Aktuelle Themen (A bis Z) FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco VPN Gateway wrong

Mitglied: cschlecht

cschlecht (Level 1) - Jetzt verbinden

13.11.2008, aktualisiert 14.11.2008, 7898 Aufrufe, 8 Kommentare


I have a problem with my Cisco ASA 5505. I can connect over VPN, but i receive a wrong gateway. My internal network is 192.168.1.x but my gateway is not, but i always receive this over the ip-pool from the ASA. I never configured this ip. I see a static routing entry, which mathes to the subnet, but there is no gateway entered and I couldn't change the settings. If I try to add a new route, i get the error message, that this route exists.

Can you help me please?

Thanks a lot!

Mitglied: aqui
13.11.2008 um 18:55 Uhr
That depends on your configuration if the ASA is provding the DHCP addresses or an external DHCP server.
Following your above description then the ASA is sending the DHCP address for the client in your scenario.
So the easiest way is to edit the config of the ASA and change the gateway setting there.
Usually using VPNs the default gateway is the ASA itself. Thats logical because in case you use a Cisco VPN client he reroutes all data traffic to the ASA in case you're logged in. Ciscos client does not allow to route just only the VPN traffic.
In case you have a subnet behind the ASA then the ASA needs a static or dynamic route to reach this subnet.
Maybe it helps when you post an excerpt from the ASA config here with your DHCP pool address config.
Bitte warten ..
Mitglied: cschlecht
13.11.2008 um 19:11 Uhr
Result of the command: "show running-config"

ASA Version 7.2(3)
hostname XXX
domain-name XXX
enable password XXX encrypted
interface Vlan1
nameif inside
security-level 100
ip address 192.168.x.x 255.255.x.x
interface Vlan2
nameif outside
security-level 0
ip address 10.1.x.x 255.255.x.x
interface Vlan3
nameif dmz
security-level 50
ip address 56.10.x.x 255.255.x.x
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
interface Ethernet0/2
interface Ethernet0/3
interface Ethernet0/4
interface Ethernet0/5
switchport access vlan 3
interface Ethernet0/6
interface Ethernet0/7
passwd XXX encrypted
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name XXX
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip any 192.168.x.x 255.255.x.x
access-list XXX_splitTunnelAcl standard permit any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
ip local pool XXX 192.168.x.x-192.168.x.x mask 255.255.x.x
no failover
monitor-interface inside
monitor-interface outside
monitor-interface dmz
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1
route outside X.X.x.X
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.X.X 255.255.X.X inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set pfs
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
crypto isakmp ipsec-over-tcp port 10000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcpd address 192.168.X.X-192.168.X.X inside (router's ip to router's ip)

class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
group-policy XXX internal
group-policy XXX attributes
wins-server value 192.168.X.X 192.168.X.X
dns-server value 192.168.X.X 192.168.X.X
vpn-tunnel-protocol IPSec
address-pools value XXX
group-policy XXX internal
group-policy XXX attributes
wins-server value 192.168.X.X 192.168.X.X
dns-server value 192.168.X.X 192.168.X.X
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value XXX_splitTunnelAcl
default-domain value XXX
username XXX password XXX encrypted privilege 0
username XXX attributes
vpn-group-policy ic-vpn
username XXX password XXX encrypted privilege 0
username XXX attributes
vpn-group-policy XXX
username XXX password XXX encrypted privilege 0
username XXX attributes
vpn-group-policy XXX
tunnel-group XXX type ipsec-ra
tunnel-group XXX general-attributes
address-pool XXX
default-group-policy XXX
tunnel-group XXX ipsec-attributes
pre-shared-key *
tunnel-group XXX type ipsec-ra
tunnel-group XXX general-attributes
default-group-policy XXX
dhcp-server 192.168.x.x
tunnel-group XXX ipsec-attributes
pre-shared-key *
prompt hostname context
: end

Here is my config...

Bitte warten ..
Mitglied: aqui
13.11.2008 um 20:10 Uhr
Config looks quite ok. If your VPN is active can you ping the ASA local ethernet ip address 192.168.x.x ?

What is the output of a route print on your Client (if its windows ?!)

There should be a hostroute to the ASA Interface which is an ip address of the IP pool XXX.
This address and the vlan 1 address and addresses on vlan1 should be pingable from the client !
Bitte warten ..
Mitglied: cschlecht
13.11.2008 um 20:22 Uhr
no, if I am connected, i could not ping the ASA and i have no route to the ASA.

why is there no route to the ASA?

I get an IP in the range of the VPN-range, subnet is ok (, gateway points to, but this is not the ASA, on this IP, there is no device. DNS and WINS are correct.

I am working at home with the IP-range 192.168.1.x and in the company also, is this the problem? Here at home, i have the gatewas


Thanks for your help.

Bitte warten ..
Mitglied: aqui
13.11.2008 um 20:59 Uhr we are ! Yepp, thats the problem !! Typical VPN ip design don't worry

You now have 2 identical ip networks and routing is impossible in such a scenario cause nobody knows in which of your two networks packets should go !

That is very often the drawback using these dumb (sorry..) 192.168.x.x ip numbering scheme.
RFC 1918 brings us a lot of more possibilities:

So if you set your network were you're in to /24 you should be safe and things should come to work.
If you like to stick with the 192.168. networks just choose a 3rd byte which is not used on the ASA site like or something similar.
Bitte warten ..
Mitglied: cschlecht
13.11.2008 um 21:03 Uhr
Ok, I will test it, i first have to plan the new addressing model. I think I will change the IPs in the company, cause i think, every employee has a 192.168.1.x subnet at home, and so it might be better, if I change this one. I will test it in the next days and will give you a feedback.

Thanks a lot and sorry...

Bitte warten ..
Mitglied: aqui
14.11.2008 um 11:23 Uhr
Yes right, that is absolutely the right strategy otherwise you'll step always again in the same trap cause is a very common used IP adressing on consumer devices unfortunately...
I would suggest using something in the 172.16-32.x.x area or the 10.x.x.x area in the company.
There you are mostly safe in terms of VPNs and their addressing !
Bitte warten ..
Mitglied: cschlecht
14.11.2008 um 11:46 Uhr

I read the wiki about the addressing ranges.

I will test it next week.

I first have to reconfigure the ASA, my domain controller, dns, dhcp, etc. :s

Bitte warten ..
Ähnliche Inhalte
VPN-Gateway parallel zum Internetgateway
gelöst Frage von bohrersInternet12 Kommentare

Hallo zusammen, ich grübel schon seit längerem über ein Problem und kann keine Lösung finden. Vielelicht hat hier einer ...

VPN - Squid alls Gateway
Frage von geforce28Debian7 Kommentare

Hallo. Ich beschreibe nun ein Scenario, was ich gerne irgendwie umsetzen möchte, aber noch nicht so recht weiß wie ...

Switche und Hubs
VPN Router, Gateway - Eure Empfehlung
gelöst Frage von mikado90Switche und Hubs3 Kommentare

Hi! Wir benötigen ein VPN Router / Gateway. Als Firewall kommt eine PaloAlto PA-500 zum Einsatz. Die VPN-Lösung sollte ...

Router & Routing
Route hinter VPN-Gateway
gelöst Frage von FA-jkaRouter & Routing6 Kommentare

Ich lerne gerade Netzwerktechnik und bastle ein bisschen mit OpenVPN herum. Folgendes Szenario auf dem Client (RoadWarrior): eth0 (Client) ...

Neue Wissensbeiträge

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 8 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 8 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...


Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 8 StundenHardware10 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 9 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL17 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...