MYOEY 10 Geschrieben 16. Mai 2008 Melden Teilen Geschrieben 16. Mai 2008 Moin Moin, Ich versuche zwischen einem C6506(mit VPN Modul) und einer PIX501 einen Site-to-Site IPSec Tunnel aufzubauen. Es funktioniert soweit bis auf daß ich keinen ping durchbekomme und komische state auf der Switch-Seite habe! Sobal ich versuche intersting traffic zu erzeugen, bekomme ich auf mit dem command "sho cry isa sa" auf beiden Seiten die folgenden Medlungen: PIX state: QM_IDLE Switch state:CONF_ADDR was bedeutet eigentlich state "CONF_ADDR" und woran könnte es liegen? Hoffe, hat man sowas gesehen hat! Danke im voraus Grüsse Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 16. Mai 2008 Melden Teilen Geschrieben 16. Mai 2008 Bist Du sicher, dass der Tunnel steht? Habe zwar keine Erfahrung mit dem VPN-Modul, aber bei sh cry isa sa sollten dir eigentlich die IKE-Peer angezeigt werden. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. Mai 2008 Melden Teilen Geschrieben 16. Mai 2008 CONF_ADDR hoert sich bisschen nach EasyVPN statt Site-to-Site an ... Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 19. Mai 2008 Autor Melden Teilen Geschrieben 19. Mai 2008 Erstmal danke für die Antworten! Hier mal die config: PIX: access-list noNAT permit ip 192.168.1.0 255.255.255.0 10.16.0.0 255.255.0.0 sysopt connection permit-ipsec crypto ipsec transform-set policy1 esp-3des esp-md5-hmac crypto map cisco 10 ipsec-isakmp crypto map cisco 10 match address noNAT crypto map cisco 10 set peer x.x.x.x crypto map cisco 10 set transform-set policy1 crypto map cisco interface outside isakmp enable outside isakmp key *********** address x.x.x.x netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash md5 isakmp policy 1 group 2 isakmp policy 1 lifetime 86400 C6506 config: aaa new-model aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key plazamedia address Y.Y.Y.Y no-xauth crypto isakmp keepalive 30 5 ! crypto isakmp client configuration group test key ******** pool SDM_POOL_1 netmask 255.255.255.0 crypto ipsec transform-set policy1 esp-3des esp-md5-hmac crypto dynamic-map SDM_DYNMAP_1 1 set transform-set policy1 reverse-route crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 crypto map SDM_CMAP_1 10 ipsec-isakmp set peer Y.Y.Y.Y set transform-set policy1 match address 100 interface vlan 35 description [ outside - Internet ] crypto map SDM_CMAP_1 ip local pool SDM_POOL_1 192.168.1.1 192.168.1.100 access-list 100 permit ip 10.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255 Ich möchte dass, der Catalyst6506 als VPN Remote Access Server und auch Site-to-Site macht aber das tut er anscheinend nicht!!! hab ich da was übersehen oder fehlt irgendwas noch in der config?? mit der o. g. config funktioniert VPN Remote Access ohne Problem aber L2L nicht und bekomme als status "CONF_ADDR" mit sho cry isa sa. Wenn ich aber die folgenden 3 Zeilen von der config rausnehme, funktioniert L2L aber Remote Access nicht mehr: crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond Wie läßt sich sowas konfigurieren, sodass ich mich über Cisco VPN Client auf den C6506 verbinden kann und er auch als peer eine L2L VPN Verbindung aufbauen kann? was ist der zusammenhang der 3 Zeilen mit Site-to-Site tunnel? Ich dachte, die sind nur für die VPN Clients! Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 21. Mai 2008 Autor Melden Teilen Geschrieben 21. Mai 2008 bin leider noch nicht weitergekommen... keine Idee oder Tipp ;-) Gruß Zitieren Link zu diesem Kommentar
isehuet 10 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Hast du ICMP offen? Ping ist standardmässig nicht erlaubt. Was gibt es aus, wenn du folgenden Command eingibst? sh crypto session Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.