VPN - Cisco - Fortinet - geht nur in eine Richtung

[dormi98 15]

Hallo zusammen!

 

Wir haben vor kurzem einen neuen VPN Tunnel zu einer Aussenstelle eingerichtet. In der Zentrale steht eine Fortigate 60 und in der Aussenstelle eine Cisco Pix.

Der Tunnel baut sich einwandfrei auf, auch wenn er durch ein Leitungsproblem (das leider in der Aussenstelle häufig auftritt) unterbrochen wird.

Das Problem ist, dass der Tunnel nur in eine Richtung nutzbar ist. Mitarbeiter aus der Aussenstelle können auf alle Resourcen in der Zentrale zugreifen, sofern sie diese Verbindung inizieren.

Von der Zentrale aus kann ich nicht auf die Aussenstelle zugreifen.

 

Woran könnte das liegen?

 

Ein Config File poste ich sobald ich wieder auf das Gerät komme, dazu muss mir ja jemand aus der Aussenstelle eine Verbindung aufbauen.

[hegl 10]

Da könnte es mehrere Ursachen geben:

 

- wie sehen Deine outgoing ACL´s aus?

- hast Du für das VPN "bidirektional" konfiguriert (auf ner ASA geht das, ob´s auf der Fortigate geht, weiß ich nicht)

- schau Dir mal folgenden threat an http://www.mcseboard.de/cisco-forum-allgemein-38/vpn-geht-nur-richtung-129663.html

[dormi98 15]

Danke für die Antwort.

 

Habe noch ein paar mehr infos:

Der PIX in der Aussenstelle ist eine:

PIX 506E

Version: 6.3(4)

 

Bei der Foritnet ist meines Wissens ein Tunnel immer bidirektonal - habe zumindest schon mehrere VPNs mit den unterschiedlichsten Gegenstellen gehabt und nie Probleme in die Richtung. Gibt es bei dieser PIX diese Einstellung?

 

Ich habe jetzt mal die wichtigsten Teile aus der running-config. Den Thread habe ich bereits vor meinem Post gelesen, ich kann das aber ehrlichgesagt nicht auf meinen Fall umsetzen.

 

A = Aussenstelle = x.x.x.x /lokales netz:10.127.1.0/24

Y = Zentrale = y.y.y.y /lokales Netz 10.125.1.0/24

 

Hier mal ein Auszug aus der config

..

access-list inside_outbound_nat0_acl permit ip A 255.255.255.0 10.125.1.0 255.255.255.0

access-list outside_cryptomap_20 permit ip A 255.255.255.0 10.125.1.0 255.255.255.0

access-list inside_access_in remark inout

access-list inside_access_in permit ip any any

access-list outside_access_in permit ip 10.125.1.0 255.255.255.0 A 255.255.255.0

..

Die letzte Zeile habe ich hinzugefügt weil ich dachte das könnte was nutzen - das wars wohl nicht.

 

..

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer y.y.y.y

crypto map outside_map 20 set transform-set ESP-3DES-SHA

crypto map outside_map 20 set security-association lifetime seconds 1800 kilobytes 5120

crypto map outside_map interface outside

crypto map inside_map interface inside

isakmp enable outside

isakmp key ******** address y.y.y.y netmask 255.255.255.255 no-xauth no-config-mode

isakmp log 1

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash sha

isakmp policy 20 group 2

isakmp policy 20 lifetime 28800

..

[hegl 10]

Bei der Foritnet ist meines Wissens ein Tunnel immer bidirektonal - habe zumindest schon mehrere VPNs mit den unterschiedlichsten Gegenstellen gehabt und nie Probleme in die Richtung. Gibt es bei dieser PIX diese Einstellung?

 

Nein, bei der PIX hat man die Option meines Wissens nach auch nicht, erst ab der ASA.

 

Was sagt denn das logging? Kommen Pakete auf der PIX an, oder werden die schon in der Zentrale geblockt/verworfen?

[dormi98 15]

So, wir haben das Problem nach Stunden nun gelöst.

Das Problem lag auf der Seite der Fortinet. Dort muss in der Policy abgesehen vom Zielnetz auch der Tunnel angegeben werden, der verwendet werden soll. Hier war ein alter Eintrag drin. Zusätzliche Probleme hat hier ein offensichlicher Bug verursacht. Genau dieser der Teil wurde im Webinterface nicht angezeigt. Erst nachdem wir den eintrag über die Konsole verändert haben war er im Webinterface auch zu sehen bzw. zu ändern.