 2 angelegt: sh vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0, Fa1, Fa2 2 VLAN0002 active Fa3 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup int fastEthernet 3 switchport access vlan 2 pppoe ? % Unrecognized command Ich sehe nur den Befehl "pppoe-client". Den Befehl "pppoe enable" gibt nicht global, auf dem fastethernet3 und auch nicht im interface vlan2.

Hallo, wie muss die Konfiguration aussehen, wenn ich ein externes DSL-Modem verwenden möchte? Aktuelle Konfiguration: vpdn enable vpdn-group 1 interface ATM0 no ip address ip mtu 1492 load-interval 30 no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! hold-queue 224 in interface Dialer1 ip address negotiated ip access-group internet_in in ip mtu 1492 encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer hold-queue 30 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx ppp chap password xxx ppp pap sent-username xxx password xxx Habe das so versucht: interface FastEthernet3 pppoe-client dial-pool-number 1 interface ATM0 pvc 1/32 no pppoe-client dial-pool-number 1 Hat leider nicht funktioniert. Der Befehl "pppoe eneble" wird auf keinem Interface angenommen. IOS c870-advipservicesk9-mz.124-22.T.bin Gruß, glady