ASA 5510 VPN site2site und remote access auf dem selben interface

[jussi 11]

Hallo,

 

ich habe probleme den ite2site tunnel und das remote vpn auf das gleich interface zu legen.

solange remote acces auf dem anderen liegt ist alles i.o. sobald ich beides auf das gleiche (vpn interfac e) lege bricht der s2s tunnel zusammen)

 

aktuelle config, beide auf verschiedenen interfaces:

 

remote access:

----------------------

 

ip local pool VPN_Pool_new x.y.nx.1-x.y.nx.254 mask 255.255.255.0

 

group-policy remote_vpn internal

group-policy remote_vpn attributes

dns-server value x.y.z.n

vpn-tunnel-protocol IPSec

wins-server value x.y.z.n

dns-server value x.y.z.n

vpn-tunnel-protocol IPSec

default-domain value dummy.local

 

 

 

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto dynamic-map remotevpn_dyn_map 20 set transform-set ESP-3DES-SHA

crypto dynamic-map remotevpn_dyn_map 20 set security-association lifetime seconds 288000

crypto map remotevpn_map 20 ipsec-isakmp dynamic remotevpn_dyn_map

crypto map remotevpn_map interface outside # ********

crypto isakmp enable outside # ********

crypto isakmp policy 20

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

crypto isakmp nat-traversal 20

 

tunnel-group remotevpn type ipsec-ra

tunnel-group remotevpn general-attributes

 

 

address-pool VPN_Pool_new

default-group-policy remote_vpn

tunnel-group remotevpn ipsec-attributes

pre-shared-key XXXXXX

 

sobald ich die mit ***** gekennzeichneten Zeilen auf

 

crypto map remotevpn_map interface vpn

crypto isakmp enable vpn

 

ändere, wobei das interface vpn eben den site-2-site tunnel treibt, bricht der site-2-site zusammen.

 

VIelen Dank im voraus für eure Meinungen.

[Otaku19 33]

je interface spielts nur eien crypto-map..in dide kann man man aber RA und L2L einbinden

[jussi 11]

schreib ich einfach beides in die cryptomap rein?

 

Kennst du da ein knackiges howto?

 

Danke im Voraus.

[Otaku19 33]

alle RA mässige eben in die gleiche cryptomap wie die L2L Sachen, nur eben mit der höchsten Sequenznummer (35xxx irgendwas ?)

[jussi 11]

otaku, ich muss hier noch mal nen alten thread hervorholen.

 

habe nun endlich mal zeit gehabt das zu tun was du mir geraten hast.

beide vpns (site2site und remote access) in die gleich cryptomap lege, antwortet die asa nicht auf ra anfragen zum vergleich:

 

 

 

GEHT:

-----------

 

crypto dynamic-map remotevpn_dyn_map 20 set transform-set ESP-3DES-SHA

crypto dynamic-map remotevpn_dyn_map 20 set security-association lifetime seconds 288000

 

crypto map OUTSIDE_MAP 20 match address <accessliste>

crypto map OUTSIDE_MAP 20 set pfs

crypto map OUTSIDE_MAP 20 set peer <peername>

crypto map OUTSIDE_MAP 20 set transform-set <transformset>

crypto map OUTSIDE_MAP 20 set security-association lifetime seconds 3600

crypto map OUTSIDE_MAP interface vpn

 

crypto map REMOTE_MAP 20 ipsec-isakmp dynamic remotevpn_dyn_map

crypto map REMOTE_MAP interface outside

 

crypto isakmp enable outside

crypto isakmp enable vpn

 

 

GEHT NICHT:

----------------------

 

crypto dynamic-map remotevpn_dyn_map 20 set transform-set ESP-3DES-SHA

crypto dynamic-map remotevpn_dyn_map 20 set security-association lifetime seconds 288000

 

crypto map OUTSIDE_MAP 20 match address <accessliste>

crypto map OUTSIDE_MAP 20 set pfs

crypto map OUTSIDE_MAP 20 set peer <peername>

crypto map OUTSIDE_MAP 20 set transform-set <transformset>

crypto map OUTSIDE_MAP 20 set security-association lifetime seconds 3600

crypto map OUTSIDE_MAP interface vpn

crypto map OUTSIDE_MAP 65535 ipsec-isakmp dynamic remotevpn_dyn_map

 

crypto isakmp enable outside

crypto isakmp enable vpn

 

 

 

 

 

alle anderen config parts identisch, im client die peer ip aufs das entsprechende 2. interface der asa (vpn) gelegt.

 

 

das log des clients meldet im 2. fall

 

DEL_REASON_PEER_NOT_RESPONDING

 

sieht aus wie eine fw regel die das verhindert, aber ich sehe nicht das irgendwo etwas bestimmtes für das interface outside geöffnet war was hier eine rolle spielt.

bearbeitet 13. April 2010 von jussi

[jussi 11]

noch mal ich!

 

ich glaube ich habe (mal wieder) ein schlichtes routing problem.

 

 

die default route liegt doch am interface outside, dann wird doch NIEMALS remote-access am interface vpn funktionieren, ich weiss ja nicht von wo der ra zugriff kommt, kann ihn also auch nicht statisch routen.

 

 

Die ASA unterstützt kein PBR lese ich gerade.... also dann gehen mir die ideen aus.

bearbeitet 13. April 2010 von jussi

[blackbox 10]

Hallo,

 

da musst du in der Config noch grundlegende Fehler haben - den schau mal - folgendes klappt ohne Probs :

 

crypto map outside_map 40 match address outside_40_cryptomap

crypto map outside_map 40 set pfs group5

crypto map outside_map 40 set peer xxxxxxx

crypto map outside_map 40 set transform-set ESP-AES-256-MD5

crypto map outside_map 40 set security-association lifetime seconds 3600

crypto map outside_map 40 set security-association lifetime kilobytes 4608000

crypto map outside_map 60 match address outside_60_cryptomap

crypto map outside_map 60 set pfs

crypto map outside_map 60 set peer zzzzzzzzzzzzz

crypto map outside_map 60 set transform-set ESP-3DES-MD5

crypto map outside_map 60 set security-association lifetime seconds 28800

crypto map outside_map 60 set security-association lifetime kilobytes 4608000

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map interface outside

crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP

crypto map inside_map interface inside

 

Ich weiss aber nicht was du mit dem Routing meinst. Es gibt auf einer Firewall ein "Outside" Interface - wo die Outside IP anliegt und eine Default Route nach draussen. Alle VPN´s von extern terminieren auf dem Interface. Ich denke du solltest ne kleine Zeichnung für uns machen - was du vorhast und uns die komplette Config zur Verfügung stellen.

[Otaku19 33]

ne, dafür hat er ja ein eigenes VPN Interface :) hat wohl outside und VPN je ein anderes offiziösses Netz nach draussen :) War wohl gedacht um RA/Tunneltraffic komplett getrennt abhandeln zu können

[jussi 11]

hintergrund ist folgender:

 

vorher gab es eine internetleitung. asymmetrisch (kleiner uplaod) für mail/surfen + remote access vpn.

Dann kam ein site to site tunnel dazu, welcher eine bestimmte bandbreite in beiden richtungen erforderte. man schaffte eine 2. leitung an, symmetrisch. den site2site tunnel habe ich darauf gelegt und das macht nun soviel spass, dass das ra vpn auch darauf gelegt werden soll, was aber nicht geht da die df route auf outside liegt (weil natürlich surfen , mailen etc weiter darüber laufen soll).

ein klassischer fall für pbr, welches die asa scheinbar nicht kann.

 

blackbox, die maps sind schon ok, wenn ich ne hostroute auf die ip lege von welchem ich das versucht habe, geht es natürlich, allerdings halte ich es nicht für praktikabel, dass jeder der r-a machten will vorher anruft um dem admin die derzeitige ip mitzuteilen. :P

[Otaku19 33]

tja dann -> RA VPN bleibt am outside :)

[jussi 11]

oder ich verkaufe dem jetzt ne richtige firewall/vpn konzentrator *wegduck*

 

danke für deine hilfe

[Otaku19 33]

also ein eigenes device rein für allerlei remote unsinn, jo, bei grösseren Setups durchaus üblich, haben wir sogar selber so im Einsatz. Allerdings sind Konzentratoren schon lange weg vom Fenster und ne ASA nur deswegen hinstellen (vor allem eine die die genug VPNs verträgt siehe Cisco ASA 5500 Series Adaptive Security Appliances Models Comparison - Cisco Systems) kommt einen doch relativ teuer.

[blackbox 10]

@jussi

 

das du Zwei Lines auf 2 Interfaces hast - konnte man nicht erkennen - wenn wir uns den Satz anschauen - mit dem du den Thread begonnen hast

 

"ich habe probleme den ite2site tunnel und das remote vpn auf das gleich interface zu legen."

[jussi 11]

otaku, danke für die liste, aber ich habe überlegt ein produkt eines anderen herstellers zu nehmen. ist natürlich abhängig vom budget.

 

black, du musst halt mehr als den ersten satz lesen :-p aber ist doch np. hauptsache ich weiss jetzt warum es nicht funzt.

[Otaku19 33]

komisch , ich habs verstanden :)

 

denke auch das du mit einem reinem VPN Device besser fährst, auch wenn das dann das Aus für Cico bedeutet. Bei einer grossen ASA zahlst du sonst zig Features mit die du dann eh nicht benutzt