Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Keine Verbindung Symantec VPN-Client durch ASA 5505 zu Symantec FW

Mitglied: nyx

nyx (Level 1) - Jetzt verbinden

04.07.2008, aktualisiert 08.07.2008, 5275 Aufrufe, 3 Kommentare

Hallo zusammen,

in einem kleinen Netzwerk (W2K3 Server und XP-Clients) soll der einfache D_Link-Router gegen eine ASA 5505 ausgewechselt werden (keine DMZ, nur zwei Interfaces).

Nach Benutzung des Basic Wizard und des IPSEC für VPN Wizard kann man nun von innen auf das Internet zugreifen und sich von außen in das Portal für Clientless SSL einloggen. Von dort aus kann man auf den angegebenen Bereich zugreifen, mit RDP oder VNC arbeiten und das Netzwerk durchsuchen.

Soweit, so schön.

Aus diesem Netzwerk heraus sollen VPN-Verbindungen zu Kunden möglich sein.
Die Sonicwall-Clients können Verbindung aufnehmen, mit den Symantec-Clients will es mir nicht gelingen.

Der Client vermeldet, daß die Authentifizierung über ISAKMP nicht funktioniert, bzw. Benutzername und Kennwort nicht stimmen (tun sie, ohne ASA funktioniert das nämlich).

Ich hab daraufhin port 500 UDP freigegeben, in allen Richtungen.

Trotzdem geht es nicht - und darüber hinaus ist dann auch keine Verbindung mehr zum Internet möglich.


Grüße

nyx

config:

cisco> ena
Password:
cisco# show running-config
Saved
ASA Version 8.0(2)
!
hostname cisco
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.90.201 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group xyz
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup inside
dns server-group xx
name-server 192.168.90.253
domain-name yy
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service gre
service-object gre
object-group service ike tcp
port-object eq 500
object-group service l2tp-pptp-1 udp
port-object eq 1701
object-group service l2tp-pptp-2 tcp
port-object eq pptp
object-group service ssdp udp
port-object eq 1900
object-group service symantec tcp-udp
port-object eq 4500
object-group service symantec-client udp
port-object eq 4529
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service 137 tcp
port-object eq 137
object-group service 138 tcp
port-object eq 138
object-group service 139 udp
port-object eq 139
access-list inside_access_out extended permit udp any eq isakmp any eq isakmp
access-list inside_access_out extended permit udp any object-group ssdp any eq 1900
access-list inside_access_out extended permit esp any any
access-list outside_access_out extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_out out interface inside
access-group outside_access_out out interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.90.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group xyz request dialout pppoe
vpdn group xyz localname 1234567890
vpdn group xyz ppp authentication pap
vpdn username 1234567890abcdef
dhcpd auto_config outside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
tftp-server inside 192.168.1.2 C:\TFTP-Root
webvpn
enable outside
group-policy DfltGrpPolicy attributes
webvpn
url-list value xyz
username aaa password G0ioKilbrN.gzdyk encrypted privilege 0
username aaa attributes
vpn-group-policy DfltGrpPolicy
username bbb password e3PDJQMRbGzetIPC encrypted privilege 0
username bbb attributes
vpn-group-policy DfltGrpPolicy
username ccc password ycVuTWDCILRGuEcQ encrypted privilege 0
username ccc attributes
vpn-group-policy DfltGrpPolicy
tunnel-group xyz type remote-access
prompt hostname context
Cryptochecksum:77821b24e8809c44dd8f6ad916184456
: end
cisco#
Mitglied: aqui
04.07.2008 um 22:14 Uhr
ISAKMP ist nur ein Teil des IPsec Protokolls. Außer IKE UDP 500 musst du noch das ESP Protokoll (Protokoll Nummer 50) und UDP 4500 mit forwarden bzw. durchlassen.
Bitte warten ..
Mitglied: nyx
05.07.2008 um 17:35 Uhr
Danke, ich setz mich am Montag wieder dran, um Dir anschl zu berichten
Bitte warten ..
Mitglied: nyx
08.07.2008 um 20:45 Uhr
Hi aqui,

danke für deinen Rat. Leider habe ich Probleme beim Umsetzen gehabt:

Im ASDM gibt es ja eine Möglichkeit, für die jeweiligen Schnittstellen Regeln festzulegen. Also denk ich mir doch, wenn die zwei Seiten über den IKEport (u.a.) tunneln, dann sollte bei beiden Schnittstellen die 500 UDP in beide Richtungen offen sein.

Ist das ein Denkfehler?

Ich hab an der Outside-Schnittstelle in- und outgoing für 500 UDP, 4500 UDP, ESP sowie 1723und 1701 ermöglicht. Standardmäßig ist aber outgoing an der Outside-Schnittstelle für ip auf "permit" gesetzt (bei any/any).

Der Verkehr soll aber doch hinein ins private Netz, also müssen die Verkehrsregeln doch auch für die Inside-Schnittstelle gelten?

Den outgoing-Verkehr an der Inside-Schnittstelle kann ich mit den o.a. Ports problemlos konfigurieren - will ich aber (sozusagen zum Abschluß) den ingoing-Verkehr an der Inside-Schnittstelle festlegen, führt dass dazu, dass die Kollegen keine Verbindung (über 80) ins Internet mehr haben.

Standard für das ingoing an der Inside-Schnittstelle ist zum einen ein DENY für sämtlich Verbindungen via ip, aufgehoben wird das teilweise durch ein PERMIT zu weniger sicheren Netzen.
Adde ich da jetzt etwas, wird die PERMIT-Regel durch die neue ersetzt (statt noch eine hinzugefügt).

Ich dachte, das funktioniert wie mit den Rechten? So ergänzungsmäßig? Ach ja, ich hatte auch gesehen, dass die Rules nummeriert sind ... Abarbeitung nach der Reihe?

Wo kann ich mich da belesen (falls die Antwort zu aufwendig für dich ausfallen würde)?

LG von der

nyx


Ach ja ... ich hab mir eine Simulation eines Datenpaketes von außen nach innen angesehen ... da schien alles richtig konfiguriert -nur in der NAT-Tabelle fehlte etwas. Es wird aber dann auch nur angegeben, was falsch ist und bei welcher Regel ... aber für mich sind das z.Zt. noch böhmische Dörfer.

Bei anderen FWs ist das irgendwie einfacher. Aber mit der ASA und mir, das ist sone Haßliebe. Das Ding macht mich irre und ich will es DOCH verstehen
Bitte warten ..
Ähnliche Inhalte
Firewall
Konfiguration von VLAN an einer ASA 5505
gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

Netzwerke

Cisco ASA 5505 Firewall: VPN Verbindung steht - keine Verbindung per Remote-Desktop-Client auf den Server - AnyConnect-Client funktioniert

gelöst Frage von sunny-wwNetzwerke15 Kommentare

Guten Morgen Forum, erstmal kurz die Randbedingungen: Cisco ASA 5505 mit ASA 9.2.3 und ASDM 7.5.2 Windows Server 2008 ...

Netzwerke

ASA 5505 Clientless SSL und RDP

gelöst Frage von JoeJoeNetzwerke3 Kommentare

Hallo zusammen, habe eine ASA5505 mit ASA Version 8.0(3) ASDM Version 6.4(9) Java 1.7.0_60-b90 Https sind im IE11 und ...

Router & Routing

Ist doppeltes Routing mit einer asa 5505 möglich?

gelöst Frage von luchs3Router & Routing8 Kommentare

Hallo, Laut meinem ISP brauche ich folgende Konfiguration: Ich bräuchte für mein Privates Netz eigentlich zwei Router, da die ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 21 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++24 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...