Jump to content

Probleme mit Site-to-Site-Tunnel


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe ein Problem beim Aufbau eines IPSec-Tunnels zwischen zwei ASA5505.

 

Habe das bisher schon mehrmals erfolgreich konfiguriert.

Aber diesmal schießt irgendetwas quer.

 

Der Tunnel wird einfach nicht aufgebaut.

 

Der Tunnel wird via VPN-Wizard konfiguriert.

Die Parameter wurden mehrfach auf Richtigkeit überprüft.

 

Sobald ich vom internen Netz hinter ASA1 auf eine Ressource im internen Netz hinter ASA2 zugreifen will passiert nichts.

 

In den Syslog-Messages sehe ich keinerlei Meldungen zum Tunnelaufbau sondern nur, dass mein Paket von der ACL denied wurde.

 

Die betreffenden Pakete werden also wohl gar nicht als "tunnelrelevant" angesehen.

 

Hier mal ein kurzer Auszug aus der Konfiguration von ASA1:

 

...

access-list outside_2_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.178.0 255.255.255.0

...

nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static

NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24

...

crypto map outside_map 2 match address outside_2_cryptomap

crypto map outside_map 2 set pfs group1

crypto map outside_map 2 set peer xxx.xxx.xxx.xxx

crypto map outside_map 2 set transform-set ESP-AES-256-SHA

...

 

Woran kann das liegen, dass die betreffenden Pakete nicht den Tunnelaufbau initiieren?

 

Viele Grüße

Christoph

Link zu diesem Kommentar

So, wieder da.

 

Also ich musste jetzt (aus Termingründen) eine schnelle Lösung finden.

Ich habe die ASA auf die Version 7.2 downgegradet, sie dann konfiguriert (inkl. funktinierendem VPN) und sie anschließend wieder auf Version 8.3 upgegradet.

Und dann hats funktioniert.

 

Ich habe dann mal die beiden unterschiedlichen NAT-Konfigurationen verglichen:

 

Auf 8.3 konfiguriert(ASDM) (funktioniert nicht):

 

nat (inside,outside) source static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 destination static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24

 

 

Auf 7.2 konfiguriert(ASDM) und anschließend auf 8.3 upgegradet (funktioniert):

 

nat (inside,any) source static obj-192.168.178.0 obj-192.168.178.0 destination static obj-192.168.100.0 obj-192.168.100.0

 

Ich werde die Tage weiter dranbleiben und an einer neuen ASA eure debug-tipps testen.

 

Viele Grüße

Link zu diesem Kommentar

vorrausgesetzt das in den objekten das gleiche definiert ist, ist das NAT eh gleich...bis auf die Tastache das bei einem inside,outside und beim anderen inside,any steht, wo terminiert denn das VPN ?

 

Aus termingründen sotware rauf und runter zu graden ist übrigens keine gute Idee, schon garnicht wenn sich wie bei 8.3 mal eben das NAT Konzept komplett umkrempelt. Prinzipiell gilt, selbst wenn man die Realease Notes auswendig kann, man kann nie wissen was passiert bis man es tatsächlich durchgeführt hat

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...