hegl 10 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 Ich muss einige Aussenstellen an unsere LAN anbinden. Da ich nicht so der Router-Experte bin, mache ich das lieber mit der ASA. Für die Aussenstellen habe ich ´ne ASA 5505, Version 8.0.4; in der Zentrale ´ne 5520 mit Version 8.0.3 Problem ist folgendes: Versuche ich von einem Host hinter dem Remote Peer eine Verbindung aufzubauen (ping), erhalte ich auf der zentralen ASA die syslog-message 713061: 3 Mar 25 2009 08:57:51 713061 Group = Remote Peer IP, IP = Remote Peer IP, , Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy LAN-IP/255.255.255.128/0/0 on interface outside Erklärung lt. CISCO: %PIX|ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src:source_address, Dst: dest_address! This message indicates that the security appliance was not able to find security policy information for the private networks or hosts indicated in the message. These networks or hosts were sent by the initiator and do not match any crypto ACLs at the security appliance. This is most likely a misconfiguration. Setze ich den ping von einem Host im LAN zu einem Host in der Aussenstelle ab, kommt der Tunnel jedoch hoch.:confused::confused::confused: Beide Seiten sind beim connection type auf bidirectional konfiguriert. Was ist hier falsch? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 Hast du auf beiden Seiten feste IP´s - mich wunder das 0.0.0.0 - das sieht so aus, als wenn er bei der ankommenden Session nicht das passende IPSec dafür findet und nach einem sucht was auf "alles" steht. Hast du ein wenig mehr Infos zu den Config´s ? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 26. März 2009 Autor Melden Teilen Geschrieben 26. März 2009 Hast du auf beiden Seiten feste IP´s - mich wunder das 0.0.0.0 - das sieht so aus, als wenn er bei der ankommenden Session nicht das passende IPSec dafür findet und nach einem sucht was auf "alles" steht. Hast du ein wenig mehr Infos zu den Config´s ? Jo, mich hat das mit dem 0.0.0.0 auch gewundert und habe darüber auch die Lösung gefunden: ich hatte auf der Aussenstelle, da es nur ein Netz ist, in der crypto ACL any angegeben, anstatt inside-LAN. In der ACL in der Zentrale musste ich ja zwangsläufig das Remote-LAN explizit angeben, was sich dann gebissen hat. Letztlich ein sau****er Anfängerfehler. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.