Jump to content
Sign in to follow this  
luckystrike04

Probleme mit Site-to-Site-Tunnel

Recommended Posts

Hallo zusammen,

 

ich habe ein Problem beim Aufbau eines IPSec-Tunnels zwischen zwei ASA5505.

 

Habe das bisher schon mehrmals erfolgreich konfiguriert.

Aber diesmal schießt irgendetwas quer.

 

Der Tunnel wird einfach nicht aufgebaut.

 

Der Tunnel wird via VPN-Wizard konfiguriert.

Die Parameter wurden mehrfach auf Richtigkeit überprüft.

 

Sobald ich vom internen Netz hinter ASA1 auf eine Ressource im internen Netz hinter ASA2 zugreifen will passiert nichts.

 

In den Syslog-Messages sehe ich keinerlei Meldungen zum Tunnelaufbau sondern nur, dass mein Paket von der ACL denied wurde.

 

Die betreffenden Pakete werden also wohl gar nicht als "tunnelrelevant" angesehen.

 

Hier mal ein kurzer Auszug aus der Konfiguration von ASA1:

 

...

access-list outside_2_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.178.0 255.255.255.0

...

nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static

NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24

...

crypto map outside_map 2 match address outside_2_cryptomap

crypto map outside_map 2 set pfs group1

crypto map outside_map 2 set peer xxx.xxx.xxx.xxx

crypto map outside_map 2 set transform-set ESP-AES-256-SHA

...

 

Woran kann das liegen, dass die betreffenden Pakete nicht den Tunnelaufbau initiieren?

 

Viele Grüße

Christoph

Share this post


Link to post

die lange nat wurst schaut komisch aus, 8,3 ?

 

Ansonsten ->debugs anwerfen, wenn möglich encryption nullen und so auch am outside mitschnüffeln können.

Share this post


Link to post

Hi,

 

schau mal - was der unter den NAT Rules gemacht hat. Beim 8.3er Software hängt er die Rules immer unten an - ggf. hast du weiter oben eine NAT Rule - die falsch natted.

Share this post


Link to post

was sagen eigentlich deine debugs:

 

debug cry isakmp 255

debug cry ipsec 255

 

und prüf mal bitte folgendes:

 

crypto map outside_map interface outside

Share this post


Link to post

So, wieder da.

 

Also ich musste jetzt (aus Termingründen) eine schnelle Lösung finden.

Ich habe die ASA auf die Version 7.2 downgegradet, sie dann konfiguriert (inkl. funktinierendem VPN) und sie anschließend wieder auf Version 8.3 upgegradet.

Und dann hats funktioniert.

 

Ich habe dann mal die beiden unterschiedlichen NAT-Konfigurationen verglichen:

 

Auf 8.3 konfiguriert(ASDM) (funktioniert nicht):

 

nat (inside,outside) source static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 destination static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24

 

 

Auf 7.2 konfiguriert(ASDM) und anschließend auf 8.3 upgegradet (funktioniert):

 

nat (inside,any) source static obj-192.168.178.0 obj-192.168.178.0 destination static obj-192.168.100.0 obj-192.168.100.0

 

Ich werde die Tage weiter dranbleiben und an einer neuen ASA eure debug-tipps testen.

 

Viele Grüße

Share this post


Link to post

vorrausgesetzt das in den objekten das gleiche definiert ist, ist das NAT eh gleich...bis auf die Tastache das bei einem inside,outside und beim anderen inside,any steht, wo terminiert denn das VPN ?

 

Aus termingründen sotware rauf und runter zu graden ist übrigens keine gute Idee, schon garnicht wenn sich wie bei 8.3 mal eben das NAT Konzept komplett umkrempelt. Prinzipiell gilt, selbst wenn man die Realease Notes auswendig kann, man kann nie wissen was passiert bis man es tatsächlich durchgeführt hat

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...