Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PIX 501 convertiert zu ASA 5505 kein VPN mehr möglich

Frage Netzwerke Router & Routing

Mitglied: Hindin

Hindin (Level 1) - Jetzt verbinden

18.10.2008, aktualisiert 18.10.2012, 8903 Aufrufe, 3 Kommentare

Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr.

Folgende Konfiguration:

Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.
Zweigstelle: Draytek 2910 / dynamische WAN IP.

Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.

Mit folgender Config:

sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 28800

Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.
Folgende Config ist in der ASA aktiv:

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *

Im Syslog werden folgende Einträge angezeigt:
%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!
%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!
%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup
%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes
%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping

Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????
Mitglied: spacyfreak
18.10.2008, aktualisiert 18.10.2012
http://www.administrator.de/wissen/cisco-pix-und-asa-workshop-teil-2-ip ...

Überprüfe die komplette Einstellung pro Tunnel auf beiden Peers. Die IKE Phase 1 (ISAKMP) ist wohl erfolgreich laut Log, aber bei Phase 2 (IPSEC) gibts ein Problem, die Security Associations passen nicht zusammen, ich denke irgendein Parameter (z. B. Lifetime) passt nicht zusamemn.

Schritt für Schritt alle Parameter checken auf beiden gegenüberliegenden Peers!
Bitte warten ..
Mitglied: Hindin
18.10.2008 um 15:00 Uhr
Hallo spacyfreak,

genau nach dieser Anleitung bin ich vorgegangen. Ich verstehe nicht, warum es mit der PIX 501 funktioniert und mit der ASA 5505 nicht. Denn wenn ich die config rübernehme konvertiert er Sie ja in die 7.2.4 Version des IOS.
Ich kann an der Config von mir keinen Fehler finden.

Gruß Daniel
Bitte warten ..
Mitglied: Hindin
18.10.2008 um 15:11 Uhr
Hallo Spacyfreak,

danke für den Tip jetzt funktioniert alles. Die Lifetime war anderst.

Gruß Daniel
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Ist doppeltes Routing mit einer asa 5505 möglich?
gelöst Frage von luchs3Router & Routing8 Kommentare

Hallo, Laut meinem ISP brauche ich folgende Konfiguration: Ich bräuchte für mein Privates Netz eigentlich zwei Router, da die ...

Firewall
Konfiguration von VLAN an einer ASA 5505
gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

Netzwerke
ASA 5505 Clientless SSL und RDP
gelöst Frage von JoeJoeNetzwerke3 Kommentare

Hallo zusammen, habe eine ASA5505 mit ASA Version 8.0(3) ASDM Version 6.4(9) Java 1.7.0_60-b90 Https sind im IE11 und ...

Firewall
Cisco PIX 501 Firewall und Putty
gelöst Frage von User85aFirewall6 Kommentare

Schönen Guten Abend Ich Weiß einfach nicht mehr weiter ist zwar ne Blöde frage aber irgendwie bekomme ich das ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...