Jump to content

Pix 506 Remote Vpn


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

HI

 

hab mal versucht Testweise einen VPN aufzubauen über den Cisco VPNCLient, leider ohne Erfolg bekomme imer die Meldung:

 

ISAKMP malformed payload received

 

hab mir schon die Messages auf der Cisco Seite angekuckt und auch den Presharred key geändert leider ohne Erfolge.

 

Mit der Suchfunktion hab ich leider keine Lösung gefunden.

 

702206

 

Error Message %PIX-7-702206: ISAKMP malformed payload received (local <ip>

(initiator|responder), remote <ip>)

 

Explanation ISAKMP received an illegal or malformed message. May indicate an out of sync problem with the remote peer, a problem decrypting a message, or a message received out of order.

 

Recommended Action If using preshared key, verify local preshared key is configured correctly on local and remote device. Check local and remote configuration, additional troubleshooting may be required if SA fails to come up.

 

Hier die VPN Konfig

 

ip local pool beckft 172.16.87.1-172.16.87.10 mask 255.255.255.0

access-l VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0

access-l beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0

 

 

 

vpngroup beckft password password

vpngroup beckft address-pool beckft

vpngroup beckft split-tunnel beckft

vpngroup beckft idle-time 1800

 

mfg

 

onedread

Link zu diesem Kommentar

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 set peer XXX

crypto map outside_map 20 set transform-set ESP-3DES-MD5

! Incomplete

crypto map outside_map interface outside

isakmp key ******** address XXX netmask 255.255.255.255 no-xauth no-config-mode

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash md5

isakmp policy 30 group 2

isakmp policy 30 lifetime 86400

Link zu diesem Kommentar
HI

 

so ich kann nun den Tunnel aufmachen bekomme auch eine IP und die dynamische ACl wird auch angelegt.

 

Nur kann ich auf keine Ressource im Netzwerk zugreifen.

 

hab auch noch nat (inside) 0 access-l VPN_NO_NAT gemacht.

 

aber es ist kein Traffic möglich.

 

ciao

onedread

 

Wie sieht die ACL denn aus? Gebe doch mal bitte alle notwendigen configs an, dass macht die Sache um einiges leichter!

Link zu diesem Kommentar

access-list VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0

access-list beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0

nat (inside) 0 access-list VPN_NO_NAT

 

 

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

<--- More --->

 

crypto dynamic-map dyn-beckft 10 set transform-set ESP-3DES-MD5

crypto map outside_map 10 ipsec-isakmp dynamic dyn-beckft

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 set peer XXX

crypto map outside_map 20 set transform-set ESP-3DES-MD5

! Incomplete

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address XXXX netmask 255.255.255.255 no-xauth no-config-mode

isakmp nat-traversal 20

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash sha

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash md5

isakmp policy 30 group 2

isakmp policy 30 lifetime 86400

vpngroup beckft address-pool beckft

vpngroup beckft split-tunnel beckft

vpngroup beckft idle-time 1800

vpngroup beckft password ********

 

Zur Info der statische site to site Tunnel ist nicht mehr aktiv.

 

Achja noch ne Frage auf Der Pix ist ein vpdn konfiguirert mit pppoe für einen adsl anschluss gibt es einen Befehl wo ich den ADSL Tunnel sagen kann das er sich connecten soll?

 

thx

 

onedread

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...