Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Cisco ASA5505 wird nicht aufgebaut

Frage Netzwerke Router & Routing

Mitglied: killtec

killtec (Level 3) - Jetzt verbinden

10.07.2012, aktualisiert 08:43 Uhr, 4166 Aufrufe, 6 Kommentare

Hallo Administratorengemeinde.
Ich habe ein Problem mit zwei Cisco ASA 5505 ein Site-To Site VPN zu erstellen. Gemeint ist eine sog. LAN-to-LAN Koppplung der zwei ASA's.
Die ASA's laufen in einer Testumgebeung und zuvor habe ich noch nie etwas mit einem Site-to-Site VPN mit Cisco ASA's gemacht.
Evtl. habe ich nur einen kleinen Punkt vergessen zu aktivieren.
Das VPN habe ich als erstes mit dem ASDM Wizard erstellt, jedoch wird es nicht aufgebaut.
Ich habe auch schon mehrfach, u.a. nach dieser Anleitung:
http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/ ...
und auch dieser:
http://www.networkengineerblog.com/2009/12/configuring-site-to-site-vpn ...

versucht, das VPN zu erstellen. Jeweils ohne Erfolg.

Zur Hardware:
Es handelt sich um zwei identische CISCO ASA 5505 Modelle.
die Firmware ist: 8.2(5)

Zum Netz:
Die erste ASA hat folgende IP's:
Outsite: 192.168.0.2/24
Inside: 10.0.0.1/16
DHCP-Server ist auf dem Inside Interface aktiviert um die Clients zu versorgen.

Die zweite ASA hat folgende IP's:
Outsite: 192.168.0.4/24
Inside: 10.1.0.1/16
Auch hier ist der DHCP aktiviert.

Hier sind die Configs:
http://media.hasecke-online.de/asa/run-cfg-asa01.cfg
http://media.hasecke-online.de/asa/run-cfg-asa02.cfg

Wäre schön, wenn Ihr mir helfen könnt.
Besten Dank

~ Killtec ~
Mitglied: aqui
10.07.2012 um 22:33 Uhr
Hier:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
findest du fertige ASA Konfigurationen die auf Anhieb nach dem Abtippen laufen !
Bitte warten ..
Mitglied: killtec
11.07.2012 um 08:30 Uhr
Hi aqui,
danke für deine Antwort. Ich weiss nicht wieso, aber wenn ich das abtippe, funktioniert es bei mir trotzdem nicht
Habe dieses Beispiel hier: http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
genommen und an meine ASA's angepasst und folgendes eingetippt:

ASA01:
access-list 100 extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
access-list nonat extended permit ip 10.0.0.0 255.255.0.0 10.1.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.4
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.4 type ipsec-l2l
tunnel-group 192.168.0.4 ipsec-attributes
pre-shared-key myvpntest

ASA02:
access-list 100 extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
access-list nonat extended permit ip 10.1.0.0 255.255.0.0 10.0.0.0 255.255.0.0
global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer 192.168.0.2
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 192.168.0.2 type ipsec-l2l
tunnel-group 192.168.0.2 ipsec-attributes
pre-shared-key myvpntest


der Tunnel wird nicht aufgebaut.

Wenn ich die Crypto isakmp sa's und ipsec sa's anzeigen lasse kommt folgendes:

asa02# sh cryp isa sa

There are no isakmp sas
asa02# sh cry ips sa

There are no ipsec sas
asa02# debug cry
asa02# debug crypto isa 7
asa02# debug crypto ips 7
asa02#

Hast du noch einen Tipp?
Danke
Bitte warten ..
Mitglied: aqui
18.07.2012 um 20:57 Uhr
Oha, da fehlen dann noch ein paar IPsec Konfig Schritte. Deine ISAkmp Policies fehlen komplett damit kann es logischerweise auch nicht klappen... Vermutlich hast du nicht wirklich alles abgetippt.
Vielleicht hilft dir mal ein funktionierendes Live Beispiel mit einem IPsec Tunnel auf Monowall oder pfSense:

http://www.administrator.de/contentid/117644
Bitte warten ..
Mitglied: killtec
14.08.2012 um 16:00 Uhr
Ich habe das ganze nochmal mit dem Wizard gemacht,
nach einer Weile Pingen von einem ins andere Netz stand das VPN, warum auch immer. Es dauert anscheind eine ganze Weile, bis das VPN aufgebaut wird und das ganze geschieht auch nur mit hilfe von Traffic auf dem VPN.

Gruß
Bitte warten ..
Mitglied: aqui
14.08.2012 um 17:55 Uhr
Hört sich gut an.
Bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: killtec
14.08.2012 um 18:55 Uhr
Ja, das werde ich tun. Werde das nur nochmal testen ob es nochmal "richtig" klappt und wenn das der Fall ist werde ich das als Gelöst machen
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Konfiguration Cisco ASA5505 (7)

Frage von Yannosch zum Thema Router & Routing ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...