20 Juni 2019, 00:53:43

Autor Thema: CISCO ASA 5505 -> VPN zu Sophos UTM  (Gelesen 376 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

TechnikOnkel

  • Cisco User
  • *
  • Beiträge: 7
  • Karma: 0
    • Profil anzeigen
CISCO ASA 5505 -> VPN zu Sophos UTM
« am: 06 März 2019, 14:43:28 »
Hallo zusammen,

ich habe hier eine CISCO ASA 5505 im Heimnetzwerk. Diese soll eine IPSec VPN Verbindung zu einer Sophos UTM mit statischer IP im RZ herstellen bzw. umgekehrt.

Ich bekomme es leider nicht hin diese Verbindung aufzubauen. Hier ein paar Fakten:

HOME:

FritzBox
Inside: 192.168.0.254
Exposed Host Freigabe: 192.168.0.250

CISCO 5505 / ASA: 9.2.(4) / ASDM: 7.9(1)
outside: 192.168.0.250
Inside: 192.168.1.1

RZ:
Sophos UTM 9.601-5

WAN: Public IP:
Inside: 192.168.200.254

Richtlinie: CISCO
IKE-Verschlüsselungsalg.: AES-256
IKE-Authentifizierungsalg.: SHA1
IKE-SA-Lebensdauer: 86400
IKE-DH-Gruppe: Gruppe 5

IPsec-Verschlüsselungsalgorithmus: AES256
IPsec-Authentifizierungsalgorithmus: SHA1
IPsec-SA-Lebensdauer: 3600
IPsec-PFS-Gruppe: Gruppe 5

Entfernte Gateways:
Gateway-Typ: Nur antworten oder Verbindung initiieren ?
Auth.-Methode: Verteilter Schlüssel
Schlüssel: 12345678
VPN-ID-Typ: Any
VPN-ID: Any
Entfernte Netze: 192.168.0.0/24

IPsec-Verbindung
Name: VPN-Verbindung
Entferntes Gateway: Konfiguration siehe oben
Lokale Schnittstelle: External WAN
Richtlinie: CISCO (siehe oben)
Lokale Netzwerke: Netzwerk hinter Sophos
Aktiv: Automatische Firewallregeln
Aktiv: Striktes Routing

Über den Wizard im CISCO: Site to Site VPN Connection Setup Wizard:
Peer IP: Öffentliche IP der Sophos
VPN Access Interface: Outside

Local Network: inside-network (192.168.0.0/24)
Remote Network: 192.168.200.0/24 (Netzwerk hinter Sophos)
Customized Configuration.
Aktiv: IKE version 1
Inaktiv IKE version 2
Authentication Method: Pre-shared Key: 12345678

Encryption Algorithmus: IKE Policy: pre-share-aes-256-sha, rsa-sig-aes-256-sha, pre-share-3des-md5, pre-share-aes-192-sha, rsa-sig-aes-192-sha, pre-share-aes-sha, rsa-sig-aes-sha, pre-share-3des-md5, rsa-sig-3des-md5, pre-share-des-md5, rsa-sig-des-md5

IPsec Proposal: ESP-AES-128-SHA, ESP-AES-128-MD5, ESP-AES-192-SHA, ESP-AES-192-MD5, ESP-AES-256-SHA, ESP-AES-256-MD5, ESP-3DES-SHA, ESP-3DES-MD5, ESP-DES-SHA, ESP-DES-MD5

Perfect Forward Secrecy:
Aktiv: Enable Perfect Foward Secrecy (PFS).......
Diffie-Hellmann Group: group5
Aktiv: Exempt ASA side host/network from address translation: inside

Meldungen die ich in der ASA sehe:
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, Received non-routine Notify message: Invalid message id (9)
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, QM FSM error (P2 struct &0xc8439c00, mess id 0x8272c649)!
IKEv1 was unsuccessful at setting up a tunnel.  Map Tag = outside_map.  Map Sequence Number = 1.
Tunnel Manager has failed to establish an L2L SA.  All configured IKE versions failed to establish the tunnel. Map Tag= outside_map.  Map Sequence Number = 1.
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, Session is being torn down. Reason: Lost Service
IP = 4x.3x.2xx.4x, Received encrypted packet with no matching SA, dropping

IKEv2 Doesn't have a proposal specified
Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1.  Map Tag = outside_map.  Map Sequence Number = 1.

Kann mir jemand helfen oder einen Tipp geben?

Vielen Dank für euere Unterstützung
« Letzte Änderung: 06 März 2019, 16:49:21 von TechnikOnkel »

Deutschsprachiges Cisco Forum

CISCO ASA 5505 -> VPN zu Sophos UTM
« am: 06 März 2019, 14:43:28 »

 


SimplePortal 2.3.2 © 2008-2010, SimplePortal