7
Cisco VPN-Client hinter ASA5505 - kein Traffic
Hallo Netzwerker!
Also folgender Aufbau:
Cisco ASA5505 am DSL-Anschluss (Direkt am Modem)
Dahinter ein normales lokales Lan mit DHCP von der ASA.
Nun ein Notebook angeschlossen.
- IP Adressen korrekt erhalten.
- Internet funktioniert.
- VPN Zugang über Microsoft VPN (Mit Zertifikat) zum Firmennetz funktioniert sofort und einwandfrei. (Variante 1)
Nun das Problem:
Wenn ich nun den Cisco-VPN-Client (Variante 2) benutze und mich verbinde erfolgt der tunnelaufbau einwandfrei. Nur der Traffic im Tunnel findet nicht statt. (Egal welcher)
Dieses Problem tritt momentan nur bei dieser ASA auf. Hinter jedem anderen DSL-Router/PIX etc. funktioniert dies!
Bedeutet also das der Cisco VPN-Client korrekt konfiguriert ist.
Nun mein Gedanke:
Die ASA5505 hat eine Funktion welche bei dem Cisco-VPN-Client-Traffic etwas Blockt. Seltsam ist nun das der Tunnel zustande kommt und erst darin kein Traffic mehr stattfindet. Wie kann die ASA wohl den Traffic in einem Tunnel blocken??
Ich bin für alle hinweise dankbar.
Ich kann auf nachfrage auch die Konfiguration posten (Natürlich ohne Kennwörter *g*)
Gruß,
Florian
Also folgender Aufbau:
Cisco ASA5505 am DSL-Anschluss (Direkt am Modem)
Dahinter ein normales lokales Lan mit DHCP von der ASA.
Nun ein Notebook angeschlossen.
- IP Adressen korrekt erhalten.
- Internet funktioniert.
- VPN Zugang über Microsoft VPN (Mit Zertifikat) zum Firmennetz funktioniert sofort und einwandfrei. (Variante 1)
Nun das Problem:
Wenn ich nun den Cisco-VPN-Client (Variante 2) benutze und mich verbinde erfolgt der tunnelaufbau einwandfrei. Nur der Traffic im Tunnel findet nicht statt. (Egal welcher)
Dieses Problem tritt momentan nur bei dieser ASA auf. Hinter jedem anderen DSL-Router/PIX etc. funktioniert dies!
Bedeutet also das der Cisco VPN-Client korrekt konfiguriert ist.
Nun mein Gedanke:
Die ASA5505 hat eine Funktion welche bei dem Cisco-VPN-Client-Traffic etwas Blockt. Seltsam ist nun das der Tunnel zustande kommt und erst darin kein Traffic mehr stattfindet. Wie kann die ASA wohl den Traffic in einem Tunnel blocken??
Ich bin für alle hinweise dankbar.
Ich kann auf nachfrage auch die Konfiguration posten (Natürlich ohne Kennwörter *g*)
Gruß,
Florian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96764
Url: https://administrator.de/contentid/96764
Printed on: April 25, 2024 at 02:04 o'clock
7 Comments
Latest comment
Im Gegensatz zu MS VPN das das PPTP Protokoll (TCP 1723 und GRE Tunnel) benutzt, benutzt der Cisco VPN Client IPsec im ESP Modus und ggf. NAT Traversal sofern aktiviert.
Sehr wahrscheinlich blockt die ASA das ESP Protokoll (IP Protokoll Nummer 50) und vermutlich auch NAT-T mit UDP 4500 so das über den ESP Tunnel keine Kommunikation zustandekommt.
Eine ACL die ESP und ggf. auch NAT-T forwardet sollte das Problem lösen !
Sehr wahrscheinlich blockt die ASA das ESP Protokoll (IP Protokoll Nummer 50) und vermutlich auch NAT-T mit UDP 4500 so das über den ESP Tunnel keine Kommunikation zustandekommt.
Eine ACL die ESP und ggf. auch NAT-T forwardet sollte das Problem lösen !
Leider hat das Einrichten der beiden ACL keinen erfolg gebracht. ich hatte das ESP und das UDP 4500 eingerichtet und erlaubt. Geht leider nicht.
Evtl. Postet einfach beispielsweise die Config-Zeilen für diese Regeln dann kann ich das analog dazu übernehmen. Vielleicht habe ich sie ja falsch angelegt... Außerdem wundert mich das diese Ports nicht automatisch freigegeben sind wenn ich den kompletten IP Traffic nach Extern erlaube...
Seltsam
Gruß,
Florian
Evtl. Postet einfach beispielsweise die Config-Zeilen für diese Regeln dann kann ich das analog dazu übernehmen. Vielleicht habe ich sie ja falsch angelegt... Außerdem wundert mich das diese Ports nicht automatisch freigegeben sind wenn ich den kompletten IP Traffic nach Extern erlaube...
Seltsam
Gruß,
Florian
Das hast du dann auch falsch verstanden, denn es geht von extern nach intern, da IKE und ESP beim Aufbau der VPN Session von aussen initiiert werden.
So wird ein Schuh draus !
So wird ein Schuh draus !
Ich habe genau auch dieses Probiert zumindest hoffe ich es so. (Ich habe deine ACL vorerst wieder gelöscht.) Vielleicht kann mir jemand sagen woran es liegt das ich nun wenn der Cisco-VPN Tunnel aufgebaut ist kein Traffic rüber geht... (Bekommt auch die Richtige IP im Tunnel)
Nur es geht kein Traffic durch den Tunnel.
Ich Poste hier mal die aktuelle Konfig:
Result of the command: "sh run"
ASA Version 8.0(2)
!
hostname ASA-DSL-Anschluss
domain-name XXXX.com
enable password XXXX encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.178.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group BusinessDSL16000
ip address pppoe
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd XXXX encrypted
banner exec Access only for authorised personal! Offences are pursued Criminal!
banner exec -------------------------------------------------------------------
banner exec Zugriff nur fuer autorisiertes Personal!
banner exec Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner login Access only for authorised personal! Offences are pursued Criminal!
banner login -------------------------------------------------------------------
banner login Zugriff nur fuer autorisiertes Personal!
banner login Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner motd Access only for authorised personal! Offences are pursued Criminal!
banner motd -------------------------------------------------------------------
banner motd Zugriff nur fuer autorisiertes Personal!
banner motd Zuwiderhandlungen werden Strafrechtlich verfolgt!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name XXXX.com
object-group service NAT-T udp
description NAT-T
port-object eq 4500
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.178.0 255.255.255.0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 217.237.150.115 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 88.79.212.XXX 255.255.255.255 outside
http 88.79.212.XXX 255.255.255.255 outside
http 172.19.42.XXX 255.255.255.255 inside
http 192.168.178.0 255.255.255.0 inside
http 172.19.42.XXX 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto isakmp nat-traversal 10
telnet 192.168.178.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group BusinessDSL16000 request dialout pppoe
vpdn group BusinessDSL16000 localname XXXX
vpdn group BusinessDSL16000 ppp authentication pap
vpdn username XXXX password XXXX
store-local
dhcpd auto_config outside
!
dhcpd address 192.168.178.10-192.168.178.199 inside
dhcpd auto_config outside interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inside-class
match any
!
!
policy-map inside-policy
class inside-class
inspect ipsec-pass-thru
!
service-policy inside-policy interface inside
webvpn
enable outside
csd image disk0:/securedesktop-asa-3.2.1.103-k9.pkg
tunnel-group-list enable
group-policy HB-IS-KT-SSL internal
group-policy HB-IS-KT-SSL attributes
vpn-tunnel-protocol webvpn
webvpn
url-list value KT
group-policy HB-IS-KT internal
username XXXX
encrypted privilege 15
username XXXX
encrypted privilege 15
tunnel-group DefaultWEBVPNGroup webvpn-attributes
group-alias Default enable
tunnel-group HB-IS-KT-SSL type remote-access
tunnel-group HB-IS-KT-SSL general-attributes
default-group-policy HB-IS-KT-SSL
tunnel-group HB-IS-KT-SSL webvpn-attributes
group-alias HB-IS-KT-SSL enable
prompt hostname context
Nur es geht kein Traffic durch den Tunnel.
Ich Poste hier mal die aktuelle Konfig:
Result of the command: "sh run"
- Saved
ASA Version 8.0(2)
!
hostname ASA-DSL-Anschluss
domain-name XXXX.com
enable password XXXX encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.178.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group BusinessDSL16000
ip address pppoe
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd XXXX encrypted
banner exec Access only for authorised personal! Offences are pursued Criminal!
banner exec -------------------------------------------------------------------
banner exec Zugriff nur fuer autorisiertes Personal!
banner exec Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner login Access only for authorised personal! Offences are pursued Criminal!
banner login -------------------------------------------------------------------
banner login Zugriff nur fuer autorisiertes Personal!
banner login Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner motd Access only for authorised personal! Offences are pursued Criminal!
banner motd -------------------------------------------------------------------
banner motd Zugriff nur fuer autorisiertes Personal!
banner motd Zuwiderhandlungen werden Strafrechtlich verfolgt!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name XXXX.com
object-group service NAT-T udp
description NAT-T
port-object eq 4500
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.178.0 255.255.255.0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 217.237.150.115 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 88.79.212.XXX 255.255.255.255 outside
http 88.79.212.XXX 255.255.255.255 outside
http 172.19.42.XXX 255.255.255.255 inside
http 192.168.178.0 255.255.255.0 inside
http 172.19.42.XXX 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto isakmp nat-traversal 10
telnet 192.168.178.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group BusinessDSL16000 request dialout pppoe
vpdn group BusinessDSL16000 localname XXXX
vpdn group BusinessDSL16000 ppp authentication pap
vpdn username XXXX password XXXX
store-local
dhcpd auto_config outside
!
dhcpd address 192.168.178.10-192.168.178.199 inside
dhcpd auto_config outside interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inside-class
match any
!
!
policy-map inside-policy
class inside-class
inspect ipsec-pass-thru
!
service-policy inside-policy interface inside
webvpn
enable outside
csd image disk0:/securedesktop-asa-3.2.1.103-k9.pkg
tunnel-group-list enable
group-policy HB-IS-KT-SSL internal
group-policy HB-IS-KT-SSL attributes
vpn-tunnel-protocol webvpn
webvpn
url-list value KT
group-policy HB-IS-KT internal
username XXXX
encrypted privilege 15
username XXXX
encrypted privilege 15
tunnel-group DefaultWEBVPNGroup webvpn-attributes
group-alias Default enable
tunnel-group HB-IS-KT-SSL type remote-access
tunnel-group HB-IS-KT-SSL general-attributes
default-group-policy HB-IS-KT-SSL
tunnel-group HB-IS-KT-SSL webvpn-attributes
group-alias HB-IS-KT-SSL enable
prompt hostname context
Hier steht genau wie es geht:
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
http://www.cisco.com/en/US/products/ps6120/prod_configuration_examples_ ...
Kannst du mir Sagen in welchem Konfigurationsbeispiel ich die Lösung zu genau meinem Problem finde?
Danke.
Gruß,
Florian
Danke.
Gruß,
Florian
Das Problem liegt darin das auf der ASA selbst. Wenn ein Cisco VPN-Client-Zugang auf der ASA eingerichtet ist kann dann hinter der ASA nicht mehr mit einem Cisco-VPN-Client gearbeitet werden (der sich in ein aderes Netz verbindet) da dann der wieder einkehrende Traffic von der ASA ausgepackt würde. Sprich es geht kein Verkehr durch den Tunnel da die ASA denkt Sie wäre selbst daran beteiligt.
Diese Aussage stammt von einem Schulungstrainer für die ASA.
Habt ihr vielleicht eine andere Idee??? Ich kann mir das irgendwie immer noch nicht so ganz vorstellen.
Gruß,
Florian
Diese Aussage stammt von einem Schulungstrainer für die ASA.
Habt ihr vielleicht eine andere Idee??? Ich kann mir das irgendwie immer noch nicht so ganz vorstellen.
Gruß,
Florian
