Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

GELÖST

Cisco ASA 5510 L2TP IPSEC mit Win2008 Routing und Ras

Mitglied: 103609

103609 (Level 1)

17.11.2011 um 22:04 Uhr, 4436 Aufrufe, 4 Kommentare

Hi,

ab und zu war ich schon da und bin bei so manchem Tip auch fündig geworden, nur diesmal will mein Problem sich nicht so Recht "von selbst" lösen und hoffe auf eure Hilfe..... :\

Folgendes Szenario:

Ich möchte eine Cisco ASA 5510 so einrichten (wurde mir von einem it-dienstleister so hingestellt, deswegen hab ich nicht so unmittelbar den masterplan),
dass ich von außen mit mobilen clients (windows XP / win7) einen L2TP/IPSEC Tunnel aufbauen kann.
Im ersten Schritt habe ich dafür PSK auserkoren - as simple as it could be.
Der VPN-Server ist ein Win2k8R2 mit Routing&RAS - user sollen sich direkt mit dem AD-Konto authentifizieren.

Aktuell ist schon PPTP umgesetzt und funktioniert einwandfrei. soweit ich das gesehen habe nach folgenden einträgen:

access-list outside_access_in extended permit tcp any host ras-extern eq pptp
[...]
static (inside,outside) ras-extern ras-intern netmask 255.255.255.255

nun dachte ich mir, dass man mit 500,4500,1701 und esp das ganze zusätzlich wie folgt umsetzt:

access-list outside_access_in extended permit udp any host wartung.extern eq 1701
access-list outside_access_in extended permit udp any host wartung.extern eq 500
access-list outside_access_in extended permit udp any host wartung.extern eq 4500
access-list outside_access_in extended permit esp host ras-extern

Pustekuchen.... der hit-coutner geht z.b. für 500 zwar hoch, aber das wars auch. auf der clientseite kriege ich den fehler 809 (problem beim verbindungsaufbau, ggf. nat prob).

folgende page von cisco habe ich mir dazu schon reingezogen, die ja eigentlich genau das beschreibt was ich machen will, aber ich komme irgendwie auf keinen grünen zweig
Der Absatz zu "Allow L2TP Over IPsec Through PIX/ASA 7.x and Above"
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...

Intern funktioniert der Verbindungsaufbau mit PPTP und L2TP/IPSEC übrigens einwandfrei. Es muss irgendwas in der ASA stecken was da nicht so richtig will....

Ich hoffe, dass da jemand mehr Plan von hat als ich und mir schreibt ;)

Danke schon mal vorab :\
Mitglied: 103609
17.11.2011 um 22:16 Uhr
lololololololololol - sorry for wasting your time -.-

es ist genau so wie ich es oben geschildert habe - genau so funktioniert es; jedenfalls in der theorie.

M$ ist schuld.... ich habe natürlich noch weiterrecherchiert und folgende page gefunden:

http://www.bauer-power.net/2011/10/how-to-connect-windows-l2tp-over-ips ...

das habe ich aus verzweiflung einfach mal ausprobiert und ZACK! es geht -.-

For Windows XP clients do the following:
Click Start > Run. Type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Create a new DWORD called AssumeUDPEncapsulationContextOnSendRule and set the value to 2
Reboot
For Windows Vista/Windows 7 clients (If you don’t like SSTP)

Press WIN+R, type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Create a new DWORD value called AssumeUDPEncapsulationContextOnSendRule and set the value to 2.
Reboot
Now your Windows clients should be able to connect using L2TP over IPSEC without issue.
Bitte warten ..
Mitglied: aqui
18.11.2011 um 12:16 Uhr
Eigentlich Blödsinn einen L2TP Tunnel durch eine ASA aufzubauen. Viel sicherer und stabiler ist es das VPN auf der ASA selber zu terminieren und den Winblows Server unbehelligt zu lassen.
So konterkariert man eigentlich den Einsatz einer Firewall wie die ASA ja nun mal ist. Da hättest du das Gled sparen können und auch einen 20 Euro Baumarkt Router für hinsetzen kömnen... Vermutlich ist dir das gar nicht bewusst ?! Na ja so viel zum Thema "Masterplan" der vermutlich nicht mal ansatzweise existiert...
Aber warum sicher machen wenns unsicherer und einfacher auch geht ?!
Hier findest du eine Konfig wie man es richtig macht auf der ASA das VPN zu terminieren:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
bzw. wenn man hier mal die Suchfunktion benutzt:
http://www.administrator.de/forum/Cisco-ASA-L2TP-IPSec-RemoteAccess-VPN ...
oder wenn man nicht lesen will:
http://gregsowell.com/?p=805
Um das VPN für Dummies zu machen, also L2TP einfach zu tunneln durch die ASA findest du hier eine abtipp fertige Anleitung:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hätte dir das überflüssige, gefährliche und auch sinnfreie Verbiegen der Winblows Komponenten erspart...!
Bitte warten ..
Mitglied: 103609
18.11.2011 um 16:43 Uhr
Hi,

im Grunde hast Du ja Recht - wenn man denn nur diesen Teilaspekt der Anlage betrachtet. Ich hätte es auch lieber anders gehabt. Der RAS-Server war nur schon da und es ist die schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss.
Wie Du aber sicherlich selber weißt gibt es immer mehr als 1 Kriterium an dem bei einer Entscheidung festgehalten wird.... so auch hier.
Die Abtippanleitung hatte ich auch gefunden und in meinem zweiten Post wie Du sicher gesehen hast (oder auch nicht) auch schon die Lösung für das Problem.

Der 20EUR Baumarkt Router hätte es aber auch nicht sein können, weil der die ganzen Verbindungen die gehandelt werden und des abzubildenden Netzwerkes nicht hätte mitmachen können! Allein die Mailhandles im deutlichen 6-stelligen Bereich hätten den aufgeraucht..

Ich möchte Dir aber dennoch für Deinen Beitrag danken, da er wirklich wertvolle Informationen enthält die hoffentlich nun einem Anderen zu Gute kommen.

Und im Übrigen ist ein: "Bitte mit Sarkasmus und Spott zurückhalten wenn man das Gesamtbild nicht kennt" angebracht!
Solch ein Verhalten schadet einem Forum eher als es nützt, da bringt es auch nichts, wenn man im Anschluss aufopfernd Informationen feil bietet und meint man selber scheint am Hellsten.

Danke!
Bitte warten ..
Mitglied: aqui
18.11.2011 um 20:18 Uhr
Na ja das Quäntchen Helligkeit hat dir ja gefehlt um das Gesamtbild darzustellen. Statt dessen konfrontierst du uns mit einer halb garen Quick and Dirty Lösung und einem vollkommen sinnlosen und zudem gefährlichen Registry Hack. Dein Argument "schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss..." kann man wirklich nicht für voll nehmen, denn auf der ASA ist das mit 3 Mausklicks installiert und steht in keinem Verhältnis zum Customizen des Winblows Servers, den Problemen des Port Forwarding auf der Firewall, Regisry Hack usw. usw. Von der Sicherheit wolln wir lieber mal gar nicht reden...
Soviel zum Thema Teilaspekt.
Im übrigen sollte man schon so einen Aufriss aushalten können wenn man sich in ein Forum wagt mit löchrigen Beschreibungen und es mal etwas rauher wird....aber egal...es funktioniert und gut iss...
Bitte warten ..
Ähnliche Inhalte
Firewall
Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen
Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

Windows Server
L2TP over IPSEC
gelöst Frage von sardldbWindows Server6 Kommentare

Hallo Zusammen Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem ...

Router & Routing
Mikrotik L2TP IPSec ausschlieslich über Schlüssel
Frage von Rolf-Hanka.ITDRouter & Routing5 Kommentare

Hallo Freunde, ich habe hier einen Mikrotik Router. Alles was ich soweit konfiguriert habe funktioniert. Ich baue VPN Verbindungen ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit29 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

SAN, NAS, DAS
Hilfe beim Einrichten eines Storages (SAN)
gelöst Frage von Vader666SAN, NAS, DAS15 Kommentare

Hallo Admins! Ich bin in einer kleineren Firma und hatte bisher mit dem Thema SAN nur in meiner Ausbildung ...

Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...