onedread 10 Geschrieben 21. Februar 2008 Melden Teilen Geschrieben 21. Februar 2008 HI hab mal versucht Testweise einen VPN aufzubauen über den Cisco VPNCLient, leider ohne Erfolg bekomme imer die Meldung: ISAKMP malformed payload received hab mir schon die Messages auf der Cisco Seite angekuckt und auch den Presharred key geändert leider ohne Erfolge. Mit der Suchfunktion hab ich leider keine Lösung gefunden. 702206 Error Message %PIX-7-702206: ISAKMP malformed payload received (local <ip> (initiator|responder), remote <ip>) Explanation ISAKMP received an illegal or malformed message. May indicate an out of sync problem with the remote peer, a problem decrypting a message, or a message received out of order. Recommended Action If using preshared key, verify local preshared key is configured correctly on local and remote device. Check local and remote configuration, additional troubleshooting may be required if SA fails to come up. Hier die VPN Konfig ip local pool beckft 172.16.87.1-172.16.87.10 mask 255.255.255.0 access-l VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 access-l beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 vpngroup beckft password password vpngroup beckft address-pool beckft vpngroup beckft split-tunnel beckft vpngroup beckft idle-time 1800 mfg onedread Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 21. Februar 2008 Melden Teilen Geschrieben 21. Februar 2008 Wie sieht deine ISAKMP Config aus? Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 21. Februar 2008 Autor Melden Teilen Geschrieben 21. Februar 2008 crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 set peer XXX crypto map outside_map 20 set transform-set ESP-3DES-MD5 ! Incomplete crypto map outside_map interface outside isakmp key ******** address XXX netmask 255.255.255.255 no-xauth no-config-mode isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400 Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 21. Februar 2008 Melden Teilen Geschrieben 21. Februar 2008 und wo ist deine dynamic map? Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 21. Februar 2008 Autor Melden Teilen Geschrieben 21. Februar 2008 aha ok, des is ja schon mal was :) thx werd das mal gleich überprüfen. onedread Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 21. Februar 2008 Melden Teilen Geschrieben 21. Februar 2008 schau mal in das posting von blacky_24, sollte ganz hilfreich sein: http://www.mcseboard.de/cisco-forum-allgemein-38/pix-mehrere-vpn-s-90498.html Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 21. Februar 2008 Autor Melden Teilen Geschrieben 21. Februar 2008 HI so ich kann nun den Tunnel aufmachen bekomme auch eine IP und die dynamische ACl wird auch angelegt. Nur kann ich auf keine Ressource im Netzwerk zugreifen. hab auch noch nat (inside) 0 access-l VPN_NO_NAT gemacht. aber es ist kein Traffic möglich. ciao onedread Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 HI so ich kann nun den Tunnel aufmachen bekomme auch eine IP und die dynamische ACl wird auch angelegt. Nur kann ich auf keine Ressource im Netzwerk zugreifen. hab auch noch nat (inside) 0 access-l VPN_NO_NAT gemacht. aber es ist kein Traffic möglich. ciao onedread Wie sieht die ACL denn aus? Gebe doch mal bitte alle notwendigen configs an, dass macht die Sache um einiges leichter! Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 22. Februar 2008 Autor Melden Teilen Geschrieben 22. Februar 2008 access-list VPN_NO_NAT permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 access-list beckft permit ip 10.11.0.0 255.255.0.0 172.16.87.0 255.255.255.0 nat (inside) 0 access-list VPN_NO_NAT crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac <--- More ---> crypto dynamic-map dyn-beckft 10 set transform-set ESP-3DES-MD5 crypto map outside_map 10 ipsec-isakmp dynamic dyn-beckft crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 set peer XXX crypto map outside_map 20 set transform-set ESP-3DES-MD5 ! Incomplete crypto map outside_map interface outside isakmp enable outside isakmp key ******** address XXXX netmask 255.255.255.255 no-xauth no-config-mode isakmp nat-traversal 20 isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 30 authentication pre-share isakmp policy 30 encryption 3des isakmp policy 30 hash md5 isakmp policy 30 group 2 isakmp policy 30 lifetime 86400 vpngroup beckft address-pool beckft vpngroup beckft split-tunnel beckft vpngroup beckft idle-time 1800 vpngroup beckft password ******** Zur Info der statische site to site Tunnel ist nicht mehr aktiv. Achja noch ne Frage auf Der Pix ist ein vpdn konfiguirert mit pppoe für einen adsl anschluss gibt es einen Befehl wo ich den ADSL Tunnel sagen kann das er sich connecten soll? thx onedread Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Du hast das posting von blacky_24 nicht ganz verstanden... ...die dynamic map muss die höchste ID haben! Deine letzte Frage verstehe ich nicht: vpdn und pppoe??? Oder meinst du pptp? Was meinst Du mit dem ADSL-Tunnel? Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 22. Februar 2008 Autor Melden Teilen Geschrieben 22. Februar 2008 HI vpdn group PPPOEGROUP request dialout pppoe vpdn group PPPOEGROUP localname airamkft@fixip vpdn group PPPOEGROUP ppp authentication pap vpdn username airamkft@fixip password ********* naja die pix wählt sich bei einem adsl modem ein. ok werd das dann mal gleich überprüfen. mfg manu Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 vpdn enable if_name konfiguriert? Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 22. Februar 2008 Autor Melden Teilen Geschrieben 22. Februar 2008 HI wenn ich das mache kommt: Can not enable vpdn on the same interface as PPPoE. onedread Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 HI wenn ich das mache kommt: Can not enable vpdn on the same interface as PPPoE. onedread Jepp, mein Fehler! Diesen Befehl benötigt man fürs VPN. Connection über pppoe sollte sich automatisch aufbauen. Wenn nicht, checke User-ID und PW. Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 22. Februar 2008 Autor Melden Teilen Geschrieben 22. Februar 2008 HI yeah supa danke jetzt hats funktioniert bin jetzt drinn im VPN und im internen netz. Trotzdem gibt es keinen Befehl mit dem man die ADSL connection manuell aufmachen kann? thx hegl, wordo usw... onedread Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.