Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco VPN-Client hinter ASA5505 - kein Traffic

Frage Netzwerke Router & Routing

Mitglied: Florian85

Florian85 (Level 1) - Jetzt verbinden

12.09.2008, aktualisiert 16.09.2008, 7142 Aufrufe, 7 Kommentare

Hallo Netzwerker!

Also folgender Aufbau:

Cisco ASA5505 am DSL-Anschluss (Direkt am Modem)
Dahinter ein normales lokales Lan mit DHCP von der ASA.
Nun ein Notebook angeschlossen.

- IP Adressen korrekt erhalten.
- Internet funktioniert.
- VPN Zugang über Microsoft VPN (Mit Zertifikat) zum Firmennetz funktioniert sofort und einwandfrei. (Variante 1)

Nun das Problem:

Wenn ich nun den Cisco-VPN-Client (Variante 2) benutze und mich verbinde erfolgt der tunnelaufbau einwandfrei. Nur der Traffic im Tunnel findet nicht statt. (Egal welcher)

Dieses Problem tritt momentan nur bei dieser ASA auf. Hinter jedem anderen DSL-Router/PIX etc. funktioniert dies!

Bedeutet also das der Cisco VPN-Client korrekt konfiguriert ist.

Nun mein Gedanke:

Die ASA5505 hat eine Funktion welche bei dem Cisco-VPN-Client-Traffic etwas Blockt. Seltsam ist nun das der Tunnel zustande kommt und erst darin kein Traffic mehr stattfindet. Wie kann die ASA wohl den Traffic in einem Tunnel blocken??

Ich bin für alle hinweise dankbar.
Ich kann auf nachfrage auch die Konfiguration posten (Natürlich ohne Kennwörter *g*)


Gruß,

Florian
Mitglied: aqui
12.09.2008 um 11:08 Uhr
Im Gegensatz zu MS VPN das das PPTP Protokoll (TCP 1723 und GRE Tunnel) benutzt, benutzt der Cisco VPN Client IPsec im ESP Modus und ggf. NAT Traversal sofern aktiviert.
Sehr wahrscheinlich blockt die ASA das ESP Protokoll (IP Protokoll Nummer 50) und vermutlich auch NAT-T mit UDP 4500 so das über den ESP Tunnel keine Kommunikation zustandekommt.
Eine ACL die ESP und ggf. auch NAT-T forwardet sollte das Problem lösen !
Bitte warten ..
Mitglied: Florian85
15.09.2008 um 08:35 Uhr
Leider hat das Einrichten der beiden ACL keinen erfolg gebracht. ich hatte das ESP und das UDP 4500 eingerichtet und erlaubt. Geht leider nicht.

Evtl. Postet einfach beispielsweise die Config-Zeilen für diese Regeln dann kann ich das analog dazu übernehmen. Vielleicht habe ich sie ja falsch angelegt... Außerdem wundert mich das diese Ports nicht automatisch freigegeben sind wenn ich den kompletten IP Traffic nach Extern erlaube...

Seltsam

Gruß,

Florian
Bitte warten ..
Mitglied: aqui
15.09.2008 um 11:46 Uhr
Das hast du dann auch falsch verstanden, denn es geht von extern nach intern, da IKE und ESP beim Aufbau der VPN Session von aussen initiiert werden.
So wird ein Schuh draus !
Bitte warten ..
Mitglied: Florian85
15.09.2008 um 13:44 Uhr
Ich habe genau auch dieses Probiert zumindest hoffe ich es so. (Ich habe deine ACL vorerst wieder gelöscht.) Vielleicht kann mir jemand sagen woran es liegt das ich nun wenn der Cisco-VPN Tunnel aufgebaut ist kein Traffic rüber geht... (Bekommt auch die Richtige IP im Tunnel)
Nur es geht kein Traffic durch den Tunnel.

Ich Poste hier mal die aktuelle Konfig:
Result of the command: "sh run"

Saved
ASA Version 8.0(2)
!
hostname ASA-DSL-Anschluss
domain-name XXXX.com
enable password XXXX encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.178.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group BusinessDSL16000
ip address pppoe
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd XXXX encrypted
banner exec Access only for authorised personal! Offences are pursued Criminal!
banner exec -------------------------------------------------------------------
banner exec Zugriff nur fuer autorisiertes Personal!
banner exec Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner login Access only for authorised personal! Offences are pursued Criminal!
banner login -------------------------------------------------------------------
banner login Zugriff nur fuer autorisiertes Personal!
banner login Zuwiderhandlungen werden Strafrechtlich verfolgt!
banner motd Access only for authorised personal! Offences are pursued Criminal!
banner motd -------------------------------------------------------------------
banner motd Zugriff nur fuer autorisiertes Personal!
banner motd Zuwiderhandlungen werden Strafrechtlich verfolgt!
boot system disk0:/asa802-k8.bin
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name XXXX.com
object-group service NAT-T udp
description NAT-T
port-object eq 4500
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.178.0 255.255.255.0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 217.237.150.115 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 88.79.212.XXX 255.255.255.255 outside
http 88.79.212.XXX 255.255.255.255 outside
http 172.19.42.XXX 255.255.255.255 inside
http 192.168.178.0 255.255.255.0 inside
http 172.19.42.XXX 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto isakmp nat-traversal 10
telnet 192.168.178.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside
vpdn group BusinessDSL16000 request dialout pppoe
vpdn group BusinessDSL16000 localname XXXX
vpdn group BusinessDSL16000 ppp authentication pap
vpdn username XXXX password XXXX
store-local
dhcpd auto_config outside
!
dhcpd address 192.168.178.10-192.168.178.199 inside
dhcpd auto_config outside interface inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inside-class
match any
!
!
policy-map inside-policy
class inside-class
inspect ipsec-pass-thru
!
service-policy inside-policy interface inside
webvpn
enable outside
csd image disk0:/securedesktop-asa-3.2.1.103-k9.pkg
tunnel-group-list enable
group-policy HB-IS-KT-SSL internal
group-policy HB-IS-KT-SSL attributes
vpn-tunnel-protocol webvpn
webvpn
url-list value KT
group-policy HB-IS-KT internal
username XXXX
encrypted privilege 15
username XXXX
encrypted privilege 15
tunnel-group DefaultWEBVPNGroup webvpn-attributes
group-alias Default enable
tunnel-group HB-IS-KT-SSL type remote-access
tunnel-group HB-IS-KT-SSL general-attributes
default-group-policy HB-IS-KT-SSL
tunnel-group HB-IS-KT-SSL webvpn-attributes
group-alias HB-IS-KT-SSL enable
prompt hostname context
Bitte warten ..
Mitglied: Florian85
16.09.2008 um 14:33 Uhr
Kannst du mir Sagen in welchem Konfigurationsbeispiel ich die Lösung zu genau meinem Problem finde?


Danke.

Gruß,

Florian
Bitte warten ..
Mitglied: Florian85
08.12.2009 um 13:33 Uhr
Das Problem liegt darin das auf der ASA selbst. Wenn ein Cisco VPN-Client-Zugang auf der ASA eingerichtet ist kann dann hinter der ASA nicht mehr mit einem Cisco-VPN-Client gearbeitet werden (der sich in ein aderes Netz verbindet) da dann der wieder einkehrende Traffic von der ASA ausgepackt würde. Sprich es geht kein Verkehr durch den Tunnel da die ASA denkt Sie wäre selbst daran beteiligt.

Diese Aussage stammt von einem Schulungstrainer für die ASA.

Habt ihr vielleicht eine andere Idee??? Ich kann mir das irgendwie immer noch nicht so ganz vorstellen.

Gruß,

Florian
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Windows 10
gelöst Windows 10 interner vpn client funktioniert nicht (3)

Frage von tobias3355 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...