Jump to content

Site-to-Site - IPSec tunnel


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin Moin,

Ich versuche zwischen einem C6506(mit VPN Modul) und einer PIX501 einen Site-to-Site IPSec Tunnel aufzubauen.

 

Es funktioniert soweit bis auf daß ich keinen ping durchbekomme und komische state auf der Switch-Seite habe!

Sobal ich versuche intersting traffic zu erzeugen, bekomme ich auf mit dem command "sho cry isa sa" auf beiden Seiten die folgenden Medlungen:

 

PIX state: QM_IDLE

Switch state:CONF_ADDR

 

 

was bedeutet eigentlich state "CONF_ADDR" und woran könnte es liegen?

 

Hoffe, hat man sowas gesehen hat!

 

Danke im voraus

 

Grüsse

Link zu diesem Kommentar

Erstmal danke für die Antworten!

 

Hier mal die config:

 

PIX:

 

access-list noNAT permit ip 192.168.1.0 255.255.255.0 10.16.0.0 255.255.0.0

sysopt connection permit-ipsec

crypto ipsec transform-set policy1 esp-3des esp-md5-hmac

crypto map cisco 10 ipsec-isakmp

crypto map cisco 10 match address noNAT

crypto map cisco 10 set peer x.x.x.x

crypto map cisco 10 set transform-set policy1

crypto map cisco interface outside

isakmp enable outside

isakmp key *********** address x.x.x.x netmask 255.255.255.255 no-xauth no-config-mode

isakmp identity address

isakmp policy 1 authentication pre-share

isakmp policy 1 encryption 3des

isakmp policy 1 hash md5

isakmp policy 1 group 2

isakmp policy 1 lifetime 86400

 

 

 

C6506 config:

 

aaa new-model

aaa authentication login default local

aaa authentication login sdm_vpn_xauth_ml_1 local

aaa authorization exec default local

aaa authorization network sdm_vpn_group_ml_1 local

 

 

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

 

 

crypto isakmp key plazamedia address Y.Y.Y.Y no-xauth

crypto isakmp keepalive 30 5

!

crypto isakmp client configuration group test

key ********

pool SDM_POOL_1

netmask 255.255.255.0

 

crypto ipsec transform-set policy1 esp-3des esp-md5-hmac

 

crypto dynamic-map SDM_DYNMAP_1 1

set transform-set policy1

reverse-route

 

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

crypto map SDM_CMAP_1 client configuration address respond

crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1

 

crypto map SDM_CMAP_1 10 ipsec-isakmp

set peer Y.Y.Y.Y

set transform-set policy1

match address 100

 

interface vlan 35

description [ outside - Internet ]

crypto map SDM_CMAP_1

 

 

ip local pool SDM_POOL_1 192.168.1.1 192.168.1.100

access-list 100 permit ip 10.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255

 

 

Ich möchte dass, der Catalyst6506 als VPN Remote Access Server und auch Site-to-Site macht aber das tut er anscheinend nicht!!! hab ich da was übersehen oder fehlt irgendwas noch in der config??

 

mit der o. g. config funktioniert VPN Remote Access ohne Problem aber L2L nicht und bekomme als status "CONF_ADDR" mit sho cry isa sa.

Wenn ich aber die folgenden 3 Zeilen von der config rausnehme, funktioniert L2L aber Remote Access nicht mehr:

 

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1

crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1

crypto map SDM_CMAP_1 client configuration address respond

 

 

Wie läßt sich sowas konfigurieren, sodass ich mich über Cisco VPN Client auf den C6506 verbinden kann und er auch als peer eine L2L VPN Verbindung aufbauen kann?

 

was ist der zusammenhang der 3 Zeilen mit Site-to-Site tunnel? Ich dachte, die sind nur für die VPN Clients!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...