User-Authetifizierung ASDM hinter L2L-VPN

[hegl 10]

Folgendes Szenario: Wir betreiben an einer Aussenstelle (LAN = 172.16.55.0) eine ASA5505 (InsideIP: 172.16.55.1), die per L2L-VPN mit unserer Zentrale (LAN = 192.168.202.0) kommuniziert. In der Aussenstelle steht ein Server, von dem aus ich mich per ASDM auf die ASA verbinde. Dies klappt auch soweit ganz gut, wenn ich den lokalen User auf der ASA nehme. In der Zentrale steht aber ein Radius-Server (192.168.202.77), über den ich die Authentifizierung laufen lassen möchte. Von jedem Rechner in der Aussenstelle funktioniert der Zugriff zum Radius-Server, nur von der ASA nicht:

AAA authenication server not accessible : server = 192.168.202.77 : user = xxx

Wo liegt der Fehler?

bearbeitet 12. April 2011 von hegl

[Otaku19 33]

Maybe wird diese Kommunikation nicht getunneled ? Poste mal die wichtigen Configteile,also aaa und den ganzen crypto und acl krempel

[hegl 10]

Maybe wird diese Kommunikation nicht getunneled ?

 

Hmm, wenn das komplette 172.16.55.0 in den Tunnel geschoben wird, wieso sollte dann ausgerechnet die eine IP der ASA 172.16.55.1 nicht in den Tunnel gehen?

 

Ich denke eher, dass die Kommunikation gar nicht über die 172.16.55.1 geht, da sich ja das 192.168.202.0 hinter dem outside-interface verbirgt und nur über den Tunnel erreichbar ist.

 

Das scheint wieder was CISCO-spezifisches zu sein. An einem anderen Standort mit einer äquivalenten Konfiguration, aber mit einer Astaro, klappt das wunderbar.

bearbeitet 12. April 2011 von hegl
Infos hinzugefügt

[Otaku19 33]

dann musst du diese kommunikation auch in die crypto acl aufnehmen, ich wüsste auf die schnelle nciht das man auf der ASA auch ein source interface für radius angeben kann, das geht nur auf IOS