Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PIX 501 convertiert zu ASA 5505 kein VPN mehr möglich

Frage Netzwerke Router & Routing

Mitglied: Hindin

Hindin (Level 1) - Jetzt verbinden

18.10.2008, aktualisiert 18.10.2012, 8857 Aufrufe, 3 Kommentare

Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr.

Folgende Konfiguration:

Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.
Zweigstelle: Draytek 2910 / dynamische WAN IP.

Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.

Mit folgender Config:

sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 28800

Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.
Folgende Config ist in der ASA aktiv:

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *

Im Syslog werden folgende Einträge angezeigt:
%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!
%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!
%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup
%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes
%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping

Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????
Mitglied: spacyfreak
18.10.2008, aktualisiert 18.10.2012
http://www.administrator.de/wissen/cisco-pix-und-asa-workshop-teil-2-ip ...

Überprüfe die komplette Einstellung pro Tunnel auf beiden Peers. Die IKE Phase 1 (ISAKMP) ist wohl erfolgreich laut Log, aber bei Phase 2 (IPSEC) gibts ein Problem, die Security Associations passen nicht zusammen, ich denke irgendein Parameter (z. B. Lifetime) passt nicht zusamemn.

Schritt für Schritt alle Parameter checken auf beiden gegenüberliegenden Peers!
Bitte warten ..
Mitglied: Hindin
18.10.2008 um 15:00 Uhr
Hallo spacyfreak,

genau nach dieser Anleitung bin ich vorgegangen. Ich verstehe nicht, warum es mit der PIX 501 funktioniert und mit der ASA 5505 nicht. Denn wenn ich die config rübernehme konvertiert er Sie ja in die 7.2.4 Version des IOS.
Ich kann an der Config von mir keinen Fehler finden.

Gruß Daniel
Bitte warten ..
Mitglied: Hindin
18.10.2008 um 15:11 Uhr
Hallo Spacyfreak,

danke für den Tip jetzt funktioniert alles. Die Lifetime war anderst.

Gruß Daniel
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

Router & Routing
gelöst Kein VPN möglich mit Zyxel USG110 hinter Fritzbox 7490 (24)

Frage von Storm78 zum Thema Router & Routing ...

Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (9)

Frage von survial555 zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
Keine RDP-Sitzung über VPN mit Windows 10 möglich (4)

Frage von Wonderland zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...