Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Cisco ASA5505 wird nicht aufgebaut

Frage Netzwerke Router & Routing

Mitglied: killtec

killtec (Level 3) - Jetzt verbinden

10.07.2012, aktualisiert 08:43 Uhr, 4273 Aufrufe, 6 Kommentare

Hallo Administratorengemeinde.
Ich habe ein Problem mit zwei Cisco ASA 5505 ein Site-To Site VPN zu erstellen. Gemeint ist eine sog. LAN-to-LAN Koppplung der zwei ASA's.
Die ASA's laufen in einer Testumgebeung und zuvor habe ich noch nie etwas mit einem Site-to-Site VPN mit Cisco ASA's gemacht.
Evtl. habe ich nur einen kleinen Punkt vergessen zu aktivieren.
Das VPN habe ich als erstes mit dem ASDM Wizard erstellt, jedoch wird es nicht aufgebaut.
Ich habe auch schon mehrfach, u.a. nach dieser Anleitung:
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ ...
und auch dieser:
http://www.networkengineerblog.com/2009/12/configuring-site-to-site-vpn ...

versucht, das VPN zu erstellen. Jeweils ohne Erfolg.

Zur Hardware:
Es handelt sich um zwei identische CISCO ASA 5505 Modelle.
die Firmware ist: 8.2(5)

Zum Netz:
Die erste ASA hat folgende IP's:
Outsite: 192.168.0.2/24
Inside: 10.0.0.1/16
DHCP-Server ist auf dem Inside Interface aktiviert um die Clients zu versorgen.

Die zweite ASA hat folgende IP's:
Outsite: 192.168.0.4/24
Inside: 10.1.0.1/16
Auch hier ist der DHCP aktiviert.

Hier sind die Configs:
http://media.hasecke-online.de/asa/run-cfg-asa01.cfg
http://media.hasecke-online.de/asa/run-cfg-asa02.cfg

Wäre schön, wenn Ihr mir helfen könnt.
Besten Dank

~ Killtec ~
Mitglied: aqui
10.07.2012 um 22:33 Uhr
Hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
findest du fertige ASA Konfigurationen die auf Anhieb nach dem Abtippen laufen !
Bitte warten ..
Mitglied: killtec
11.07.2012 um 08:30 Uhr
Hi aqui,
danke für deine Antwort. Ich weiss nicht wieso, aber wenn ich das abtippe, funktioniert es bei mir trotzdem nicht
Habe dieses Beispiel hier: http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
genommen und an meine ASA's angepasst und folgendes eingetippt:

ASA01:
access-list 100 extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.4
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.4 type ipsec-l2l
tunnel-group 192.168.0.4 ipsec-attributes
pre-shared-key myvpntest

ASA02:
access-list 100 extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
access-list nonat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.2
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.2 type ipsec-l2l
tunnel-group 192.168.0.2 ipsec-attributes
pre-shared-key myvpntest


der Tunnel wird nicht aufgebaut.

Wenn ich die Crypto isakmp sa's und ipsec sa's anzeigen lasse kommt folgendes:

asa02# sh cryp isa sa

There are no isakmp sas
asa02# sh cry ips sa

There are no ipsec sas
asa02# debug cry
asa02# debug crypto isa 7
asa02# debug crypto ips 7
asa02#

Hast du noch einen Tipp?
Danke
Bitte warten ..
Mitglied: aqui
18.07.2012 um 20:57 Uhr
Oha, da fehlen dann noch ein paar IPsec Konfig Schritte. Deine ISAkmp Policies fehlen komplett damit kann es logischerweise auch nicht klappen... Vermutlich hast du nicht wirklich alles abgetippt.
Vielleicht hilft dir mal ein funktionierendes Live Beispiel mit einem IPsec Tunnel auf Monowall oder pfSense:

http://www.administrator.de/contentid/117644
Bitte warten ..
Mitglied: killtec
14.08.2012 um 16:00 Uhr
Ich habe das ganze nochmal mit dem Wizard gemacht,
nach einer Weile Pingen von einem ins andere Netz stand das VPN, warum auch immer. Es dauert anscheind eine ganze Weile, bis das VPN aufgebaut wird und das ganze geschieht auch nur mit hilfe von Traffic auf dem VPN.

Gruß
Bitte warten ..
Mitglied: aqui
14.08.2012 um 17:55 Uhr
Hört sich gut an.
Bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: killtec
14.08.2012 um 18:55 Uhr
Ja, das werde ich tun. Werde das nur nochmal testen ob es nochmal "richtig" klappt und wenn das der Fall ist werde ich das als Gelöst machen
Bitte warten ..
Ähnliche Inhalte
Firewall
VPN Cisco ASA5505 ohne Service Contract
gelöst Frage von YannoschFirewall2 Kommentare

Hallo zusammen, kurze Frage: Gibt es keine Möglichkeit AnyConnect runterzuladen OHNE Cisco Service Contract? Finde das ziemlich bescheiden, da ...

Router & Routing
Konfiguration Cisco ASA5505
Frage von YannoschRouter & Routing7 Kommentare

Guten Tag zusammen, bin gerade dabei eine Cisco ASA5505 für den Heimgebrauch zu konfigurieren. Möchte auch ein VPN mit ...

Firewall
Cisco ASA5505 das letzte Problem.
gelöst Frage von YannoschFirewall9 Kommentare

Hallo zusammen, ich hoffe ihr hattet ein schönes WE. Bei meiner ASA5505 klappt nun alles. Auch das VPN läuft ...

LAN, WAN, Wireless
SiteToSiteVPN PaloAlto und Cisco ASA5505
Frage von YannoschLAN, WAN, Wireless5 Kommentare

Hallo zusammen, folgende Konstellation: Standort 1: Palo Alto PA-200 Firewall mit End-to-Site Client-VPN Verbindung mit Global Protect Agent Davor: ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 3 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 16 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 23 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
Frage von IngenieursBatch & Shell20 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...