sunny-ww
Goto Top

Cisco ASA 5505 Firewall: VPN Verbindung steht - keine Verbindung per Remote-Desktop-Client auf den Server - AnyConnect-Client funktioniert

Guten Morgen Forum,

erstmal kurz die Randbedingungen:

Cisco ASA 5505 mit ASA 9.2.3 und ASDM 7.5.2
Windows Server 2008 R2
statische IP

folgendes Problem stellt sich mir derzeit:

Verbindung mit dem AnyConnect-Client klappt sowohl unter Windows und unter OS X und ich kann per Remotedesktopclient den Server aufrufen. Es scheint folglich alles richtig konfiguriert zu sein - die VPN-User haben Zugriff etc.


Verbindung mit dem "alten" VPN-Client (z.B. unter WinXP) und über den nativen Mac VPN-Client (Chef will keine Zusatzsoftware auf seinem MacBook - es muss also mit dem nativen Mac-Client klappen) klappt auch, allerdings kann ich hier keinerlei Verbindung zum Netzwerk aufbauen.
Die VPN-Verbindung steht, ich bekomme eine korrekte IP aus dem VPN-Adress-Pool zugewiesen und das war es dann. Sobald ich mich per Remotedesktop verbinden möchte kommt die Meldung, dass die IP nicht erreichbar ist.
Ein Ping auf die Server-IP schlägt fehl.

Bin momentan ziemlich ratlos, zumal ich mich mit der Cisco-Firewall nicht wirklich auskenne (wurde so vom Vorgänger übernommen).

Kann mir jemand einen Tipp geben wo ich ansetzen muss?

Vielen Dank!

Content-Key: 291022

Url: https://administrator.de/contentid/291022

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: killtec
killtec 16.12.2015 um 08:22:22 Uhr
Goto Top
Hi,
wie sehen denn die Firewallregeln für das VPN aus? Klingt nach einem Deny in der Firewall.

Gruß
Mitglied: catachan
catachan 16.12.2015 um 08:44:21 Uhr
Goto Top
Hi

gibt es auf der ASA nur eine Group POlicy für die PVN Einwahl oder wird für IPSEC eine andere Group Policy (rofil) verwendet. Eventuell ist hier eine andere ACL hinterlegt. Was sagt die Routing Tabelle mit dem nativen Client nach der Einwahl ?

LG
Mitglied: sunny-ww
sunny-ww 16.12.2015 um 09:06:28 Uhr
Goto Top
Vielen Dank erstmal für die Unterstützung.

Konnte in der Firewall für die IP-Range des VPN-Pools kein deny entdecken.


es gibt für die VPN-Zugänge nur einen VPN-Pool und entsprechend nur eine GroupPolicy.

Wie kann ich mir die Routing-Tabelle aufrufen?
Mitglied: brammer
brammer 16.12.2015 um 09:46:05 Uhr
Goto Top
Hallo,

Konnte in der Firewall für die IP-Range des VPN-Pools kein deny entdecken.

am ende jeder Access Liste steht immer ein "implizites deny" das heißt alles was nicht explizit erlaubt ist, ist verboten.....
Wenn also deine IP-Range nicht erlaubt ist, ist die Range verboten....

brammer
Mitglied: catachan
catachan 16.12.2015 um 10:05:39 Uhr
Goto Top
Hi

die ASA behandlet VPN Traffic etwas anders und die normalen FIrewallrules werden nicht verwendet. Wenn man das machen will, dann muss man in der Group Policy eine ACL hinterlegen. Kannst du mal deine gesamte Config posten ?

LG
Mitglied: sunny-ww
sunny-ww 16.12.2015 aktualisiert um 10:18:52 Uhr
Goto Top
so - habe nochmals nachgeschaut.
Die IP-Range ist erlaubt.

Muss ja auch so sein, sonst würde es ja mit dem AnyConnect-Client vermutlich auch nicht funktionieren?!


wie kann ich die Config so exportieren, dass ich es hier sinnvoll posten kann?
Mitglied: catachan
catachan 16.12.2015 um 10:24:51 Uhr
Goto Top
Hi

show run in der CLI und dann hier in Code Tags einschließen

LG
Mitglied: sunny-ww
sunny-ww 16.12.2015, aktualisiert am 04.02.2016 um 15:56:59 Uhr
Goto Top
wie gewünscht:


Ich habe einen Teil der Informationen ausgext - ich hoffe man kann damit trotzdem weiterarbeiten ;)



so, hab jetzt noch weitere Informationen.

Scheinbar wurde die ASA 5505 kurz vor dem Zuständigkeitswechsel noch von 6.4.5 auf die aktuelle Version 9.2.3 aktualisiert. ASDM wurde wohl analog hochgezogen.
Kann es sein, dass bei diesem Update-Vorgang über den Wizard irgendwelche Einstellungen verloren gehen bzw. gegangen sind oder alle Clients außer dem AnyConnect-Client von der Cisco nicht mehr akzeptiert werden?
Mitglied: sunny-ww
sunny-ww 17.12.2015 um 08:38:40 Uhr
Goto Top
niemand?
Mitglied: brammer
brammer 17.12.2015 aktualisiert um 10:49:07 Uhr
Goto Top
Hallo,

da du in den ACL ualle IP Adressen unkenntlich gemacht hast, wird das schwierig nachzuvollziehen was diese dürfen und was nicht....

den VPN-Zugang Firma2 kann man ignorieren - war ein kläglicher Test meinerseits ;)

Außerdem solltest du alle Einträge Firma2 löschen.
nicht das dir die irgnedwo die Suppe versalzen....


Was sagt den ein
debug crypto ipsec 
debug crypto isakmp

brammer
Mitglied: sunny-ww
sunny-ww 17.12.2015 um 11:18:50 Uhr
Goto Top
vielen Dank für die Unterstützung!
Hab die Config oben erweitert und etwas weniger geschwärzt. Tu mir halt schwer damit, die komplette Konfiguration einfach so ins Internet zu stellen.


Wenn ich die beiden Befehle
debug crypto ipsec
debug crypto isakmp


in die CLI eingebe kommt folgende Meldung:
Debug commands are not supported in CLI Window.


Führe ich die beiden Befehle in einer Putty-Session per Telnet aus passiert nach Eingabe der Befehle gar nichts.
Mitglied: brammer
brammer 17.12.2015 um 12:27:42 Uhr
Goto Top
Hallo,

dann mach mal ein

term mon

bzw.

sh log

während du versuchst einen Tunnel vom Chef Laptop aufzubauen....

brammer
Mitglied: sunny-ww
sunny-ww 17.12.2015 aktualisiert um 12:48:05 Uhr
Goto Top
der Tunnel als solcher steht ja - der Mac bzw. der "alte" VPN-Client in aktuellster 5.x Version haben einen Tunnel aufgebaut. Die Cisco zeigt mir im ADSM auch an, dass die Verbindung korrekt aufgebaut ist.
Ich bekomme am WinXP-Rechner mit dem 5er Client folgende IP zugewiesen:

IP: 10.10.120.102
Subnet: 255.255.0.0
Gateway:
DNS-Server: 10.10.20.250
WINS-Server: 10.10.20.250

Es scheitert letztlich daran, dass ich im Netzwerk nichts anpingen kann und folglich keine Verbindung bekomme - weder per RDP noch per Browser-Aufruf.


Im Gegensatz dazu funktioniert komischerweise mit dem AnyConnect-Client egal von welchem Rechner/Betriebssystem aus alles problemlos.
Dort bekomme ich die IP-Adresse analog dem oben angegebenen zugewiesen:
IP: 10.10.120.103
Subnet: 255.255.0.0
Gateway:
DNS-Server: 10.10.20.250
WINS-Server: 10.10.20.250
Mitglied: sunny-ww
sunny-ww 22.12.2015 um 08:13:07 Uhr
Goto Top
keiner ne Idee woran es liegen könnte?
Mitglied: sunny-ww
sunny-ww 04.02.2016 um 15:56:20 Uhr
Goto Top
sind jetzt schlussendlich auf Sophos umgestiegen, da sich auch der Cisco-Support nicht berufen fühlte zu unterstützen.
Mit Sophos läuft jetzt soweit alles problemlos.