VPN zwischen 1841 Router und ASA 5505

[Nathy]

Hallo

Ich habe ein Problem. Ich versuche ein Site-to-Site IPSec VPN zwischen einem Cisco 1841 Router und einer ASA 5505 herzustellen. Zwischen zwei 1841 Routern funktioniert es. Wenn ich es zwischen dem Router und der ASA versuche ist zwar der Tunnel auf "UP" aber ich kann nicht von einem Netzwerk ins andere pingen.
Router hat inside Netzwerk 192.168.3.0
ASA hat inside Netzwerk 192.168.1.0

Kann mir bitte jemand weiterhelfen?

Hier die Config der ASA

Code:

ASA Version 8.0(2)
!
hostname asa
enable password QGpIksk6g288FE5c encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 147.88.211.83 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
 switchport access vlan 2
!
interface Ethernet0/2
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 147.88.211.83 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map0 1 match address outside_cryptomap
crypto map outside_map0 1 set peer 85.3.31.242
crypto map outside_map0 1 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-
MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map0 interface outside
crypto isakmp enable outside
crypto isakmp policy 5
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
!
service-policy global_policy global
tunnel-group 85.3.31.242 type ipsec-l2l
tunnel-group 85.3.31.242 ipsec-attributes
 pre-shared-key *
prompt hostname context
Cryptochecksum:7746c79aa1f00e888d25867e5fd941a5
: end

[#9370]

Hallo,

ist der Tunnel stabil? Hast du den getunnelten Verkehr in der ACL berücksichtigt oder "sysopt connection permit-vpn" konfiguriert? Was sagt das ASDM Looging?

/#9370

[Nathy]

Wie sieht man, ob er stabil ist?
Ich habe die Konfiguration mit dem SDM gemacht. Also habe keine Access-Liste erstellt und auch kein sysopt connection permit-vpn konfiguriert.
Was ich gerade gesehen habe ist, dass die Pakete vom Router zur ASA verschlüsselte werden. Die Pakete von der ASA zum Router aber nicht. Die gehen also überhaupt nicht durch den Tunnel.

Gruss

[#9370]

Wie sieht man, ob er stabil ist?

Mit "show cry isa sa" - öfters ausgeführt

sysopt connection permit-vpn solltest du auf alle Fälle mal reingeben, wenn alles zwischen den Standorten erlaubt sein soll. In der ACL "access-list outside_cryptomap" wird definiert, was in den Tunnel geschickt wird. 192.168.1 ist auf der ASA Seite und 192.168.3 auf der ISR Seite. Passt das?

/#9370

[Nathy]

Bei "show cry isa sa" kommt immer das gleiche.

"sysopt connection permit-vpn" habe ich jetzt einmal eingegeben. Hat aber nichts geändert.

192.168.1 ist auf der ASA Seite und 192.168.3 auf der ISR Seite. Passt das?

Ja genau.

Was ich gerade gesehen habe im Logging:
Fehler: No translation group found for icmp src outside:192.168.3.11 dst inside:192.168.1.10 (type 8, code 0)

Detail zu Fehler: %PIX|ASA-3-305005: No translation group found for protocol src interface_name:dest_address/dest_port dst interface_name:source_address/source_port
A packet does not match any of the outbound nat command rules.

Stimmt etwas mit dem NAT nicht?

[#9370]

ein nat(i) 0 brauchst du noch, damit der VPN Verkehr nicht genattet wird.

/#9370

[Nathy]

Das Problem konnte gelöst werden. Ich musste ein NAT 0 für den VPN Traffic erstellen. Danke für den Tipp.

Jetzt habe ich aber ein anderes Problem.
Bis anhin ist das ganze mit einem static Peer gelaufen. Ich möchte aber einen dynamischen Peer. Ich habe die Konfiguration gleich belassen ausser, dass ich jetzt static habe. Im Log Viewer erscheinen nun folgende Fehlermeldungen: Siehe Anhang

Warum funktioniert das nicht?

[#9370]

wenn der Peer dynamisch ist, dann musst du eine "dynamic crypto-map" konfigurieren und diese dann der statischen zuweisen.

/#9370

Code:

crypto dynamic-map dynamap 2 set transform-set tunnel_3des_sha
crypto map cmap 65535 ipsec-isakmp dynamic dynamap
crypto map cmap interface outside

[Nathy]

Habe immer noch das Problem mit dem dynamischen Peer.
Hier ist ein Teil der Config:

Code:

crypto dynamic-map TestVPN 2 match address outside_cryptomap_1
crypto dynamic-map TestVPN 2 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-1
92-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map0 2 ipsec-isakmp dynamic TestVPN
crypto map outside_map0 interface outside

Im Logging wird folgendes angezeigt:
Group = 85.3.176.117, IP = 85.3.176.117, Can't find a valid tunnel group, aborting...!
Group = 85.3.176.117, IP = 85.3.176.117, Removing peer from peer table failed, no match!
Group = 85.3.176.117, IP = 85.3.176.117, Error: Unable to remove PeerTblEntry
IP = 85.3.176.117, Header invalid, missing SA payload! (next payload = 4)

Wo liegt mein Problem?

Gruss und danke

[#9370]

es fehlt noch die default L2L Tunnel-group:

Code:

tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *

siehe auch:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00807ea936.shtml

/#9370

[Nathy]

Besten Dank für die Hilfe. Hat geklappt. Was ich aber nicht genau verstehe ist, wieso ich diese DefaultL2LGroup hinzufügen muss. Mir wurde vom ASDM eine eigene Tunnel Gruppe erstellt. Siehe hier:

Code:

group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec
tunnel-group TestVPN type ipsec-l2l
tunnel-group TestVPN ipsec-attributes
 pre-shared-key *

[#9370]

in der Tunnel-group stehen die Parameter, die für die Verbindung notwendig sind, wie z.B. der pre-shared key. Für Site-2-Site Tunnels gibt es eine tunnel-group pro IP Adresse. Für dynamische Peers kann natürlich keine spezifische Tunnel-group angelegt werden und somit braucht es eine Default Tunnel-group. Ich weiß jetzt nicht, was du am ASDM konfiguriert hast, aber die Config schaut nach Client VPN aus, da es bei Site-2-Site keiner group-policy bedarf.

/#9370

[Nathy]

Komisch. Ich habe ein Site-to-Site VPN erstellt.
Die Config sieht jetzt so aus:

Code:

group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol IPSec
tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *

Sie haben gesagt, dass es bei Site-to-Site keine policy-group mehr benötigt. Bei mir ist aber trotzdem noch eine vorhanden. Funktioniert aber trotzdem oder?

[#9370]

es ist nicht notwendig, stört aber auch nicht.

/#9370

[Nathy]

Hallo

Ich habe mich jetzt noch ein wenige mit dem Thema befasst.
Mein Ziel wäre es am Schluss, dass ca. 100 Site-to-Site VPN's erstellt werden und ca. 50 Remote-Access VPN's. Alles über IPSec.
Ich verstehe aber das mit dem tunnel-group nicht genau. Es gibt ja für das Site-to-Site die DefaultL2LGroup und für das Remote die DefaultRAGroup. Kann ich also für alle 100 Site-to-Site die Default2LGroup verwenden und für alle Remote die DefaultRAGroup?

Die Authentifizierung sollte mit Hilfe eines Active Directory gemacht werden.
Kann ich ebenfalls für alle VPN's dasselbe Transform-Set, dieselbe crypto dynamic-map und dieselbe ISAKMP verwenden?

Gruss