Jump to content

L2TP und ASA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich muss auf unserer ASA, L2TP over IPSEc einrichten. Dabei habe ich mich an das sample L2TP Over IPsec Between Windows 2000/XP PC and PIX/ASA 7.2 Using Pre-shared Key Configuration Example - Cisco Systems gehalten. Leider funktioniert´s nicht ganz.

 

Die Pase 1 wird noch als completed gemeldet, doch dann erhalte ich den syslog 713177:

Error Message %PIX|ASA-6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address, Protocol protocol, Port port

Explanation A Phase 2 ID payload containing an FQDN has been received from the peer.

Recommended Action None required. [/b]

 

Anschließend kommt die Meldung:

%PIX|ASA-3-713902 descriptive_event_string

This system log message could have several possible text strings describing an error. This may be the result of a configuration error either on the headend or remote access client.

 

 

Da der FQDN aber nicht offiziell ist, habe ich bei den IKE Parameters die Option "Identity to be sent to Peer: address" gewählt, was auch bei den IPSec-Clients bestens funktioniert. Da dies eine globale Einstellung ist, wundert es mich sehr, dass bei L2TP over IPSec die ASA den FQDN erhält.

 

 

Habt ihr ne Ahnung, an was das liegen könnte?

Link zu diesem Kommentar

hi hegl,

 

bist Du gezwungen worden das zu konfigurieren oder machst Du das

freiwillig ? :D

 

Egal: FQDN sollte eigendlich nicht abgefragt werden !

 

Daher scheint das Problem schon ernster.

Hast Du denn die ganzen Registry Einstellungen für den Client (Windoofs)

gemacht ?

Die sind auf jeden Fall genau (peinlichst genau) zu machen, sonst geht nix.

Ich habe eine Konfiguration im Feld mit L2TPoIPSec welche "Gott sei Dank"

läuft. Unter Version 7.2.2 recht stabil !

Hast Du auf die "crypto map" geachtet ?

Habe sowohl in der dynmap den L2TP ganz am Ende (highest ID) als wie in der gebundenen map am Interface (outside) auch.

Ohne dem, ist es damals auch nicht gegangen.

Die einzelnen Fhler jedoch habe ich nicht mehr auf dem Schirm, welche mir dabei über den Weg gelaufen sind !

 

Notfalls teste ruhig mal "crypto isakmp identity auto" !

 

Und mach mal nen "debug crypto ipsec 7"

oder gleich die "debug crypto ipsec 100"

 

 

Greez

 

Mr. Oiso

Link zu diesem Kommentar
hi hegl,

 

bist Du gezwungen worden das zu konfigurieren oder machst Du das

freiwillig ? :D

 

gezwungen...

 

Hast Du denn die ganzen Registry Einstellungen für den Client (Windoofs) gemacht ?

Die sind auf jeden Fall genau (peinlichst genau) zu machen, sonst geht nix.

 

Ich denke bei XP hat sich das mit der Registry erübrigt!?

 

Hast Du auf die "crypto map" geachtet ?

Habe sowohl in der dynmap den L2TP ganz am Ende (highest ID) als wie in der gebundenen map am Interface (outside) auch.

Ohne dem, ist es damals auch nicht gegangen..

 

Verstehe ich nicht ganz: highest ID habe ich, weil ich die gleiche map, wie die für IPSec verwende. Oder ist hier bereits dann der Hund begraben und ich muss eine extra map konfigurieren? Was meinst Du mit "als wie in der gebundenen map am Interface (outside) auch"

 

Und mach mal nen "debug crypto ipsec 7"

oder gleich die "debug crypto ipsec 100"..

 

Mache ich am Montag, die können mich jetzt alles mal :p

 

Schon mal besten Dank für die Hinweise.

Link zu diesem Kommentar

Habe es doch noch mal eben mit den Registry-Einträgen probiert, weil die bei meinem XP-System nicht vorhanden waren. Jetzt scheinen gar keine Anfragen mehr bis zur ASA (Version 8.0.2) durchzukommen. Auf der ASA sehe ich jedenfalls nichts und der Client steht so ne halbe Minute bei "Verbindung wird hergestellt mit xxxx" und bricht dann ab.

 

Na ja, kommt Zeit, kommt Overath :D:D:D

Link zu diesem Kommentar
Ach, bei XP ist das so n hin und her mit Service Pack etc.

Wenn dus auch mit nem Client ohne NAT versuchen kannst waers nicht schlecht. L2TP/IPSec macht hin und wieder Aerger mit PSK statt Zertifikat.

 

Mit ner öffentlichen IP direkt auf der Providerstandleitung klappts auch ned :confused:

 

Fehler 678: Der Remotecomputer antwortet nicht!

Link zu diesem Kommentar
Ja ... wahrscheinlich weil du dir in der Reg was zerschossen hast. Rueckgaengig machen, Sniffer installieren, nochmal probieren .. (und Reboot is auch nie verkehrt)

 

Wieder der alte Zustand mit den ersten Fehlermeldungen. Im wireshark sehe ich als letztes ISAKMP Identy Protection (Main Mode) , dann versucht der Client den Quick Mode worauf die ASA mit zwei ISAKMP Informational antwortet. Aber hier ist nichts weiter zu entnehmen :mad:

Link zu diesem Kommentar
Ich find seit ASA 8 machts mit CLI keinen Spass mehr wenn du was mit WebVPN machen musst. Dauernd exportieren und importieren, und mit "sh run" hast keinen Ueberblick.

 

Ich mache mittlerweile auch fast alles über den ASDM, vergesse aber immer den Wizzard :rolleyes:

 

Wenigstens is der ASDM stabiler als der SDM :D

 

SDM oder PDM habe ich nie genutzt.

 

Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig :confused:

 

Bleibt mir wohl nichts anderes übrig, als mal einen Spezi einzukaufen...

...und das für wahrscheinlich 5 Minuten Arbeit.

Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig :confused:

 

Kommando zurück! Beim Entfernen der über den ASDM konfigurierten comamnds sind wohl irgendwelche Dinge nicht wieder sauber rausgeschmissen worden. Nach Wiederherstellung der vorher laufenden conf und Konfiguration des L2TP-Tunnels mit dem Wizzard funzt der Tunnel :)

 

Einziges manuelles Eingreifen war noch das Deaktivieren von PFS.

Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"...

 

...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht. :confused::confused::confused:

 

Habt Ihr eine Idee?

Warum wird das immer hinten dran geschrieben???

Link zu diesem Kommentar

Ich eröffne den Thread http://www.mcseboard.de/cisco-forum-allgemein-38/l2tp-asa-2-133173.html hier noch mal neu, da meine neuen Infos immer hinten dran gehangen werden und man nicht sieht, dass was Neues dazu gekommen ist. Also:

 

Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"...

 

...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht.

 

Habt Ihr eine Idee?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...