Jump to content
Sign in to follow this  
-TylerDurden-

VPN-Tunnel IOS-Fortigate wird nur von einer Seite aufgebaut

Recommended Posts

Guten Morgen lieben Community,

 

folgende Gegebenheiten:

 

- Anforderung: VPN-Tunnel zw. CISCO 2800 Router(Wir) mit IOS 12.4(3a) und Fortinet Fortigate 60(Dienstleister) mit PSK

- Konfiguration bzgl. Encr., Hash, PSK abgeglichen auf beiden Seiten

- Phase 1-ISAKMP-SA wird ohne Probleme aufgebaut

- Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird(Ping auf einen Host in unserem LAN). Dann steht der Tunnel aber und von beiden Seiten aus können Pakete versendet werden.

- Auf den Router der Gegenstelle habe ich leider keinen Zugriff

- Folgend die Konfigurationseinstellen auf dem CISCO:

 

crypto isakmp policy 1

Hier andere Verfahren für andere VPN-Verbindungen

crypto isakmp policy 2

Hier andere Verfahren für andere VPN-Verbindungen

crypto isakmp policy 3

Hier die Verfahren nach Vorgabe des DL

encr 3des

hash md5

authentication pre-share

group 2

lifetime 8640

 

crypto isakmp key Übereinstimmender-PSK address IP des DL no-xauth

crypto isakmp keepalive 60 periodic

crypto isakmp nat keepalive 20

 

crypto ipsec transform-set ts-3des-md5 esp-3des esp-md5-hmac

crypto ipsec df-bit clear

 

crypto dynamic-map vpn-clients-map 1

Für unsere VPN-Clients

set ip access-group 103 out

set transform-set XXX

 

crypto map vpn-tunnel 6 ipsec-isakmp

description vpn-Dienstleister

set peer IP des DL

set security-association lifetime seconds 8640

set transform-set ts-3des-md5

match address 115

 

interface FastEthernet0/1

bandwidth 4000

ip address unsere öffentliche IP

ip access-group 100 in

ip access-group 101 out

ip nbar protocol-discovery

load-interval 30

duplex auto

speed auto

crypto map vpn-tunnel

service-policy output FORWARD

 

access-list 115 permit ip unser Netz 0.0.255.255 Netz DL 0.0.0.255

 

 

Anbei die Debug-Meldungen von

Cryptographic Subsystem:

Crypto ISAKMP debugging is on

Crypto Engine debugging is on

Crypto IPSEC debugging is on

Crypto IPSEC Error debugging is on

 

nach einem PING auf eine IP im DL-Netz.

 

und die Ausgabe von show crypto ipsec sa

 

Danke im Voraus für eure Hilfe und Gruß,

 

Stefan

Share this post


Link to post
Share on other sites

Wo ist denn die Frage? Du willst auch von dir aus das VPN initiieren koennen? Setz mal die isakmp policy vom DL auf 1 und nicht 3. Vielleicht blockt der ab wenn du erst mit was anderem kommst.

Share this post


Link to post
Share on other sites

Hallo Wordo,

 

danke für deine Antwort.

 

"Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird"...dies ist das Problem.

 

Die crypto isakmp policys sind doch nur für Phase1, die ja erfolgreich abgeschlossen wird, richtig??

Share this post


Link to post
Share on other sites

@ Wordo: Müsste die Konfig also so aussehen? War nicht kleinerer Index auch höhere Priorität?

 

crypto map vpn-tunnel 6 ipsec-isakmp

description vpn-Dienstleister

set peer IP des DL

set security-association lifetime seconds 8640

set transform-set ts-3des-md5

match address 115

 

crypto dynamic-map vpn-clients-map 10

Für unsere VPN-Clients

set ip access-group 103 out

set transform-set XXX

 

@ Lian: Sorry! Hab's geändert.

output-debug-crypto.txt

output-sh-crypto-session-sa.txt

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...