Probleme mit Site-to-Site-Tunnel

[luckystrike04 10]

Hallo zusammen,

 

ich habe ein Problem beim Aufbau eines IPSec-Tunnels zwischen zwei ASA5505.

 

Habe das bisher schon mehrmals erfolgreich konfiguriert.

Aber diesmal schießt irgendetwas quer.

 

Der Tunnel wird einfach nicht aufgebaut.

 

Der Tunnel wird via VPN-Wizard konfiguriert.

Die Parameter wurden mehrfach auf Richtigkeit überprüft.

 

Sobald ich vom internen Netz hinter ASA1 auf eine Ressource im internen Netz hinter ASA2 zugreifen will passiert nichts.

 

In den Syslog-Messages sehe ich keinerlei Meldungen zum Tunnelaufbau sondern nur, dass mein Paket von der ACL denied wurde.

 

Die betreffenden Pakete werden also wohl gar nicht als "tunnelrelevant" angesehen.

 

Hier mal ein kurzer Auszug aus der Konfiguration von ASA1:

 

...

access-list outside_2_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.178.0 255.255.255.0

...

nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static

NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24

...

crypto map outside_map 2 match address outside_2_cryptomap

crypto map outside_map 2 set pfs group1

crypto map outside_map 2 set peer xxx.xxx.xxx.xxx

crypto map outside_map 2 set transform-set ESP-AES-256-SHA

...

 

Woran kann das liegen, dass die betreffenden Pakete nicht den Tunnelaufbau initiieren?

 

Viele Grüße

Christoph

[Otaku19 33]

die lange nat wurst schaut komisch aus, 8,3 ?

 

Ansonsten ->debugs anwerfen, wenn möglich encryption nullen und so auch am outside mitschnüffeln können.

[blackbox 10]

Hi,

 

schau mal - was der unter den NAT Rules gemacht hat. Beim 8.3er Software hängt er die Rules immer unten an - ggf. hast du weiter oben eine NAT Rule - die falsch natted.

[sessi 10]

hi luckystrike

 

Check Phase1

 

sh isakmp sa

 

Check Phase2

 

sh ipsec sa

 

Eine detailierte Anleitung findest Du unter:

 

ASA VPN - Cisco asa vpn Configuration

 

Wenn Du mit dem ASDM arbeitest. Schalte Dein Log ein (Home Site). Und poste die Fehlermeldungen.

 

Gruss Sessi

[blackbox 10]

Hi,

 

oder gib mal die ganze Config - so ist das aus dem Zusammenhang gerissen.

[Otaku19 33]

dann aber wenn möglich gleich beide Seiten

[MYOEY 10]

was sagen eigentlich deine debugs:

 

debug cry isakmp 255

debug cry ipsec 255

 

und prüf mal bitte folgendes:

 

crypto map outside_map interface outside

[luckystrike04 10]

So, wieder da.

 

Also ich musste jetzt (aus Termingründen) eine schnelle Lösung finden.

Ich habe die ASA auf die Version 7.2 downgegradet, sie dann konfiguriert (inkl. funktinierendem VPN) und sie anschließend wieder auf Version 8.3 upgegradet.

Und dann hats funktioniert.

 

Ich habe dann mal die beiden unterschiedlichen NAT-Konfigurationen verglichen:

 

Auf 8.3 konfiguriert(ASDM) (funktioniert nicht):

 

nat (inside,outside) source static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 destination static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24

 

 

Auf 7.2 konfiguriert(ASDM) und anschließend auf 8.3 upgegradet (funktioniert):

 

nat (inside,any) source static obj-192.168.178.0 obj-192.168.178.0 destination static obj-192.168.100.0 obj-192.168.100.0

 

Ich werde die Tage weiter dranbleiben und an einer neuen ASA eure debug-tipps testen.

 

Viele Grüße

[Otaku19 33]

vorrausgesetzt das in den objekten das gleiche definiert ist, ist das NAT eh gleich...bis auf die Tastache das bei einem inside,outside und beim anderen inside,any steht, wo terminiert denn das VPN ?

 

Aus termingründen sotware rauf und runter zu graden ist übrigens keine gute Idee, schon garnicht wenn sich wie bei 8.3 mal eben das NAT Konzept komplett umkrempelt. Prinzipiell gilt, selbst wenn man die Realease Notes auswendig kann, man kann nie wissen was passiert bis man es tatsächlich durchgeführt hat