3
Von ASA5505 auf Fritzbox 6360 zugreifen via VPN
Hallo zusammen,
Ich versuche krampfhaft von meinem Arbeitsplatz auf die Fritzbox 6360 Cable zuhause zuzugreifen.
Folgende Ausgangslage:
Telekom Business Anschluss --> Modem --> Cisco ASA
soll zugreifen auf:
UnityMedia 100k --> Fritzbox 6360 Cable --> PC
Bisherige Arbeiten habe ich bereits durchgeführt:
VPN Profile angelegt (wenn ich von meinem Notebook mit UMTS eine Verbindung aufbaue klappt alles ohne Probleme, auf der Arbeit bekomme ich einen Timeout)
also kann es nur an der ASA liegen, also
gre, esp, tcp-udp/domain, udp/isakmp, UDP Port 4500
freigeschaltet.
Ohne erfolg, gleiches Fehlerbild wie vorher.
Dann habe ich mit einem Bekannten gesprochen, er sagte mir ich solle in den Konfigs für die FB NAT-T deaktivieren,
gesagt getan.
Jetzt kann ich die Verbindung aufbauen, allerdings kann ich keinen Ping geschweige denn auf das Webinterface der FB zugreifen.
An der Accesslist kann es nicht liegen die sieht folgendermaßen aus:
accesslist = "permit ip any 192.168.123.0 255.255.255.0";
Dies ist sowohl von dem ASA Netz als auch über UMTS nicht(mehr) möglich.
An den Netzen kann es nicht liegen, die sind unterschiedlich.
Ich bin für jede Hilfe Dankbar
Dark
Ich versuche krampfhaft von meinem Arbeitsplatz auf die Fritzbox 6360 Cable zuhause zuzugreifen.
Folgende Ausgangslage:
Telekom Business Anschluss --> Modem --> Cisco ASA
soll zugreifen auf:
UnityMedia 100k --> Fritzbox 6360 Cable --> PC
Bisherige Arbeiten habe ich bereits durchgeführt:
VPN Profile angelegt (wenn ich von meinem Notebook mit UMTS eine Verbindung aufbaue klappt alles ohne Probleme, auf der Arbeit bekomme ich einen Timeout)
also kann es nur an der ASA liegen, also
gre, esp, tcp-udp/domain, udp/isakmp, UDP Port 4500
freigeschaltet.
Ohne erfolg, gleiches Fehlerbild wie vorher.
Dann habe ich mit einem Bekannten gesprochen, er sagte mir ich solle in den Konfigs für die FB NAT-T deaktivieren,
gesagt getan.
Jetzt kann ich die Verbindung aufbauen, allerdings kann ich keinen Ping geschweige denn auf das Webinterface der FB zugreifen.
An der Accesslist kann es nicht liegen die sieht folgendermaßen aus:
accesslist = "permit ip any 192.168.123.0 255.255.255.0";
Dies ist sowohl von dem ASA Netz als auch über UMTS nicht(mehr) möglich.
An den Netzen kann es nicht liegen, die sind unterschiedlich.
Ich bin für jede Hilfe Dankbar
Dark
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193616
Url: https://administrator.de/contentid/193616
Printed on: April 26, 2024 at 05:04 o'clock
3 Comments
Latest comment
Hallo,
Du willst vom Arbeitsplatz auf Deinen privaten Rechner zugreifen ? Richtig schlau...
Das Du den nicht erreichst ist wohl auch besser so.
Gruss
Du willst vom Arbeitsplatz auf Deinen privaten Rechner zugreifen ? Richtig schlau...
Das Du den nicht erreichst ist wohl auch besser so.
Gruss
dann ist ja gut das du deinen Senf dazu geben hast.
Jetzt bin ich schon einen grossen Schritt weiter,
es hat schon seinen Sinn warum ich das vor habe, allerdings ist das nicht die Frage gewesen.
gruss
Jetzt bin ich schon einen grossen Schritt weiter,
es hat schon seinen Sinn warum ich das vor habe, allerdings ist das nicht die Frage gewesen.
gruss
Woraus ziehst du die Erkenntnis das der Tunnel wirklich aufgebaut wird ?? Dazu wären ein paar "show" Kommandos bzw. dess Output von der ASA hier sinnvoll !!
Sinn oll wäre zudem mal ein "show logg" der ASA zu posten ob der Tunnel wirklich aufgebaut wird. GRE freizugeben ist z.B. völliger Unsinn, denn das nutzt nur das PPTP Protokoll nicht aber IPsec das die FB nur außschliesslich versteht. Hier bohrst du überflüssigerweise ein Loch in deine Firewall...
Ohne einen Log Auszug und ein paar debuggings auf der ASA kommen wir nicht weiter hier.
Vermutlich liegt es an einer der ASA Accesslisten.
Das Posting deiner "Accessliste" ist für uns hier mehr oder weniger sinnfrei, denn wir wissen nichts darüber:
Übrigens: NAT Traversal zu deaktivieren ist eigentlich Unsinn, denn damit ist IPsec nicht mehr in der Lage über NAT Router hinweg einen Tunnel aufzubauen. Es ist also sinnvoll das aktiviert zu lassen. Allerdings... es muss auf BEIDEN Seiten aktiviert sein. Macht die ASA kein NAT-T scheitert so eine Verbindung wo es nur einseitig konfiguriert ist logischerweise.
Sinn oll wäre zudem mal ein "show logg" der ASA zu posten ob der Tunnel wirklich aufgebaut wird. GRE freizugeben ist z.B. völliger Unsinn, denn das nutzt nur das PPTP Protokoll nicht aber IPsec das die FB nur außschliesslich versteht. Hier bohrst du überflüssigerweise ein Loch in deine Firewall...
Ohne einen Log Auszug und ein paar debuggings auf der ASA kommen wir nicht weiter hier.
Vermutlich liegt es an einer der ASA Accesslisten.
Das Posting deiner "Accessliste" ist für uns hier mehr oder weniger sinnfrei, denn wir wissen nichts darüber:
- WO diese Accessliste aktiviert ist
- Ob sie inbound oder Outbound rennt
- WIE grundsätzlich deine IP Adressierung aussieht
Übrigens: NAT Traversal zu deaktivieren ist eigentlich Unsinn, denn damit ist IPsec nicht mehr in der Lage über NAT Router hinweg einen Tunnel aufzubauen. Es ist also sinnvoll das aktiviert zu lassen. Allerdings... es muss auf BEIDEN Seiten aktiviert sein. Macht die ASA kein NAT-T scheitert so eine Verbindung wo es nur einseitig konfiguriert ist logischerweise.
