-TylerDurden- 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Guten Morgen lieben Community, folgende Gegebenheiten: - Anforderung: VPN-Tunnel zw. CISCO 2800 Router(Wir) mit IOS 12.4(3a) und Fortinet Fortigate 60(Dienstleister) mit PSK - Konfiguration bzgl. Encr., Hash, PSK abgeglichen auf beiden Seiten - Phase 1-ISAKMP-SA wird ohne Probleme aufgebaut - Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird(Ping auf einen Host in unserem LAN). Dann steht der Tunnel aber und von beiden Seiten aus können Pakete versendet werden. - Auf den Router der Gegenstelle habe ich leider keinen Zugriff - Folgend die Konfigurationseinstellen auf dem CISCO: crypto isakmp policy 1 Hier andere Verfahren für andere VPN-Verbindungen crypto isakmp policy 2 Hier andere Verfahren für andere VPN-Verbindungen crypto isakmp policy 3 Hier die Verfahren nach Vorgabe des DL encr 3des hash md5 authentication pre-share group 2 lifetime 8640 crypto isakmp key Übereinstimmender-PSK address IP des DL no-xauth crypto isakmp keepalive 60 periodic crypto isakmp nat keepalive 20 crypto ipsec transform-set ts-3des-md5 esp-3des esp-md5-hmac crypto ipsec df-bit clear crypto dynamic-map vpn-clients-map 1 Für unsere VPN-Clients set ip access-group 103 out set transform-set XXX crypto map vpn-tunnel 6 ipsec-isakmp description vpn-Dienstleister set peer IP des DL set security-association lifetime seconds 8640 set transform-set ts-3des-md5 match address 115 interface FastEthernet0/1 bandwidth 4000 ip address unsere öffentliche IP ip access-group 100 in ip access-group 101 out ip nbar protocol-discovery load-interval 30 duplex auto speed auto crypto map vpn-tunnel service-policy output FORWARD access-list 115 permit ip unser Netz 0.0.255.255 Netz DL 0.0.0.255 Anbei die Debug-Meldungen von Cryptographic Subsystem: Crypto ISAKMP debugging is on Crypto Engine debugging is on Crypto IPSEC debugging is on Crypto IPSEC Error debugging is on nach einem PING auf eine IP im DL-Netz. und die Ausgabe von show crypto ipsec sa Danke im Voraus für eure Hilfe und Gruß, Stefan Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Wo ist denn die Frage? Du willst auch von dir aus das VPN initiieren koennen? Setz mal die isakmp policy vom DL auf 1 und nicht 3. Vielleicht blockt der ab wenn du erst mit was anderem kommst. Zitieren Link zu diesem Kommentar
-TylerDurden- 10 Geschrieben 22. Februar 2008 Autor Melden Teilen Geschrieben 22. Februar 2008 Hallo Wordo, danke für deine Antwort. "Phase2-IPSEC-SA werden nur erstellt, wenn die Verbindung von der Gegenseite initiert wird"...dies ist das Problem. Die crypto isakmp policys sind doch nur für Phase1, die ja erfolgreich abgeschlossen wird, richtig?? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Und wenn du die Verbindung initiierst wird Phase 1 korrekt fertiggestellt? Zitieren Link zu diesem Kommentar
-TylerDurden- 10 Geschrieben 22. Februar 2008 Autor Melden Teilen Geschrieben 22. Februar 2008 JA, so ists. Zitieren Link zu diesem Kommentar
Lian 2.440 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 @Stefan: Bitte die Dateien als Textdateien hochladen. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Ach, jetzt seh ichs erst ... die Prio von der Dynamic-map muss hoeher sein als die der normalen! Zitieren Link zu diesem Kommentar
-TylerDurden- 10 Geschrieben 25. Februar 2008 Autor Melden Teilen Geschrieben 25. Februar 2008 @ Wordo: Müsste die Konfig also so aussehen? War nicht kleinerer Index auch höhere Priorität? crypto map vpn-tunnel 6 ipsec-isakmp description vpn-Dienstleister set peer IP des DL set security-association lifetime seconds 8640 set transform-set ts-3des-md5 match address 115 crypto dynamic-map vpn-clients-map 10 Für unsere VPN-Clients set ip access-group 103 out set transform-set XXX @ Lian: Sorry! Hab's geändert. output-debug-crypto.txt output-sh-crypto-session-sa.txt Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. Februar 2008 Melden Teilen Geschrieben 25. Februar 2008 Bei dynamic-maps wird meisstens immer 65535 empfohlen, also der hoechste Wert. Die 10 sollten auch reichen. Zitieren Link zu diesem Kommentar
-TylerDurden- 10 Geschrieben 25. Februar 2008 Autor Melden Teilen Geschrieben 25. Februar 2008 Ok, besten Dank. Ich werd's mal testen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.