Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PIX 501 convertiert zu ASA 5505 kein VPN mehr möglich

Frage Netzwerke Router & Routing

Mitglied: Hindin

Hindin (Level 1) - Jetzt verbinden

18.10.2008, aktualisiert 18.10.2012, 8874 Aufrufe, 3 Kommentare

Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr.

Folgende Konfiguration:

Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.
Zweigstelle: Draytek 2910 / dynamische WAN IP.

Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.

Mit folgender Config:

sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
isakmp enable outside
isakmp key address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 28800

Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.
Folgende Config ist in der ASA aktiv:

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap 20 ipsec-isakmp dynamic dynmap2
crypto map mymap interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *

Im Syslog werden folgende Einträge angezeigt:
%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!
%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!
%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!
%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup
%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes
%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping

Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????
Mitglied: spacyfreak
18.10.2008, aktualisiert 18.10.2012
http://www.administrator.de/wissen/cisco-pix-und-asa-workshop-teil-2-ip ...

Überprüfe die komplette Einstellung pro Tunnel auf beiden Peers. Die IKE Phase 1 (ISAKMP) ist wohl erfolgreich laut Log, aber bei Phase 2 (IPSEC) gibts ein Problem, die Security Associations passen nicht zusammen, ich denke irgendein Parameter (z. B. Lifetime) passt nicht zusamemn.

Schritt für Schritt alle Parameter checken auf beiden gegenüberliegenden Peers!
Bitte warten ..
Mitglied: Hindin
18.10.2008 um 15:00 Uhr
Hallo spacyfreak,

genau nach dieser Anleitung bin ich vorgegangen. Ich verstehe nicht, warum es mit der PIX 501 funktioniert und mit der ASA 5505 nicht. Denn wenn ich die config rübernehme konvertiert er Sie ja in die 7.2.4 Version des IOS.
Ich kann an der Config von mir keinen Fehler finden.

Gruß Daniel
Bitte warten ..
Mitglied: Hindin
18.10.2008 um 15:11 Uhr
Hallo Spacyfreak,

danke für den Tip jetzt funktioniert alles. Die Lifetime war anderst.

Gruß Daniel
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Firmware Update Cisco ASA 5505 (3)

Frage von JoeJoe zum Thema Switche und Hubs ...

Windows 10
Windows 10 - kein Userlogin möglich (2)

Frage von upiethe zum Thema Windows 10 ...

Google Android
Pixel kann kein VPN zur Fritzbox herstellen! Finger weg von Google Pixel! (5)

Frage von MyApps2GO.de zum Thema Google Android ...

Voice over IP
gelöst Asterisk (FreePBX) Kein Raustelefonieren möglich "Busy" (20)

Frage von jeschero zum Thema Voice over IP ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(8)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
gelöst Nicht Admins erlauben Verknüpfungen zu löschen (17)

Frage von WinLiCLI zum Thema Windows Userverwaltung ...

Windows Update
gelöst WSUS Produkte weiter einschränken (11)

Frage von thaefliger zum Thema Windows Update ...