MYOEY 10 Geschrieben 26. Juli 2010 Melden Geschrieben 26. Juli 2010 Hallo, folgende Konstellation: zwei Cisco ASA bauen eine Site-to-Site VPN Verbindung zwischen Zentrale(ASA5510) und einer Außenstelle(ASA5505). Der Tunnel kann sauber von beiden Seiten aufgebaut werden. In der Außenstelle befindet sich hinter der ASA das Netz 10.0.0.0/24 und in der Zentrale mehrere Netze 172.16.0.0/16, 172.18.0.0/16 und 192.168.0.0/16. wenn ich von der zentrale irgendeinen Host in der Außenstelle anpinge, kriege ich sofort Antwort aber wenn ich von der Außenstelle irgendeinen Host in der Zentrale anpinge, bekomme keine Antwort solange bis ich von diesem Host(in der Zentrale) erst einen Ping auf den Host in der Außenstelle setze dann funktioniert die Kommunikation von beiden Seiten. ACL’s auf beiden Seiten habe ich bereit überprüft und da wird überhaupt nichts geblockt! woran könnte es liegen, dass die Hosts in der Zentrale erst erreichbar, wenn die Kommunikation von der Zentrale schon mal getestet wurde? was kann die Ursache sein? Für jeden Tipp bzw. Idee dankbar! Zitieren
blackbox 10 Geschrieben 26. Juli 2010 Melden Geschrieben 26. Juli 2010 Hi, da würde ich sagen, werden die Phase 2 Sessions nicht sauber aufgebaut - das wenn die eine Seite versucht diese aufzubauen es schief geht und von der anderen geht es. Am besten das VPM Debuggen - wenn du versuchst von b nach a und dann von a nach B - auf beiden Firewalls (Debug Level 255) Zitieren
Wordo 11 Geschrieben 26. Juli 2010 Melden Geschrieben 26. Juli 2010 Bei der Konfiguration der Crypto-Map gibts doch noch nen Haken fuer "Bidirektional" .. schau mal ob der drin is ... Zitieren
Otaku19 33 Geschrieben 26. Juli 2010 Melden Geschrieben 26. Juli 2010 bidirektional ? kenn ich nicht... zeig mal die crypto config. in dem Fall hier mal cryptp-map und die zugehörige crypto ACL Zitieren
Wordo 11 Geschrieben 26. Juli 2010 Melden Geschrieben 26. Juli 2010 Hmm .. jetzt find ich nicht mal mehr den Punkt mit dem ich das verwechselt haben koennte :confused: Zitieren
hegl 10 Geschrieben 27. Juli 2010 Melden Geschrieben 27. Juli 2010 bidirektional ? kenn ich nicht... siehe Anhang. Könnte es - wenn es daran nicht liegt - sogar sein, dass das VPN keine Site-2-Site, sondern ein Eazy-VPN ist? Dann wäre das Verhalten normal. Zitieren
Wordo 11 Geschrieben 27. Juli 2010 Melden Geschrieben 27. Juli 2010 Danke, ich mir sicher das irgendwo mal gelesen zu haben :D Zitieren
MYOEY 10 Geschrieben 27. Juli 2010 Autor Melden Geschrieben 27. Juli 2010 Vielen Dank für euere Tipps... nun funktioniert es, es lag an unstimmigkeiten in der Phase1 bzw. Phase2 --> not acceptable proposals Mit hilfe von "debug cry isa 255" und "debug cry ips 255" konnte es festgestellt und anschließend beseitigt werden. Danke & Gruß Zitieren
Otaku19 33 Geschrieben 27. Juli 2010 Melden Geschrieben 27. Juli 2010 dann dürfts aber in keine der Richtungen klappen, eigentlich ;) Zitieren
blackbox 10 Geschrieben 27. Juli 2010 Melden Geschrieben 27. Juli 2010 Doch - genau das habe ich mir gedacht - drum meinte ich den Debug - das habe ich bei der ASA schon häufiger gehabt - z.B. das PFS zickt da teils rum oder auf einer Seite ist eine mehr als auf der anderen Definiert. Dann geht eine und die andere Richtung nicht. Zitieren
MYOEY 10 Geschrieben 28. Juli 2010 Autor Melden Geschrieben 28. Juli 2010 @Otaku19 da bin ich voll deiner Meinung! normalerweise dürfte in keiner Richtung was durchgehen!!! da müßen doch die beiden Phasen1/2 vollständig und erfolgreich aufgebaut sein oder? Durch debug war auch "Mismatch von "Diffie-Hellman Group" zusehen, auf einer Seite war "2" konfiguriert und auf der andere Seite war "5" Aber warum ging es in eine Richtung??? Zitieren
blackbox 10 Geschrieben 28. Juli 2010 Melden Geschrieben 28. Juli 2010 Hi, genau das ist es - die ASA macht bei der DH Group ganz tolle Sachen - habe ich schon häufiger gehabt - das er in eine Richtung sich dann eine andere passende Policies gesucht hat - die zu einem ganz anderen VPN gehörte und damit die Session gestartet - anderstrum passte es dann natürlich nicht. Ist aber schon immer in der 8.x so. Zitieren
Wordo 11 Geschrieben 28. Juli 2010 Melden Geschrieben 28. Juli 2010 Koennte auch was mit Prioritaeten sein, 5 < 2 deswegen geht 5 auf 2, aber 2 auf 5 nicht. Mit anderen Herstellern ist das aber auch so. Wenn einer z.B. 192.168.0.0/24 => 10.0.0.0/24 eingetragen hat und der andere aber 10.0.0.0/16 kann auch schon mal nur von einer Seite aus klappen. Zitieren
Otaku19 33 Geschrieben 28. Juli 2010 Melden Geschrieben 28. Juli 2010 naja naja...im debug scheinene manche Fehler so auf als ob es am DH liegt...zb wenn man au einer Seite PSK und auf der andren certificate hat, dann schauts im logging auch so aus als obs am DH liegen würde..eben am Ende "keien passenden proposals gefunden" Das mit unterschiedlich grossen Encryptiondomains ist oft das Problem zwischen Cisco und Checkpoint, denn Checkpoint versucht die domains imer soweit wie möglich zusammenzufassen. dann Funtk der Afbau Cisco->Checkpoint, aber nicht umgekehrt Zitieren
Wordo 11 Geschrieben 29. Juli 2010 Melden Geschrieben 29. Juli 2010 Wieso wird mir immer schlecht wenn ich "Encryption Domains" lese ... :D Immer wenn ich mit jemandem telefonier der Checkpoint hat, redet er total geschwollen daher und hat einfach 0 Ahnung ;) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.