sessi 10 Geschrieben 20. Januar 2009 Melden Teilen Geschrieben 20. Januar 2009 Hallo zusammen Ich bekomme bei einer ASA 5505 auf welcher wir VPN einrichten müssen immer die Fehlermeldung: Group = DefaultRAGroup, IP = 83.77.252.142, Error: Unable to remove PeerTblEntry Ich habe die Usereinstellungen überprüft, kann aber keinen Fehler feststellen. Warum wird die DefaultRAGroup aufgelöst und nich die von mir erstellte Gruppe Birmann? Hier die Konfig: Result of the command: "sh run" : Saved : ASA Version 7.2(4) ! domain-name ********.local access-list inside_access_in extended permit udp any any access-list inside_access_in extended permit ip any any access-list outside_access_in extended permit ip any any access-list outside_access_in extended permit udp any any access-list outside_access_in extended permit tcp any any eq pop3 access-list outside_access_in extended permit tcp any any eq smtp access-list Birmann_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.96 255.255.255.240 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool BirmannRemote 192.168.2.100-192.168.2.110 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-524.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 access-group inside_access_in in interface inside access-group outside_access_in in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs group5 crypto dynamic-map outside_dyn_map 20 set transform-set ESP-AES-256-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group Bluewin request dialout pppoe vpdn group Bluewin localname *bluewinbiz.ch vpdn group Bluewin ppp authentication chap vpdn username *bluewinbiz.ch password ********* store-local dhcpd auto_config outside ! dhcpd address 192.168.1.2-192.168.1.129 inside ! group-policy Birmann internal group-policy Birmann attributes dns-server value 192.168.1.6 195.186.1.110 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value Birmann_splitTunnelAcl default-domain value birmann.local username barth password YCDLvPla/vRkcdX1 encrypted privilege 0 username barth attributes vpn-group-policy Birmann username bechtle password EywDjxLlfwXKsis7 encrypted privilege 15 username bechtle attributes vpn-group-policy Birmann tunnel-group DefaultRAGroup general-attributes default-group-policy Birmann tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group Birmann type ipsec-ra tunnel-group Birmann general-attributes address-pool BirmannRemote default-group-policy Birmann tunnel-group Birmann ipsec-attributes pre-shared-key * tunnel-group-map default-group Birmann ! ! service-policy global_policy global prompt hostname context Cryptochecksum:31dd65a5c2009fdc97cbb21f3f61296c : end liebe Grüsse Sessi Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 21. Januar 2009 Melden Teilen Geschrieben 21. Januar 2009 Ich habe mal ne alte config rausgekramt und meine mich auch erinnern zu können, dass das gewählte transform-set nicht geht. Versuch es mal mit 128-Bit AES. In meiner alten config finde ich auch keine Eintrag analog zu tunnel-group-map default-group Birmann Also könnte der überflüssig sein oder sogar ggf. stören. Teste es einfach mal aus. Zitieren Link zu diesem Kommentar
sessi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Danke für die Antwort. Ich habe die ASA neu aufgesetzt und den VPN Wizard neu gestartet. Leider bekomme ich immer noch den selben Fehler: IP = 83.77.194.214, Received ISAKMP Aggressive Mode message 1 with unknown tunnel group name 'barth'. Group = DefaultRAGroup, IP = 83.77.194.214, Removing peer from peer table failed, no match! Hier nochmals die neue Konfig: : Saved : ASA Version 8.0(4) ! hostname ciscoasa domain-name xxxxxxxxxx.local enable password K.xxxxxxxxxxxx encrypted passwd xxxxxxxxxxxx encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.220 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address xxx.xxx.48.78 255.255.255.240 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name xxxxxxxxx.local access-list outside_access_in extended permit icmp any 192.168.1.0 255.255.255.0 echo access-list outside_access_in extended permit ip any any access-list Birmann_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.10.96 255.255.255.240 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 ip local pool VPN-IP-Pool 192.168.10.100-192.168.10.110 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any echo outside asdm image disk0:/asdm-613.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 212.120.48.65 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 Zitieren Link zu diesem Kommentar
sessi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption aes hash sha group 5 lifetime 86400 telnet 192.168.1.0 255.255.255.0 inside telnet timeout 5 ssh 192.168.1.0 255.255.255.0 inside ssh timeout 5 console timeout 0 dhcpd auto_config outside ! dhcpd address 192.168.1.2-192.168.1.129 inside ! threat-detection basic-threat threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list no threat-detection statistics tcp-intercept group-policy DfltGrpPolicy attributes group-policy Birmann internal group-policy Birmann attributes dns-server value 195.186.1.110 192.168.1.6 vpn-tunnel-protocol IPSec l2tp-ipsec svc split-tunnel-policy tunnelspecified default-domain value xxxxxxxxxxx.local username barth password xxxxxxxxxxxx encrypted privilege 0 username xxxxx attributes vpn-group-policy xxxxxxxxx username bechtle password xxxxxxxxxxxxxO encrypted privilege 0 username bechtle attributes vpn-group-policy Birmann tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group Birmann type remote-access tunnel-group Birmann general-attributes address-pool VPN-IP-Pool default-group-policy Birmann tunnel-group Birmann ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:2ffce04a9ce7e5628326861b6e2e8bec : end – Hallo zusammen. Danke an alle die sich Gedanken gemacht und Tipps gegeben haben. Die Lösung ist: 1 - Beim VPN Client entspricht der Name dem Tunnelgroupname und das Passwort dem PSK. 2 - AES 256 geht nicht, 3DES und AES 128 geht. freundliche Grüsse Sessi Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 22. Januar 2009 Melden Teilen Geschrieben 22. Januar 2009 1 - Beim VPN Client entspricht der Name dem Tunnelgroupname und das Passwort dem PSK. Ist mir bekannt, erklärt aber nicht, warum die DefaultRA-Group angezogen wurde. 2 - AES 256 geht nicht, 3DES und AES 128 geht. Hatte ich doch richtig in Erinnerung ;) Zitieren Link zu diesem Kommentar
sessi 10 Geschrieben 22. Januar 2009 Autor Melden Teilen Geschrieben 22. Januar 2009 Ich nehme an dass die defaultRAGroup angezogen wurde weil: Der auf dem Cisco Client hinterlegte "Name" keiner Gruppe entsprach, und desshalb versucht wurde die Authentisierung über die DefaultRAGrupp abzuwickeln. Der entsprechende Tunnelgruppenname fand sich aber auch da nicht und desshalb ham die Fehlermeldung. Dies wäre meine Erklärung Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.