PIX 501 convertiert zu ASA 5505 kein VPN mehr möglich

[Hindin 10]

Wir wollen unserer PIX 501 durch einen ASA 5505 ersetzen. Beim rüber nehmen der Config gab es einige Probleme. Seither funktioniert die Einwahl von unserer Zweigstelle nicht mehr.

 

Folgende Konfiguration:

 

Hauptniederlassung: PIX 501 / neu ASA 5505 dynamische WAN IP.

Zweigstelle: Draytek 2910 / dynamische WAN IP.

 

Bisher hat sich der Draytek Router bei der PIX eingewählt. Hat alles funktioniert.

 

Mit folgender Config:

 

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac

crypto dynamic-map dynmap 10 set transform-set myset

crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5

crypto map mymap 10 ipsec-isakmp dynamic dynmap

crypto map mymap 20 ipsec-isakmp dynamic dynmap2

crypto map mymap interface outside

isakmp enable outside

isakmp key ******** address 0.0.0.0 netmask 0.0.0.0

isakmp identity address

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption des

isakmp policy 20 hash md5

isakmp policy 20 group 1

isakmp policy 20 lifetime 28800

 

Bei der übernahme der Config in die ASA wurden tunnel-groups angelegt. Und seither funktioniert die Einwahl nicht mehr.

Folgende Config ist in der ASA aktiv:

 

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto ipsec transform-set Tunnel-ESPDES-MD5 esp-des esp-md5-hmac

crypto dynamic-map dynmap 10 set transform-set myset

crypto dynamic-map dynmap2 10 set transform-set Tunnel-ESPDES-MD5

crypto map mymap 10 ipsec-isakmp dynamic dynmap

crypto map mymap 20 ipsec-isakmp dynamic dynmap2

crypto map mymap interface outside

crypto isakmp identity address

crypto isakmp enable outside

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash md5

group 2

lifetime 86400

crypto isakmp policy 20

authentication pre-share

encryption des

hash md5

group 2

lifetime 28800

tunnel-group DefaultL2LGroup ipsec-attributes

pre-shared-key *

 

Im Syslog werden folgende Einträge angezeigt:

%ASA-4-113019: Group = DefaultL2LGroup, Username = DefaultL2LGroup, IP = 91.89.211.102, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch

%ASA-3-713214: Group = DefaultL2LGroup, IP = 91.89.211.102, Could not delete route for L2L peer that came in on a dynamic map. address: 192.168.150.0, mask: 255.0.0.0

%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, Removing peer from correlator table failed, no match!

%ASA-3-713902: Group = DefaultL2LGroup, IP = 91.89.211.102, QM FSM error (P2 struct &0x427de48, mess id 0x771f749f)!

%ASA-5-713904: Group = DefaultL2LGroup, IP = 91.89.211.102, All IPSec SA proposals found unacceptable!

%ASA-3-713119: Group = DefaultL2LGroup, IP = 91.89.211.102, PHASE 1 COMPLETED

%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = DefaultL2LGroup

%ASA-4-713903: Group = DefaultL2LGroup, IP = 91.89.211.102, Freeing previously allocated memory for authorization-dn-attributes

%ASA-5-713904: IP = 91.89.211.102, Received encrypted packet with no matching SA, dropping

 

Ich weiß nicht mehr weiter, da ich mich nicht so tief in der Materie Cisco auskenne. Kann mir jemand weiterhelfen????

[makana 10]

Also viel kann man aus der konfig nicht entnehmen aber ich den mal die Fehlermeldung im Log deutet darauf hin das die porbolas nicht über einstimmen-

 

1. hast du beim kopieren der konig den preyshared key als zeichefolge rein geschrieben denn in der konfig steht er ja nur als "*"

 

2. würde ich sagen fehlt meiner Meinung noch die zeile

"crypto isakmp nat-traversal 30"

 

3. ein crypto map müste in etwa so ausschauen

 

crypto map outside_map 1 match address outside_1_cryptomap

crypto map outside_map 1 set peer xxx.xxx.xxx.xxx

crypto map outside_map 1 set transform-set ESP-AES-256-MD5

 

und dann überprüfe mal bitte dein Nat regeln bzw die expt nat Regeln

access-list inside_nat0_outbound extended permit ip "source-netz" "dest-netz" 255.255.255.0

global (outside) 1 interface

nat (inside) 0 access-list inside_nat0_outbound

nat (inside) 1 0.0.0.0 0.0.0.0

 

oder poste mal bitte die ganze config komplett