Jump to content
Sign in to follow this  
dormi98

VPN - Cisco - Fortinet - geht nur in eine Richtung

Recommended Posts

Hallo zusammen!

 

Wir haben vor kurzem einen neuen VPN Tunnel zu einer Aussenstelle eingerichtet. In der Zentrale steht eine Fortigate 60 und in der Aussenstelle eine Cisco Pix.

Der Tunnel baut sich einwandfrei auf, auch wenn er durch ein Leitungsproblem (das leider in der Aussenstelle häufig auftritt) unterbrochen wird.

Das Problem ist, dass der Tunnel nur in eine Richtung nutzbar ist. Mitarbeiter aus der Aussenstelle können auf alle Resourcen in der Zentrale zugreifen, sofern sie diese Verbindung inizieren.

Von der Zentrale aus kann ich nicht auf die Aussenstelle zugreifen.

 

Woran könnte das liegen?

 

Ein Config File poste ich sobald ich wieder auf das Gerät komme, dazu muss mir ja jemand aus der Aussenstelle eine Verbindung aufbauen.

Share this post


Link to post
Share on other sites

Danke für die Antwort.

 

Habe noch ein paar mehr infos:

Der PIX in der Aussenstelle ist eine:

PIX 506E

Version: 6.3(4)

 

Bei der Foritnet ist meines Wissens ein Tunnel immer bidirektonal - habe zumindest schon mehrere VPNs mit den unterschiedlichsten Gegenstellen gehabt und nie Probleme in die Richtung. Gibt es bei dieser PIX diese Einstellung?

 

Ich habe jetzt mal die wichtigsten Teile aus der running-config. Den Thread habe ich bereits vor meinem Post gelesen, ich kann das aber ehrlichgesagt nicht auf meinen Fall umsetzen.

 

A = Aussenstelle = x.x.x.x /lokales netz:10.127.1.0/24

Y = Zentrale = y.y.y.y /lokales Netz 10.125.1.0/24

 

Hier mal ein Auszug aus der config

..

access-list inside_outbound_nat0_acl permit ip A 255.255.255.0 10.125.1.0 255.255.255.0

access-list outside_cryptomap_20 permit ip A 255.255.255.0 10.125.1.0 255.255.255.0

access-list inside_access_in remark inout

access-list inside_access_in permit ip any any

access-list outside_access_in permit ip 10.125.1.0 255.255.255.0 A 255.255.255.0

..

Die letzte Zeile habe ich hinzugefügt weil ich dachte das könnte was nutzen - das wars wohl nicht.

 

..

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer y.y.y.y

crypto map outside_map 20 set transform-set ESP-3DES-SHA

crypto map outside_map 20 set security-association lifetime seconds 1800 kilobytes 5120

crypto map outside_map interface outside

crypto map inside_map interface inside

isakmp enable outside

isakmp key ******** address y.y.y.y netmask 255.255.255.255 no-xauth no-config-mode

isakmp log 1

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash sha

isakmp policy 20 group 2

isakmp policy 20 lifetime 28800

..

Share this post


Link to post
Share on other sites
Bei der Foritnet ist meines Wissens ein Tunnel immer bidirektonal - habe zumindest schon mehrere VPNs mit den unterschiedlichsten Gegenstellen gehabt und nie Probleme in die Richtung. Gibt es bei dieser PIX diese Einstellung?

 

Nein, bei der PIX hat man die Option meines Wissens nach auch nicht, erst ab der ASA.

 

Was sagt denn das logging? Kommen Pakete auf der PIX an, oder werden die schon in der Zentrale geblockt/verworfen?

Share this post


Link to post
Share on other sites

So, wir haben das Problem nach Stunden nun gelöst.

Das Problem lag auf der Seite der Fortinet. Dort muss in der Policy abgesehen vom Zielnetz auch der Tunnel angegeben werden, der verwendet werden soll. Hier war ein alter Eintrag drin. Zusätzliche Probleme hat hier ein offensichlicher Bug verursacht. Genau dieser der Teil wurde im Webinterface nicht angezeigt. Erst nachdem wir den eintrag über die Konsole verändert haben war er im Webinterface auch zu sehen bzw. zu ändern.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...