Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco ASA 5510 L2TP IPSEC mit Win2008 Routing und Ras

Frage Sicherheit Firewall

Mitglied: 103609

103609 (Level 1)

17.11.2011 um 22:04 Uhr, 4401 Aufrufe, 4 Kommentare

Hi,

ab und zu war ich schon da und bin bei so manchem Tip auch fündig geworden, nur diesmal will mein Problem sich nicht so Recht "von selbst" lösen und hoffe auf eure Hilfe..... :\

Folgendes Szenario:

Ich möchte eine Cisco ASA 5510 so einrichten (wurde mir von einem it-dienstleister so hingestellt, deswegen hab ich nicht so unmittelbar den masterplan),
dass ich von außen mit mobilen clients (windows XP / win7) einen L2TP/IPSEC Tunnel aufbauen kann.
Im ersten Schritt habe ich dafür PSK auserkoren - as simple as it could be.
Der VPN-Server ist ein Win2k8R2 mit Routing&RAS - user sollen sich direkt mit dem AD-Konto authentifizieren.

Aktuell ist schon PPTP umgesetzt und funktioniert einwandfrei. soweit ich das gesehen habe nach folgenden einträgen:

access-list outside_access_in extended permit tcp any host ras-extern eq pptp
[...]
static (inside,outside) ras-extern ras-intern netmask 255.255.255.255

nun dachte ich mir, dass man mit 500,4500,1701 und esp das ganze zusätzlich wie folgt umsetzt:

access-list outside_access_in extended permit udp any host wartung.extern eq 1701
access-list outside_access_in extended permit udp any host wartung.extern eq 500
access-list outside_access_in extended permit udp any host wartung.extern eq 4500
access-list outside_access_in extended permit esp host ras-extern

Pustekuchen.... der hit-coutner geht z.b. für 500 zwar hoch, aber das wars auch. auf der clientseite kriege ich den fehler 809 (problem beim verbindungsaufbau, ggf. nat prob).

folgende page von cisco habe ich mir dazu schon reingezogen, die ja eigentlich genau das beschreibt was ich machen will, aber ich komme irgendwie auf keinen grünen zweig
Der Absatz zu "Allow L2TP Over IPsec Through PIX/ASA 7.x and Above"
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...

Intern funktioniert der Verbindungsaufbau mit PPTP und L2TP/IPSEC übrigens einwandfrei. Es muss irgendwas in der ASA stecken was da nicht so richtig will....

Ich hoffe, dass da jemand mehr Plan von hat als ich und mir schreibt ;)

Danke schon mal vorab :\
Mitglied: 103609
17.11.2011 um 22:16 Uhr
lololololololololol - sorry for wasting your time -.-

es ist genau so wie ich es oben geschildert habe - genau so funktioniert es; jedenfalls in der theorie.

M$ ist schuld.... ich habe natürlich noch weiterrecherchiert und folgende page gefunden:

http://www.bauer-power.net/2011/10/how-to-connect-windows-l2tp-over-ips ...

das habe ich aus verzweiflung einfach mal ausprobiert und ZACK! es geht -.-

For Windows XP clients do the following:
Click Start > Run. Type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Create a new DWORD called AssumeUDPEncapsulationContextOnSendRule and set the value to 2
Reboot
For Windows Vista/Windows 7 clients (If you don’t like SSTP)

Press WIN+R, type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Create a new DWORD value called AssumeUDPEncapsulationContextOnSendRule and set the value to 2.
Reboot
Now your Windows clients should be able to connect using L2TP over IPSEC without issue.
Bitte warten ..
Mitglied: aqui
18.11.2011 um 12:16 Uhr
Eigentlich Blödsinn einen L2TP Tunnel durch eine ASA aufzubauen. Viel sicherer und stabiler ist es das VPN auf der ASA selber zu terminieren und den Winblows Server unbehelligt zu lassen.
So konterkariert man eigentlich den Einsatz einer Firewall wie die ASA ja nun mal ist. Da hättest du das Gled sparen können und auch einen 20 Euro Baumarkt Router für hinsetzen kömnen... Vermutlich ist dir das gar nicht bewusst ?! Na ja so viel zum Thema "Masterplan" der vermutlich nicht mal ansatzweise existiert...
Aber warum sicher machen wenns unsicherer und einfacher auch geht ?!
Hier findest du eine Konfig wie man es richtig macht auf der ASA das VPN zu terminieren:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
bzw. wenn man hier mal die Suchfunktion benutzt:
http://www.administrator.de/forum/Cisco-ASA-L2TP-IPSec-RemoteAccess-VPN ...
oder wenn man nicht lesen will:
http://gregsowell.com/?p=805
Um das VPN für Dummies zu machen, also L2TP einfach zu tunneln durch die ASA findest du hier eine abtipp fertige Anleitung:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hätte dir das überflüssige, gefährliche und auch sinnfreie Verbiegen der Winblows Komponenten erspart...!
Bitte warten ..
Mitglied: 103609
18.11.2011 um 16:43 Uhr
Hi,

im Grunde hast Du ja Recht - wenn man denn nur diesen Teilaspekt der Anlage betrachtet. Ich hätte es auch lieber anders gehabt. Der RAS-Server war nur schon da und es ist die schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss.
Wie Du aber sicherlich selber weißt gibt es immer mehr als 1 Kriterium an dem bei einer Entscheidung festgehalten wird.... so auch hier.
Die Abtippanleitung hatte ich auch gefunden und in meinem zweiten Post wie Du sicher gesehen hast (oder auch nicht) auch schon die Lösung für das Problem.

Der 20EUR Baumarkt Router hätte es aber auch nicht sein können, weil der die ganzen Verbindungen die gehandelt werden und des abzubildenden Netzwerkes nicht hätte mitmachen können! Allein die Mailhandles im deutlichen 6-stelligen Bereich hätten den aufgeraucht..

Ich möchte Dir aber dennoch für Deinen Beitrag danken, da er wirklich wertvolle Informationen enthält die hoffentlich nun einem Anderen zu Gute kommen.

Und im Übrigen ist ein: "Bitte mit Sarkasmus und Spott zurückhalten wenn man das Gesamtbild nicht kennt" angebracht!
Solch ein Verhalten schadet einem Forum eher als es nützt, da bringt es auch nichts, wenn man im Anschluss aufopfernd Informationen feil bietet und meint man selber scheint am Hellsten.

Danke!
Bitte warten ..
Mitglied: aqui
18.11.2011 um 20:18 Uhr
Na ja das Quäntchen Helligkeit hat dir ja gefehlt um das Gesamtbild darzustellen. Statt dessen konfrontierst du uns mit einer halb garen Quick and Dirty Lösung und einem vollkommen sinnlosen und zudem gefährlichen Registry Hack. Dein Argument "schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss..." kann man wirklich nicht für voll nehmen, denn auf der ASA ist das mit 3 Mausklicks installiert und steht in keinem Verhältnis zum Customizen des Winblows Servers, den Problemen des Port Forwarding auf der Firewall, Regisry Hack usw. usw. Von der Sicherheit wolln wir lieber mal gar nicht reden...
Soviel zum Thema Teilaspekt.
Im übrigen sollte man schon so einen Aufriss aushalten können wenn man sich in ein Forum wagt mit löchrigen Beschreibungen und es mal etwas rauher wird....aber egal...es funktioniert und gut iss...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...