21 Dezember 2014, 14:27:55

Autor Thema: L2TP Remote Access crypto map problem  (Gelesen 2106 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

thomas.linnepe

  • Cisco User
  • *
  • Beiträge: 7
  • Karma: 0
    • Profil anzeigen
L2TP Remote Access crypto map problem
« am: 06 Juli 2011, 09:59:50 »
Ich habe folgendes Problem:

Auf der Cisco ASA 5505 gibt es eine Site-to-Site Verbindung, funktioniert tadellos.
Zusätzlich soll sich mit Windows XP/Vista/7 per L2TP Remote Access eingewählt werden können.

Ich erhalte aber immer die Fehlermeldungen:
Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Unknown  Cfg'd: Group 2
Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 1  Cfg'd: Group 2
IP = 212.23.103.80, Duplicate first packet detected.  Ignoring packet.
Group = DefaultRAGroup, IP = 212.23.103.80, Automatic NAT Detection Status:     Remote end   IS   behind a NAT device     This   end is NOT behind a NAT device
Group = DefaultRAGroup, IP = 212.23.103.80, PHASE 1 COMPLETED
Group = DefaultRAGroup, IP = 212.23.103.80, Received remote Proxy Host FQDN in ID Payload:  Host Name: pcname  Address 0.0.0.0, Protocol 17, Port 1701
Group = DefaultRAGroup, IP = 212.23.103.80, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/17/0 local proxy 194.158.xxx.xxx/255.255.255.255/17/1701 on interface WAN
Group = DefaultRAGroup, IP = 212.23.103.80, QM FSM error (P2 struct &0xc9a51760, mess id 0x62821d50)!
Group = DefaultRAGroup, IP = 212.23.103.80, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = 212.23.103.80, Session is being torn down. Reason: crypto map policy not found


Weiter gehts dann mit der Meldung:
IP = 212.23.103.80, Received encrypted packet with no matching SA, dropping
Die Crypto Config sieht wie folgt aus:
crypto ipsec transform-set TMG-set esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ClientVPN-Set esp-3des esp-sha-hmac
crypto ipsec transform-set ClientVPN-Set mode transport
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map Client-VPN-Dynmap 2 set transform-set ClientVPN-Set
crypto dynamic-map Client-VPN-Dynmap 2 set reverse-route
crypto map VPN-Map 1 match address Site-to-Site-VPN
crypto map VPN-Map 1 set peer 195.50.xxx.xxx
crypto map VPN-Map 1 set transform-set TMG-set
crypto map VPN-Map 1 set security-association lifetime seconds 28800
crypto map VPN-Map 1 set reverse-route
crypto map VPN-Map 60 ipsec-isakmp dynamic Client-VPN-Dynmap
crypto map VPN-Map interface WAN
crypto isakmp enable WAN
crypto isakmp policy 1
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 28800
crypto isakmp policy 2
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 192.168.xxx.xxx
 vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
 address-pool Client-VPN-Pool
 default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *****
 isakmp keepalive disable
tunnel-group DefaultRAGroup ppp-attributes
 authentication ms-chap-v2


Weiß mir jemand hier zu helfen? Ich habe gestern schon den ganzen Tag dran gearbeitet und gesucht, aber finde einfach den fehler nicht

thomas.linnepe

  • Cisco User
  • *
  • Beiträge: 7
  • Karma: 0
    • Profil anzeigen
Re: L2TP Remote Access crypto map problem
« Antwort #1 am: 08 Juli 2011, 08:26:13 »
Hat keiner eine Idee?

mireux

  • News Poster
  • Cisco Veteran mit Auszeichnung
  • ***
  • Beiträge: 2.133
  • Karma: 16
  • CCNP/CCSP
    • Profil anzeigen
Re: L2TP Remote Access crypto map problem
« Antwort #2 am: 10 Juli 2011, 15:04:56 »
Hi Thomas,

hast du auf den Windows Maschinen die DH group 2  in der phase 1 ? Die ASA nutzt das bei den isakmp policies. Falls das nicht möglich ist (keine Ahnung ob das bei dem Asbach XP läuft) könntest du auf der ASA eine neue policy ohne group 2 definieren, ist aber nicht wirklich empfehlenswert.

Gruß
Mireux
Unix IST benutzerfreundlich - es ist nur etwas waehlerisch..Walter Misar

Deutschsprachiges Cisco Forum

Re: L2TP Remote Access crypto map problem
« Antwort #2 am: 10 Juli 2011, 15:04:56 »

 


SimplePortal 2.3.2 © 2008-2010, SimplePortal