VPN L2L Cisco Asa zu Lancom 1821+

TheStranger · Beitrag von **TheStranger** » 21 Apr 2009, 17:38

Hiho,

ich habe ein kleines Problem bezüglich der Konfiguration von nem L2L VPN.

Die Konfiguration der Asa scheint meiner Einschätzung nach nicht das Problem zu sein, da andere L2L VPNs zu anderen peers (keine LANCOM Geräte) erstellt werden können und funktionieren

Deshalb vermute ich den Fehler bei meiner LANCOM konfiguration.

Ein VPN Trace erbrachte folgendes:

Code: Alles auswählen

[VPN-Status] 2009/04/21 17:08:10,270
VPN: rulesets installed

[VPN-Status] 2009/04/21 17:08:11,630
IKE log: 170811.000000 Default ipsec_validate_id_information: dubious ID information accepted
IKE info: The remote server x.x.x.x:500 peer CISCOASA id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server x.x.x.x:500 peer CISCOASA id <no_id> supports NAT-T in mode draft
IKE info: The remote server x.x.x.x:500 peer CISCOASA id <no_id> supports NAT-T in mode draft

[VPN-Status] 2009/04/21 17:08:11,640
IKE info: Phase-1 remote proposal 1 for peer CISCOASA matched with local proposal 1

* Folgender Abschnitt nur im Trace sichtbar, wenn die Erstellung des Tunnels von dem LAN vom LANCOM aus erstellt wird, anderenfallse (bei erstellen der Verbindung vom Netz hinter der Asa) wiederholen sich nur obere schritte*
[VPN-Status] 2009/04/21 17:15:15,830
VPN: connection for CISCOASA (x.x.x.x) timed out: no response

Die Authentifizierung erfolgt über einen Presharedkey, welchen ich jedoch auch schon auf Richtigkeit überprüft habe (war ein möglicher Grund, den ich irgendwo mal im Netz als Ursache gefunden habe).

Hat jmd eine Idee, woran das Ganze scheitern könnte ?

Viele Grüße.

networker · Beitrag von **networker** » 07 Mai 2009, 22:21

Sieht aus als würde Phase 2 nicht zum Erfolg kommen. Was sagt das Log der ASA?

Mirko

TheStranger · Beitrag von **TheStranger** » 22 Mai 2009, 12:28

Das Problem lag an einem wieiteren Gerät, welches dazwischen geschaltet gewesen ist und den für Phase 2 benötigten Traffic geblockt hat.

Mittlerweile bekomme ich zwar eine Verbindung, jedoch läuft es noch nicht so wie ich es mir vorstelle.

Im Moment beschäftigen mich hier ein anderes Problem.

Ich möchte ein Ping durch den Tunnel schicken.
LAN: 192.168.40.0 / 24
Gateway CiscoASA

zu
LAN 192.168.55.0 / 24
Gateway Lancom

Sobald ich nun das Ping zum Beispiel vom 40iger Netz ins 55er Netz schick, kommt es durch den Tunnel beim LANCOM an, doch kann er die Rückadresse wohl nicht finden. Ich bekomme nur:

Code: Alles auswählen

[mehrfach erhalte ich erst dies]
[VPN-Packet] 2009/05/22 12:06:37,810 
no policy found for: 192.168.55.1-> xxx.xxx.xxx.xxx   84  ICMP ECHOREQUEST

[VPN-Status] 2009/05/22 12:06:38,810
VPN: disconnecting CISCOASA (xxx.xxx.xxx.xxx)

[VPN-Status] 2009/05/22 12:06:38,810
VPN: Error: ICMP-conn.-Error (0x0113) for CISCOASA (xxx.xxx.xxx.xxx)

Die xxx.xxx.xxx.xxx repräsentiert immer das öffentliche IP von der Asa. Im Routing für die Asa ist für das Netz 192.168.40.0 das NAT ausgeschaltet und als next hop die ASA angegeben.