schlompf 10 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 Zuerst mal hallo zusammen, Ich habe nun schon viel hier im Forum gelesen und möcht euch für die führung dieses Forums Danken, ist wirklich sehr hilfreich. :jau: Ich bin leider was Cisco betrift ein absoluter IT neuling. Deshalb hoffe ich jemand kann mir bei meinem Problem weiterhelfen. Mein Probelm: Bis jetzt hatte ich eine Kerio WinRoute Firewall im einsatz, lief Problemlos. Leider unterstützt diese aber keine VPN Verbindungen von einem Mac OS X. Deshalb haben wir eine ASA 5510 "8.0(3)6" zugelegt. Die ganzen Routings konnte ich relativ schnell einrichten, aber die VPN kriege ich einfach nicht zu laufen. Ich habe 2 Interfaces konfiguriert, ein Internes und Ein externes. Das ziel währe, dass man über VPN vollen zugang auf das Intern Netz bekommt. Aber selbst über den Wizzard des ASDM 6.0(3) kriege ich dies nicht zu laufen. Kann mir jemand von euch einen Tip geben, wie ich dies am besten angehe, oder wo ich allenfalls eine Dokumentation finde, die mir dies erklärt? Auf der Cisco seite hab ich bis jetzt nichts hilfreiches gefunden. Ich danke euch jetzt schon für eure hilfe. Gruss Schlompf Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 ich glaube fast das du uns verraten musst welches VPN :D Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 11. Juli 2008 Autor Melden Teilen Geschrieben 11. Juli 2008 Wow, dies ging ja schnell... Tschuldigung, hab ich vergessen. :suspect: Ich möchte ein Remote Access Vpn IPsec aufbauen, damit ich am schluss über den Cisco VPN client so wohl von einem Mac wie auch von einem Win PC darauf zu greiffen kann. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 Also mit dem Wizard vom ASDM klappt das reibungslos! Poste doch mal die Konfiguration, und was fuer Fehler bekommst du denn beim Einwahlversuch? Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 11. Juli 2008 Autor Melden Teilen Geschrieben 11. Juli 2008 Hallo, Das Teil hat mich heute morgen so gefrustet, dass ich es geresetet habe, somit steht meine momentane config quasi bei 0. Dachte es hilft evt. mal ganz von vorn zu beginnen. Aber kannst du mir sagen wo ich die komplette konfig ausgeben kann um sie hier mal zu posten? Sorry, wie schon erwähnt kenne ich mich mit dem Cisco noch nicht so aus. Was ich bis jetzt gemacht habe: Hab den Startup Wizzard laufen gelassen und hab da wieder die 2 Interfaces erstellt, Inside und Outside. Wobei das Inside netz vollen zugriff auf das ouside netz hat. (internet zugang) Nun hab ich den VPN Ipsec Wizzard laufen gelassen und dies ist mein momentaner Stand. – Hab noch was interessantes... Wenn ich mich mit dem Tool shimo mit dem server verbinde funktioniert die verbindung, ich bekomme eine IP usw. Leider habe ich dann aber immer noch kein zugriff auf das Inside netzwerk. Wenn ich das richtig begriffen habe muss ich da aber die Nat entsprechend einstellen. kann mir einer sagen was ich da alles einstellen muss? und kann sich jemand erklären, wieso ich mit dem shimo eine verbindung aufbauen kann und mit dem cisco nicht? das shimo tool greifft ja auf die einstellungen des cisco zu? :confused: versteh ich nicht... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 Im ASDM auf "File" und dann "Show Running Configuration .... " Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 11. Juli 2008 Autor Melden Teilen Geschrieben 11. Juli 2008 Danke... (tut mir leid, wenn ich wohl zum teil etwas stupide fragen stelle) Also meine config teil1: : Saved : ASA Version 8.0(3)6 ! hostname firewall domain-name firewall.auviso.local enable password XXXXXXXX encrypted passwd XXXXXXXXXX encrypted names name 192.168.10.11 Outside ! interface Ethernet0/0 nameif Outside security-level 0 ip address dhcp setroute ! interface Ethernet0/1 nameif Inside security-level 100 ip address 192.168.0.6 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! ftp mode passive dns server-group DefaultDNS domain-name firewall.auviso.local same-security-traffic permit intra-interface access-list AuvisoVPN_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0 access-list AuvisoVPN_splitTunnelAcl standard permit host Outside pager lines 24 logging enable logging asdm informational mtu management 1500 mtu Inside 1500 mtu Outside 1500 ip local pool IP_Pool 192.168.100.1-192.168.100.255 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-603.bin no asdm history enable arp timeout 14400 nat-control global (Outside) 1 interface nat (Inside) 1 0.0.0.0 0.0.0.0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 11. Juli 2008 Autor Melden Teilen Geschrieben 11. Juli 2008 und teil 2: threat-detection basic-threat threat-detection statistics access-list webvpn group-policy AuvisoVPN internal group-policy AuvisoVPN attributes vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value AuvisoVPN_splitTunnelAcl username fhaefliger password 9QZXSGAWopYwpxaT encrypted privilege 0 username fhaefliger attributes vpn-group-policy AuvisoVPN tunnel-group AuvisoVPN type remote-access tunnel-group AuvisoVPN general-attributes address-pool IP_Pool default-group-policy AuvisoVPN tunnel-group AuvisoVPN ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:d19b5a6b89243f6e2967039729809599 : end asdm image disk0:/asdm-603.bin asdm location Outside 255.255.255.255 Inside no asdm history enable Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 Und was passiert wenn du dich verbindest? Aktivier mal das Debugging im ASDM .. da wird ziemlich viel ausgespuckt. Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 11. Juli 2008 Autor Melden Teilen Geschrieben 11. Juli 2008 Er sagt mir immer no Translation Group found for tcp src Outside: 192.168.100.1/50399 dst Inside: 192.168.0.3/443 Wie erstelle ich eine Translation Group? ist damit ein normales NAT gemeint? Danke für deine Mühe... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 D.h. du kannst dich mit dem VPN einwaehlen, aber du kannst im VPN niemanden erreichen? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 11. Juli 2008 Melden Teilen Geschrieben 11. Juli 2008 Hi, ich würde sagen die NAT-Exempt Rule fehlt, das er zwischen den beiden 192er Netzen nicht NATen soll. Gehe mal in den ASDM - unter den Bereich Firewall - da findest du NAT. Dort eine NAT Exempt RUle hinzufügen auf das Inside Interface. Dort auf Source das Inside und auf Destination das 192.168.100.0/24 eintragen - alles andere so lassen wie es ist. Dann sollte er in der Config unter anderem sowas wie "nat (inside) 0 access-list inside_nat0_outbound " hinzufügen und noch ne Access-Liste. Habe es extra mal als "ASDM" ToDo geschrieben, da du ja mit dem Command Line noch nicht so fit bist. Test mal... Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 14. Juli 2008 Autor Melden Teilen Geschrieben 14. Juli 2008 Hoffe ihr hattet auch ein schönes Weekend. Hab mich jetzt heute mit neuem eifer wieder an die ASA gesetzt. Hab bei der NAT die Exempt Rule eingefügt, wie empfohlen. Ausserdem hab ich eine Access Rule im Inside Interface mit Source Inside/24 und Destination 192.168.100.0/24 erstellt Service mal mit IP auf Permit. Hoffe dass das richtig ist so... Leider geht aber noch nicht viel mehr. Im debugg sind jetzt keine fehler mehr zu sehen von wegen Transition Group fehlt, aber erreichen kann ich immer noch keinen Rechner im Inside netzwerk. Ich hoffe ihr habt noch eine Idee was ich noch probieren kann. :confused: Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Juli 2008 Melden Teilen Geschrieben 14. Juli 2008 "route print" und "ipconfig /all" vom Client posten (nach der VPN-Einwahl) Zitieren Link zu diesem Kommentar
schlompf 10 Geschrieben 14. Juli 2008 Autor Melden Teilen Geschrieben 14. Juli 2008 C:\>ipconfig /all Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : LENOVO-D9E9FE8E Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung: Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Beschreibung. . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet Physikalische Adresse . . . . . . : 00-16-36-53-F0-18 PPP-Adapter 3G Connection: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-45-00-00-00 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.205.93.207 Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 10.205.93.207 DNS-Server. . . . . . . . . . . . : 194.230.1.103 194.230.1.71 Primärer WINS-Server. . . . . . . : 10.11.12.13 Sekundärer WINS-Server. . . . . . : 10.11.12.14 NetBIOS über TCP/IP . . . . . . . : Deaktiviert Ethernetadapter LAN-Verbindung 3: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.100.1 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : – C:\>route print =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 16 36 53 f0 18 ...... Broadcom NetXtreme Gigabit Ethernet - Paketplane r-Miniport 0x20005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x20006 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Paketplaner-Mini port =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 10.205.93.207 10.205.93.207 1 10.205.93.207 255.255.255.255 127.0.0.1 127.0.0.1 50 10.255.255.255 255.255.255.255 10.205.93.207 10.205.93.207 50 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.100.2 192.168.100.1 1 192.168.10.11 255.255.255.255 192.168.100.2 192.168.100.1 1 192.168.100.0 255.255.255.0 192.168.100.1 192.168.100.1 30 192.168.100.1 255.255.255.255 127.0.0.1 127.0.0.1 30 192.168.100.255 255.255.255.255 192.168.100.1 192.168.100.1 30 194.158.240.85 255.255.255.255 10.205.93.207 10.205.93.207 1 224.0.0.0 240.0.0.0 192.168.100.1 192.168.100.1 30 224.0.0.0 240.0.0.0 10.205.93.207 10.205.93.207 1 255.255.255.255 255.255.255.255 10.205.93.207 2 1 255.255.255.255 255.255.255.255 10.205.93.207 10.205.93.207 1 255.255.255.255 255.255.255.255 192.168.100.1 192.168.100.1 1 Standardgateway: 10.205.93.207 =========================================================================== Ständige Routen: Keine – Das kam bei den beiden Befehlen raus. (auf dem Client). Hoffe die sagen dir mehr als mir...:confused: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.