Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco VPN-Client hinter ASA5505 - kein Traffic

Frage Netzwerke Router & Routing

Mitglied: Florian85

Florian85 (Level 1) - Jetzt verbinden

12.09.2008, aktualisiert 16.09.2008, 7185 Aufrufe, 7 Kommentare

Hallo Netzwerker!

Also folgender Aufbau:

Cisco ASA5505 am DSL-Anschluss (Direkt am Modem)
Dahinter ein normales lokales Lan mit DHCP von der ASA.
Nun ein Notebook angeschlossen.

- IP Adressen korrekt erhalten.
- Internet funktioniert.
- VPN Zugang über Microsoft VPN (Mit Zertifikat) zum Firmennetz funktioniert sofort und einwandfrei. (Variante 1)

Nun das Problem:

Wenn ich nun den Cisco-VPN-Client (Variante 2) benutze und mich verbinde erfolgt der tunnelaufbau einwandfrei. Nur der Traffic im Tunnel findet nicht statt. (Egal welcher)

Dieses Problem tritt momentan nur bei dieser ASA auf. Hinter jedem anderen DSL-Router/PIX etc. funktioniert dies!

Bedeutet also das der Cisco VPN-Client korrekt konfiguriert ist.

Nun mein Gedanke:

Die ASA5505 hat eine Funktion welche bei dem Cisco-VPN-Client-Traffic etwas Blockt. Seltsam ist nun das der Tunnel zustande kommt und erst darin kein Traffic mehr stattfindet. Wie kann die ASA wohl den Traffic in einem Tunnel blocken??

Ich bin für alle hinweise dankbar.
Ich kann auf nachfrage auch die Konfiguration posten (Natürlich ohne Kennwörter *g*)


Gruß,

Florian
Mitglied: aqui
12.09.2008 um 11:08 Uhr
Im Gegensatz zu MS VPN das das PPTP Protokoll (TCP 1723 und GRE Tunnel) benutzt, benutzt der Cisco VPN Client IPsec im ESP Modus und ggf. NAT Traversal sofern aktiviert.
Sehr wahrscheinlich blockt die ASA das ESP Protokoll (IP Protokoll Nummer 50) und vermutlich auch NAT-T mit UDP 4500 so das über den ESP Tunnel keine Kommunikation zustandekommt.
Eine ACL die ESP und ggf. auch NAT-T forwardet sollte das Problem lösen !
Bitte warten ..
Mitglied: Florian85
15.09.2008 um 08:35 Uhr
Leider hat das Einrichten der beiden ACL keinen erfolg gebracht. ich hatte das ESP und das UDP 4500 eingerichtet und erlaubt. Geht leider nicht.

Evtl. Postet einfach beispielsweise die Config-Zeilen für diese Regeln dann kann ich das analog dazu übernehmen. Vielleicht habe ich sie ja falsch angelegt... Außerdem wundert mich das diese Ports nicht automatisch freigegeben sind wenn ich den kompletten IP Traffic nach Extern erlaube...

Seltsam

Gruß,

Florian
Bitte warten ..
Mitglied: aqui
15.09.2008 um 11:46 Uhr
Das hast du dann auch falsch verstanden, denn es geht von extern nach intern, da IKE und ESP beim Aufbau der VPN Session von aussen initiiert werden.
So wird ein Schuh draus !
Bitte warten ..
Mitglied: Florian85
15.09.2008 um 13:44 Uhr
Ich habe genau auch dieses Probiert zumindest hoffe ich es so. (Ich habe deine ACL vorerst wieder gelöscht.) Vielleicht kann mir jemand sagen woran es liegt das ich nun wenn der Cisco-VPN Tunnel aufgebaut ist kein Traffic rüber geht... (Bekommt auch die Richtige IP im Tunnel)
Nur es geht kein Traffic durch den Tunnel.

Ich Poste hier mal die aktuelle Konfig:
Result of the command: "sh run"

Saved
ASA Version 8.0(2)
!
hostname ASA-DSL-Anschluss
domain-name XXXX.com
enable password XXXX encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.178.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group BusinessDSL16000
ip address pppoe
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd XXXX encrypted
banner exec Access only for authorised personal! Offences are pursued Criminal!
banner exec -------------------------------------------------------------------
banner exec Zugriff nur fuer autorisiertes Personal!
banner exec Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner login Access only for authorised personal! Offences are pursued Criminal!
banner login -------------------------------------------------------------------
banner login Zugriff nur fuer autorisiertes Personal!
banner login Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner motd Access only for authorised personal! Offences are pursued Criminal!
banner motd -------------------------------------------------------------------
banner motd Zugriff nur fuer autorisiertes Personal!
banner motd Zuwiderhandlungen werden Strafrechtlich verfolgt!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name XXXX.com
object-group service NAT-T udp
description NAT-T
port-object eq 4500
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.178.0 255.255.255.0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 217.237.150.115 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 88.79.212.XXX 255.255.255.255 outside
http 88.79.212.XXX 255.255.255.255 outside
http 172.19.42.XXX 255.255.255.255 inside
http 192.168.178.0 255.255.255.0 inside
http 172.19.42.XXX 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto isakmp nat-traversal 10
telnet 192.168.178.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group BusinessDSL16000 request dialout pppoe
vpdn group BusinessDSL16000 localname XXXX
vpdn group BusinessDSL16000 ppp authentication pap
vpdn username XXXX password XXXX
store-local
dhcpd auto_config outside
!
dhcpd address 192.168.178.10-192.168.178.199 inside
dhcpd auto_config outside interface inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inside-class
match any
!
!
policy-map inside-policy
class inside-class
inspect ipsec-pass-thru
!
service-policy inside-policy interface inside
webvpn
enable outside
csd image disk0:/securedesktop-asa-3.2.1.103-k9.pkg
tunnel-group-list enable
group-policy HB-IS-KT-SSL internal
group-policy HB-IS-KT-SSL attributes
vpn-tunnel-protocol webvpn
webvpn
url-list value KT
group-policy HB-IS-KT internal
username XXXX
encrypted privilege 15
username XXXX
encrypted privilege 15
tunnel-group DefaultWEBVPNGroup webvpn-attributes
group-alias Default enable
tunnel-group HB-IS-KT-SSL type remote-access
tunnel-group HB-IS-KT-SSL general-attributes
default-group-policy HB-IS-KT-SSL
tunnel-group HB-IS-KT-SSL webvpn-attributes
group-alias HB-IS-KT-SSL enable
prompt hostname context
Bitte warten ..
Mitglied: Florian85
16.09.2008 um 14:33 Uhr
Kannst du mir Sagen in welchem Konfigurationsbeispiel ich die Lösung zu genau meinem Problem finde?


Danke.

Gruß,

Florian
Bitte warten ..
Mitglied: Florian85
08.12.2009 um 13:33 Uhr
Das Problem liegt darin das auf der ASA selbst. Wenn ein Cisco VPN-Client-Zugang auf der ASA eingerichtet ist kann dann hinter der ASA nicht mehr mit einem Cisco-VPN-Client gearbeitet werden (der sich in ein aderes Netz verbindet) da dann der wieder einkehrende Traffic von der ASA ausgepackt würde. Sprich es geht kein Verkehr durch den Tunnel da die ASA denkt Sie wäre selbst daran beteiligt.

Diese Aussage stammt von einem Schulungstrainer für die ASA.

Habt ihr vielleicht eine andere Idee??? Ich kann mir das irgendwie immer noch nicht so ganz vorstellen.

Gruß,

Florian
Bitte warten ..
Ähnliche Inhalte
Firewall
VPN Cisco ASA5505 ohne Service Contract
gelöst Frage von YannoschFirewall2 Kommentare

Hallo zusammen, kurze Frage: Gibt es keine Möglichkeit AnyConnect runterzuladen OHNE Cisco Service Contract? Finde das ziemlich bescheiden, da ...

Router & Routing
Konfiguration Cisco ASA5505
Frage von YannoschRouter & Routing7 Kommentare

Guten Tag zusammen, bin gerade dabei eine Cisco ASA5505 für den Heimgebrauch zu konfigurieren. Möchte auch ein VPN mit ...

Firewall
Cisco ASA5505 das letzte Problem.
gelöst Frage von YannoschFirewall9 Kommentare

Hallo zusammen, ich hoffe ihr hattet ein schönes WE. Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft ...

LAN, WAN, Wireless
SiteToSiteVPN PaloAlto und Cisco ASA5505
Frage von YannoschLAN, WAN, Wireless5 Kommentare

Hallo zusammen, folgende Konstellation: Standort 1: Palo Alto PA-200 Firewall mit End-to-Site Client-VPN Verbindung mit Global Protect Agent Davor: ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 16 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 16 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...