Hindin 10 Geschrieben 18. Oktober 2008 Melden Teilen Geschrieben 18. Oktober 2008 Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr. Folgende Konfiguration: Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP. Zweigstelle: Draytek 2910 / dynamische WAN IP. Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert. Mit folgender Config: sysopt connection permit-ipsec crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set myset crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5 crypto map mymap 10 ipsec-isakmp dynamic dynmap crypto map mymap 20 ipsec-isakmp dynamic dynmap2 crypto map mymap interface outside isakmp enable outside isakmp key ******** address 0.0.0.0 netmask 0.0.0.0 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 20 authentication pre-share isakmp policy 20 encryption des isakmp policy 20 hash md5 isakmp policy 20 group 1 isakmp policy 20 lifetime 28800 Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr. Folgende Config ist in der ASA aktiv: crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set myset crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5 crypto map mymap 10 ipsec-isakmp dynamic dynmap crypto map mymap 20 ipsec-isakmp dynamic dynmap2 crypto map mymap interface outside crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 crypto isakmp policy 20 authentication pre-share encryption des hash md5 group 2 lifetime 28800 tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key * Im Syslog werden folgende Einträge angezeigt: %ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch %ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0 %ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match! %ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)! %ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable! %ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED %ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup %ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes %ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen???? Zitieren Link zu diesem Kommentar
makana 10 Geschrieben 21. Oktober 2008 Melden Teilen Geschrieben 21. Oktober 2008 Also viel kann man aus der konfig nicht entnehmen aber ich den mal die Fehlermeldung im Log deutet darauf hin das die porbolas nicht über einstimmen- 1. hast du beim kopieren der konig den preyshared key als zeichefolge rein geschrieben denn in der konfig steht er ja nur als "*" 2. würde ich sagen fehlt meiner Meinung noch die zeile "crypto isakmp nat-traversal 30" 3. ein crypto map müste in etwa so ausschauen crypto map outside_map 1 match address outside_1_cryptomap crypto map outside_map 1 set peer xxx.xxx.xxx.xxx crypto map outside_map 1 set transform-set ESP-AES-256-MD5 und dann überprüfe mal bitte dein Nat regeln bzw die expt nat Regeln access-list inside_nat0_outbound extended permit ip "source-netz" "dest-netz" 255.255.255.0 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 oder poste mal bitte die ganze config komplett Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.