fly87 10 Geschrieben 19. August 2010 Melden Teilen Geschrieben 19. August 2010 Hallo zusammen, ich habe hier eine ASA 5510. Bei dieser bekomme ich beim verbinden, folgende Fehlermeldung. Und ich weiß echt nicht mehr, was ich noch tun soll... 4|Aug 19 2010 17:14:00|713903: Group = itest, IP = 192.168.1.120, Error: Unable to remove PeerTblEntry 3|Aug 19 2010 17:14:00|713902: Group = itest, IP = 192.168.1.120, Removing peer from peer table failed, no match! Ich habe das ganze zunächst mal mit dem VPN Wizard gemacht. Jemand eine Idee?? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 19. August 2010 Melden Teilen Geschrieben 19. August 2010 auch gleich für die gegenseite ? Dann sollten nämlich die configs exakt passen...gib die mal her und wirf mal debugs an Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 19. August 2010 Autor Melden Teilen Geschrieben 19. August 2010 Für die Gegenseite?? Das ist keine Site to Site Verbidung sondern eine Remote Access... Oder soll es werden... :) Also man soll sich per VPN Client anmelden können. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. August 2010 Melden Teilen Geschrieben 20. August 2010 hm wäre zB hilfreich sowas zu erwähnen....was ich vorhin geschrieben haben hat aber weiterhin Gültigkeit, config her und debugs anwerfen Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 25. August 2010 Autor Melden Teilen Geschrieben 25. August 2010 Hallo noch mal, ich konnte das Problem inzwischen einigermaßen beheben. Ich denke mal, jetzt fehlen mir irgendwo noch Rules. Das VPN Sysopt habe ich abgeschaltet, auch wenn Cisco empfiehlt, es eingeschaltet zu lassen. Mir erscheint es aber so, als wäre es besser, weil man mehr Kontrolle hat, das ganze über Access-lists selbst zu steuern. Ich versuche immer gerne die Sachen selbst zu lösen... Aber hier komme ich jetzt nach langer Zeit gar nicht weiter. 2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/54648 to 192.168.1.2/53 due to DNS Query 2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/53683 to 194.8.194.60/53 due to DNS Query 2|Aug 25 2010 16:45:43|106007: Deny inbound UDP from 192.168.1.104/53683 to 192.168.1.2/53 due to DNS Query 6|Aug 25 2010 16:45:42|110002: Failed to locate egress interface for UDP from outside:192.168.1.104/2777 to 239.255.255.250/1900 2|Aug 25 2010 16:45:41|106007: Deny inbound UDP from 192.168.1.104/54648 to 192.168.1.2/53 due to DNS Query 2|Aug 25 2010 16:45:41|106007: Deny inbound UDP from 192.168.1.104/53683 to 192.168.1.2/53 due to DNS Query Manchmal erhalte ich auch die Meldung, das es keine Überstzungsrule gibt... Die Meldungen stimmen auch. Ich habe keine NATs gebaut und keine Access-lists, weil ich da nicht weiter komme. Der Client 192.168.1.104 ist im VPN, der Client 192.168.1.2 ist ein Server hier im Testnetz, der u.a. Domain Controller mit einem DNS Server ist. Weil das Problem ist auch, ich komme zwar ins VPN aber das wars. Von da aus gehts nicht weiter. Kein Ping, kein gar nichts. Da fehlt wohl eine NAT Rule... Aber von wo nach wo? Von 0.0.0.0 0.0.0.0 nach 192.168.1.0 <- ? Dann gäbs ja ein komplett NAT von außen nach innen... Ich komme da zur Zeit nicht weiter. Danke für eine Info... Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. August 2010 Melden Teilen Geschrieben 25. August 2010 Hallo Fly, du hast geschrieben - du haettest es mit dem Wizard gemacht - dann kann obiges nicht passieren - desweiteren bist du noch nicht sattelfest was VPN betrifft - warum schaltest du dann direkt "VPN Sysopt" ab ? - ich kann dir nur den tip geben - lade dir den ASDM "Offline Test Tool" - da kannst du auch mit dem Wizard mal das VPN aufseten - und dann siehst du was er für Rules vorschlägt - wenn du die "verstanden" hast - würde ich mich auf den "Handbetrieb" konzentrieren. Soviel vorab - zu deinem NAT Problem - du hast sicher eine NAT Rule mit der du "raussurfst" - dazu musst du eine passende "DeNAT" Rule bauen - die für den Traffik in den Tunnel das ganze wieder aufheben - aber halt nur für den Traffik vom Internen NET und dem VPN-Client Range. Intressant wäre zu wissen ob IOS 6.2 oder 6.3 - da bei 6.3 alles etwas anderst ist. Wie gesagt - gebe dir aber den TIP nimm ruhig den Wizard - und schau dir an wie es überhaupt aussen müsste - danach kannst du dann immer noch "HAND" anlegen. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. August 2010 Melden Teilen Geschrieben 26. August 2010 auch bei aktivierten sysopt kann man immer noch access-rules nehmen, die kann man an den user oder die gruppe binden. Ansonten...wer immer ein Geheimnis aus seinen Configs macht, bekommt keinen support, Ende. Was denkst du denn geheim halten zu müssen ? Das du eine suuuuper Config hast auf die sonst nie jemand kommen würde ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.