DocZenith 12 Geschrieben 23. Oktober 2009 Melden Teilen Geschrieben 23. Oktober 2009 Servus! Ich stehe hier vor einem Problem. Ich möchte, dass sich ein Peer, der über Dyn. DSL eine öffentl. IP bekommt, auf eine ASA 5510 einwählt. Das funktioniert auch, wenn ich in der ASA das Connection Profile mit der derzeit vergebenen öffentl. IP einrichte. Man hat ja hier auch diem Möglichkeit, keine statische IP einzutragen, das habe ich mit mehreren Kombinationen versucht, leider bisher ohne Erfolg! Folgender Fehler bringt mir die ASA immer: Syslog ID 713902 Group = DefaultRAGroup, IP = A.B.C.D, Removing peer from peer table failed, no match! Die DefaultRAGroup wird aber unter Remote Access VPN eingerichtet und ich denke es müsste eher etwas bei Site-to-Site VPN eingerichtet werden. Hoffe es kann mir jemand einen Tip geben, reiche gerne weitere Config-Parts nach. tunnel-group TEST type ipsec-l2l tunnel-group TEST general-attributes default-group-policy TEST-ABC tunnel-group TEST ipsec-attributes pre-shared-key * peer-id-validate Required group-policy TEST-ABC attributes vpn-filter value outside_cryptomap_dyn_30 vpn-tunnel-protocol IPSec Gruß. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 23. Oktober 2009 Melden Teilen Geschrieben 23. Oktober 2009 Hi, schau dir das hier mal an - da hat der Router ne Dynamische - aber es kann auch eine ASA sein : PIX/ASA 7.x and later : Dynamic IPsec Between a Statically addressed PIX and a Dynamically addressed IOS Router with NAT Configuration Example - Cisco Systems Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 23. Oktober 2009 Melden Teilen Geschrieben 23. Oktober 2009 Hi, schau dir das hier mal an - da hat der Router ne Dynamische - aber es kann auch eine ASA sein : PIX/ASA 7.x and later : Dynamic IPsec Between a Statically addressed PIX and a Dynamically addressed IOS Router with NAT Configuration Example - Cisco Systems Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 24. Oktober 2009 Melden Teilen Geschrieben 24. Oktober 2009 Oder schau hier: PIX/ASA 7.x PIX-to-PIX Dynamic-to-Static IPsec with NAT and VPN Client Configuration Example - Cisco Systems Ich habe zwar im Moment den ASDM zur Hand, jedoch sollte dies auch dort über den Wizzard ohne weiteres möglich sein. Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 30. Oktober 2009 Autor Melden Teilen Geschrieben 30. Oktober 2009 (bearbeitet) Hallo, der Link von Blackbox ist grundsätzlich verständlich. Aber es funktioniert bei meiner ASA leider immer noch nicht :-( Nach wie vor erscheint Group = DefaultRAGroup, IP = a.b.c.d, Removing peer from peer table failed, no match! Es handelt sich um eine ASA5510 mit statischer öffentl. IP und einem Bintec Router mit dynamischer IP. Habe auf der ASA wiefolgt konfiguriert: name 10.200.0.0 aussenstelle ! object-group network DM_INLINE_NETWORK_2 network-object host 10.0.0.138 network-object aussenstelle 255.255.255.0 ! access-list outside_cryptomap_1 extended permit ip any object-group DM_INLINE_NETWORK_2 ! crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES esp-des esp-none crypto ipsec transform-set ESP-3DES esp-3des esp-none crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-DES3 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-DES2 esp-des esp-md5-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac ! crypto dynamic-map MLFK 1 match address outside_cryptomap_1 crypto dynamic-map MLFK 1 set pfs crypto dynamic-map MLFK 1 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto dynamic-map MLFK 1 set security-association lifetime seconds 28800 crypto dynamic-map MLFK 1 set security-association lifetime kilobytes 4608000 crypto dynamic-map MLFK 1 set reverse-route ! crypto map outside_map 1 ipsec-isakmp dynamic MLFK crypto map outside_map interface outside crypto isakmp policy 20 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 ! tunnel-group DefaultL2LGroup ipsec-attributes pre-shared-key * tunnel-group DefaultRAGroup general-attributes authentication-server-group (outside) LOCAL tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * isakmp keepalive threshold 10 retry 2 tunnel-group DefaultWEBVPNGroup general-attributes authentication-server-group (outside) LOCAL tunnel-group DefaultWEBVPNGroup ipsec-attributes pre-shared-key * tunnel-group-map default-group DefaultL2LGroup Übrigens, ASA Version ist 8.0(4), ASDM Version 6.1(3) Vielleicht hat es auch mit diesem hier zu tun, das kommt, wenn ich die Config über asdm einstelle: [OK] access-list outside_cryptomap line 1 extended permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 [WARNING] tunnel-group aussenstelle type ipsec-l2l L2L tunnel-groups that have names which are not an IP address may only be used if the tunnel authentication method is Digitial Certificates and/or The peer is configured to use Aggressive Mode [OK] tunnel-group aussenstelle ipsec-attributes tunnel-group aussenstelle ipsec-attributes [OK] pre-shared-key ********** [OK] isakmp keepalive threshold 10 retry 2 [OK] crypto dynamic-map aussenstelle 1 match address outside_cryptomap [OK] crypto dynamic-map aussenstelle 1 set transform-set ESP-3DES-MD5 [OK] crypto map outside_map0 1 ipsec-isakmp dynamic aussenstelle [OK] crypto map outside_map0 interface outside Das Warning stört mich. Mein Remote Peer hab ich allerdings schon auf aggressive eingestellt. ohne erfolg :-( :-( Hoffe es kann mir noch jemand ein Tipp geben. Gruß. bearbeitet 30. Oktober 2009 von DocZenith Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Hi, ich würde erst mal einen "Site 2 Site" auf basis einer festen IP aufbauen - kannst ja die nehmen die der Bintec dann inne hat - damit sichergestellt ist - das die beiden sich erstmal sauber verstehen (da passen meist die LifeTimes garnicht). Dann kannst du das Debug mal "hochdrehen" auf 255 - damit man mal sieht was da so wirklich losgeht. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 man kann es nicht oft genug sagen, die lifetimes sind das einzige was sich bei einer IPSec verbindung auf den beiden peers unterscheiden DÜRFEN Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Es ist nur sehr seltsam - das wenn man sie nicht "gleich" setzten die Session nicht aufbauen - ich habe div. Sessions gehabt - wo es definitiv mit der ASA einen Aufbau gab - aber als die Time abgelaufen war - meldete die eine Seite alles gut und die andere versuchte neu aufzubauen und es ging nix mehr - vor allem zu Bintec Kisten. Setzt man die Zeiten gleich ist alles gut. Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 31. Oktober 2009 Autor Melden Teilen Geschrieben 31. Oktober 2009 Nabend! Ich habe das Problem gelöst! Es war nicht die LifeTime. Sehr kurios, ich musste auf der ASA unter Site-to-Site VPN im Connection Profil unter Connection Name den selben Namen eintragen, wie auf dem Bintec unter IKE Phase 1 die Local ID. Ist beides identisch, verbindet sich der Bintec mit dyn IP direkt! Mit der PIX war das alles anders... Naja, danke für eure Tipps. Gruß und Happy Halloween. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.