Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco ASA 5510 L2TP IPSEC mit Win2008 Routing und Ras

Mitglied: 103609

103609 (Level 1)

17.11.2011 um 22:04 Uhr, 4453 Aufrufe, 4 Kommentare

Hi,

ab und zu war ich schon da und bin bei so manchem Tip auch fündig geworden, nur diesmal will mein Problem sich nicht so Recht "von selbst" lösen und hoffe auf eure Hilfe..... :\

Folgendes Szenario:

Ich möchte eine Cisco ASA 5510 so einrichten (wurde mir von einem it-dienstleister so hingestellt, deswegen hab ich nicht so unmittelbar den masterplan),
dass ich von außen mit mobilen clients (windows XP / win7) einen L2TP/IPSEC Tunnel aufbauen kann.
Im ersten Schritt habe ich dafür PSK auserkoren - as simple as it could be.
Der VPN-Server ist ein Win2k8R2 mit Routing&RAS - user sollen sich direkt mit dem AD-Konto authentifizieren.

Aktuell ist schon PPTP umgesetzt und funktioniert einwandfrei. soweit ich das gesehen habe nach folgenden einträgen:

access-list outside_access_in extended permit tcp any host ras-extern eq pptp
[...]
static (inside,outside) ras-extern ras-intern netmask 255.255.255.255

nun dachte ich mir, dass man mit 500,4500,1701 und esp das ganze zusätzlich wie folgt umsetzt:

access-list outside_access_in extended permit udp any host wartung.extern eq 1701
access-list outside_access_in extended permit udp any host wartung.extern eq 500
access-list outside_access_in extended permit udp any host wartung.extern eq 4500
access-list outside_access_in extended permit esp host ras-extern

Pustekuchen.... der hit-coutner geht z.b. für 500 zwar hoch, aber das wars auch. auf der clientseite kriege ich den fehler 809 (problem beim verbindungsaufbau, ggf. nat prob).

folgende page von cisco habe ich mir dazu schon reingezogen, die ja eigentlich genau das beschreibt was ich machen will, aber ich komme irgendwie auf keinen grünen zweig
Der Absatz zu "Allow L2TP Over IPsec Through PIX/ASA 7.x and Above"
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...

Intern funktioniert der Verbindungsaufbau mit PPTP und L2TP/IPSEC übrigens einwandfrei. Es muss irgendwas in der ASA stecken was da nicht so richtig will....

Ich hoffe, dass da jemand mehr Plan von hat als ich und mir schreibt ;)

Danke schon mal vorab :\
Mitglied: 103609
17.11.2011 um 22:16 Uhr
lololololololololol - sorry for wasting your time -.-

es ist genau so wie ich es oben geschildert habe - genau so funktioniert es; jedenfalls in der theorie.

M$ ist schuld.... ich habe natürlich noch weiterrecherchiert und folgende page gefunden:

http://www.bauer-power.net/2011/10/how-to-connect-windows-l2tp-over-ips ...

das habe ich aus verzweiflung einfach mal ausprobiert und ZACK! es geht -.-

For Windows XP clients do the following:
Click Start > Run. Type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Create a new DWORD called AssumeUDPEncapsulationContextOnSendRule and set the value to 2
Reboot
For Windows Vista/Windows 7 clients (If you don’t like SSTP)

Press WIN+R, type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Create a new DWORD value called AssumeUDPEncapsulationContextOnSendRule and set the value to 2.
Reboot
Now your Windows clients should be able to connect using L2TP over IPSEC without issue.
Bitte warten ..
Mitglied: aqui
18.11.2011 um 12:16 Uhr
Eigentlich Blödsinn einen L2TP Tunnel durch eine ASA aufzubauen. Viel sicherer und stabiler ist es das VPN auf der ASA selber zu terminieren und den Winblows Server unbehelligt zu lassen.
So konterkariert man eigentlich den Einsatz einer Firewall wie die ASA ja nun mal ist. Da hättest du das Gled sparen können und auch einen 20 Euro Baumarkt Router für hinsetzen kömnen... Vermutlich ist dir das gar nicht bewusst ?! Na ja so viel zum Thema "Masterplan" der vermutlich nicht mal ansatzweise existiert...
Aber warum sicher machen wenns unsicherer und einfacher auch geht ?!
Hier findest du eine Konfig wie man es richtig macht auf der ASA das VPN zu terminieren:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
bzw. wenn man hier mal die Suchfunktion benutzt:
https://www.administrator.de/forum/Cisco-ASA-L2TP-IPSec-RemoteAccess-VPN ...
oder wenn man nicht lesen will:
http://gregsowell.com/?p=805
Um das VPN für Dummies zu machen, also L2TP einfach zu tunneln durch die ASA findest du hier eine abtipp fertige Anleitung:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hätte dir das überflüssige, gefährliche und auch sinnfreie Verbiegen der Winblows Komponenten erspart...!
Bitte warten ..
Mitglied: 103609
18.11.2011 um 16:43 Uhr
Hi,

im Grunde hast Du ja Recht - wenn man denn nur diesen Teilaspekt der Anlage betrachtet. Ich hätte es auch lieber anders gehabt. Der RAS-Server war nur schon da und es ist die schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss.
Wie Du aber sicherlich selber weißt gibt es immer mehr als 1 Kriterium an dem bei einer Entscheidung festgehalten wird.... so auch hier.
Die Abtippanleitung hatte ich auch gefunden und in meinem zweiten Post wie Du sicher gesehen hast (oder auch nicht) auch schon die Lösung für das Problem.

Der 20EUR Baumarkt Router hätte es aber auch nicht sein können, weil der die ganzen Verbindungen die gehandelt werden und des abzubildenden Netzwerkes nicht hätte mitmachen können! Allein die Mailhandles im deutlichen 6-stelligen Bereich hätten den aufgeraucht..

Ich möchte Dir aber dennoch für Deinen Beitrag danken, da er wirklich wertvolle Informationen enthält die hoffentlich nun einem Anderen zu Gute kommen.

Und im Übrigen ist ein: "Bitte mit Sarkasmus und Spott zurückhalten wenn man das Gesamtbild nicht kennt" angebracht!
Solch ein Verhalten schadet einem Forum eher als es nützt, da bringt es auch nichts, wenn man im Anschluss aufopfernd Informationen feil bietet und meint man selber scheint am Hellsten.

Danke!
Bitte warten ..
Mitglied: aqui
18.11.2011 um 20:18 Uhr
Na ja das Quäntchen Helligkeit hat dir ja gefehlt um das Gesamtbild darzustellen. Statt dessen konfrontierst du uns mit einer halb garen Quick and Dirty Lösung und einem vollkommen sinnlosen und zudem gefährlichen Registry Hack. Dein Argument "schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss..." kann man wirklich nicht für voll nehmen, denn auf der ASA ist das mit 3 Mausklicks installiert und steht in keinem Verhältnis zum Customizen des Winblows Servers, den Problemen des Port Forwarding auf der Firewall, Regisry Hack usw. usw. Von der Sicherheit wolln wir lieber mal gar nicht reden...
Soviel zum Thema Teilaspekt.
Im übrigen sollte man schon so einen Aufriss aushalten können wenn man sich in ein Forum wagt mit löchrigen Beschreibungen und es mal etwas rauher wird....aber egal...es funktioniert und gut iss...
Bitte warten ..
Ähnliche Inhalte
Firewall

Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen

Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

LAN, WAN, Wireless

VPN Verbindung L2TP IPSec

gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

Windows Server

L2TP over IPSEC

gelöst Frage von sardldbWindows Server6 Kommentare

Hallo Zusammen Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem ...

Router & Routing

Mikrotik L2TP IPSec ausschlieslich über Schlüssel

Frage von Rolf-Hanka.ITDRouter & Routing5 Kommentare

Hallo Freunde, ich habe hier einen Mikrotik Router. Alles was ich soweit konfiguriert habe funktioniert. Ich baue VPN Verbindungen ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing18 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware11 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

VB for Applications
VBScript mit WINscp für einfachen FTP Transfer und nachträglichem verschieben der Datei in ein erledigt Verzeichnis
Frage von KeiosIDVB for Applications9 Kommentare

Hallo, leider soll ich auf den neueren Servern(Win2016R2) keine *.Bat Dateien mehr laufen lassen. Hier soll nun alles über ...