luckystrike04 10 Geschrieben 23. Oktober 2007 Melden Teilen Geschrieben 23. Oktober 2007 Hallo zusammen, ich habe mal wieder ein VPN-Problem. Ich möchte ein Site-to-Site-VPN zwischen einer PIX501 und einer ASA5505 aufbauen. Der Tunnel wurde auf beiden Seiten mittels PDM/ASDM konfiguriert. Möchte ich den Tunnelaufbau von einem Client hinter der ASA anstossen, funktioniert dies einwandfrei. Wenn ich aber versuche den Tunnel von einem Client hinter der PIX zu starten, wird dieser nicht aufgebaut. Im Log der ASA ist zu sehen dass Phase1 erfolgreich war. Bei Phase2 kommt dann der Fehler: All IPSec SA proposals found unacceptable! PIX-Version ist 6.3, die ASA läuft mit der 7.2er-Version. luckystrike Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2007 Melden Teilen Geschrieben 23. Oktober 2007 Bei Phase2 kommt dann der Fehler: All IPSec SA proposals found unacceptable! Haste schon mal versucht bei beiden nur eine Proposal zu konfigurieren (Transformset)? Zitieren Link zu diesem Kommentar
luckystrike04 10 Geschrieben 23. Oktober 2007 Autor Melden Teilen Geschrieben 23. Oktober 2007 Hi Wordo, was meinst Du mit nur einem Transformset? Mal ein kurzer Auszug aus der Config der ASA. Die PIX-CFG sieht genauso aus. ... crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto map outside_map 20 match address outside_20_cryptomap crypto map outside_map 20 set pfs crypto map outside_map 20 set peer "ip-remoteside" crypto map outside_map 20 set transform-set ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 ... Was mir auch noch nicht ganz klar ist, ist der Eintrag "...set pfs". Den habe ich ausschließlich auf der ASA. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Oktober 2007 Melden Teilen Geschrieben 23. Oktober 2007 Nimm den PFS aus der ASA raus und stell von DES auf 3DES. Zitieren Link zu diesem Kommentar
luckystrike04 10 Geschrieben 24. Oktober 2007 Autor Melden Teilen Geschrieben 24. Oktober 2007 So, hab ich gemacht und - siehe da - es funktioniert. Wo wir schon dabei sind. Welche Verschlüsselungseinstellungen sind den momentan empfehlenswert? Vielen Dank für die Hilfe und viele Grüße. luckystrike Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 Von der Performance und Sicherheit auf deinen Systemen wuerde ich sagen 3DES und SHA1, wenn auf beiden AES geht, dann AES. Zitieren Link zu diesem Kommentar
luckystrike04 10 Geschrieben 24. Oktober 2007 Autor Melden Teilen Geschrieben 24. Oktober 2007 AES klappt. Also nochmal vielen Dank. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 24. Oktober 2007 Melden Teilen Geschrieben 24. Oktober 2007 Mit "crypto map outside_map 20 set pfs" kann man doch noch die DH Group in der Phase 2 angeben sehe ich das richtig? Gruß Dirk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.