L2L Tunnel zwischen ASA dynamic IP und ASA mit static Ip

[bodoadferne]

Wir benötigen einen L2L Tunnel zwischen zwei ASAs, Standort A ein hat eine Dynamische Ip, Standort B eine eine statische. Zur zeit nutzen ich an A easyVPN für den Tunnel zu B, doch zukünftig soll A auch auf einen neuen Standort C zugreifen, das scheint mit EasyVPN nicht möglich zu sein, daher habe ich das ganze anhand der Cisco-Dokumente über dynamic crypto maps umgebaut.

Der Tunnel baut sich auch auf. Soweit ok, doch ich bekomme kein einziges Bytes von A nach B oder umgekehrt. Es erscheint auch nicht in den Logs, das NAT fehlt oder ähnliches. Ich komme nicht weiter, vielleicht kann mir hier jemand nen Tip geben.

vielen Dank

Anbei mal die COnfigs (leicht gekürzt)

Standort A(BH)

Code: [Auswählen]

ASA Version 8.3(1)
!
names
name 192.168.5.0 net-fw
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.250 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.0.2 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2

 
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network net-fw
 subnet 192.168.5.0 255.255.255.0
 description Created during name migration   
object network bh
 subnet 192.168.2.0 255.255.255.0
object network fw
 subnet 192.168.5.0 255.255.255.0
object network tes
 subnet 192.168.2.0 255.255.255.0
object-group network obj_any
object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq https
 bject-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
object-group protocol DM_INLINE_PROTOCOL_1
 protocol-object ip
 protocol-object icmp
access-list inside_access_in extended permit tcp 192.168.2.0 255.255.255.0 any object-group DM_INLINE_TCP_1
access-list inside_access_in extended permit object-group TCPUDP 192.168.2.0 255.255.255.0 any eq domain
access-list inside_access_in extended permit icmp 192.168.2.0 255.255.255.0 any
access-list inside_access_in extended permit ip 192.168.2.0 255.255.255.0 object net-fw
access-list outside_access_in extended permit object-group DM_INLINE_PROTOCOL_1 object net-fw 192.168.2.0 255.255.255.0
access-list outside_access_in extended permit icmp any any
access-list vpn_access extended permit ip 192.168.2.0 255.255.255.0 object net-fw inactive
icmp unreachable rate-limit 1 burst-size 1
arp timeout 14400
nat (inside,outside) source dynamic any interface dns
nat (inside,outside) source static any any destination static fw fw
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.2.0 255.255.255.0 inside
crypto ipsec transform-set ESP-AES128-SHA esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map MAP-VPN 10 match address vpn_access
crypto map MAP-VPN 10 set connection-type originate-only
crypto map MAP-VPN 10 set peer 217.92.193.129
crypto map MAP-VPN 10 set transform-set ESP-AES128-SHA
crypto map MAP-VPN 10 set security-association lifetime kilobytes 10000
crypto map MAP-VPN interface outside
crypto isakmp enable outside
crypto isakmp policy 15
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400
dhcpd auto_config outside

tunnel-group 217.92.193.129 type ipsec-l2l
tunnel-group 217.92.193.129 ipsec-attributes
 pre-shared-key *****

Standort b (fw)

Code: [Auswählen]

ASA Version 8.4(1)
!
hostname ASA-BH2FW
names
name 192.168.2.0 BH
name 192.168.5.0 FW
name 192.168.5.11 SRVSB02
name 192.168.2.10 bh-srv

!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.5.2 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group T-DSL_Business
 ip address pppoe setroute
!
interface Ethernet0/0
 switchport access vlan 2

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
 subnet 0.0.0.0 0.0.0.0
object service RDP
 service tcp destination eq 3389
object network Network_Bauhof
 subnet 192.168.2.0 255.255.255.0
object network net-fw
 subnet 192.168.5.0 255.255.255.0
object network bh-srv
 host 192.168.2.10
object network Server_RDP_Feuerwehr
 host 192.168.5.119

object network fw
 subnet 192.168.5.0 255.255.255.0
object network bh
 subnet 192.168.2.0 255.255.255.0
object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp
object-group service WWW tcp-udp
 description Ports fuer Web
 port-object eq 443
 port-object eq 8080
 port-object eq domain
 port-object eq www
object-group network DM_INLINE_NETWORK_1
 network-object BH 255.255.255.0

access-list outside_access_in_1 extended permit ip 192.168.2.0 255.255.255.0 192.168.5.0 255.255.255.0
access-list outside_access_in_1 extended permit icmp any any
access-list outside_access_in_1 extended deny ip any any
access-list inside_access_in remark Zugriff auf WWW
access-list inside_access_in extended permit object-group TCPUDP object net-fw any object-group WWW
access-list inside_access_in remark Zugriff FW - BH
access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list inside_access_in remark Erlaube Ping
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended deny ip any any
nat (inside,outside) source static fw fw destination static bh bh
!
object network obj_any
 nat (inside,outside) dynamic interface
access-group inside_access_in in interface inside
access-group outside_access_in_1 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.5.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable

http FW 255.255.255.0 inside
http BH 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES128-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map MAP-DYN 20 set ikev1 transform-set ESP-AES128-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map MAP-VPN 55 ipsec-isakmp dynamic MAP-DYN
crypto map MAP-VPN interface outside
crypto ikev1 enable outside
crypto ikev1 policy 5
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 10
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh FW 255.255.255.0 inside
ssh BH 255.255.255.0 inside
ssh timeout 5
console timeout 0
vpdn group T-DSL_Business request dialout pppoe
vpdn group T-DSL_Business ****
vpdn group T-DSL_Business ppp authentication pap
vpdn username ****

dhcpd auto_config outside
!

webvpn
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ssl-clientless
tunnel-group DefaultL2LGroup ipsec-attributes
 ikev1 pre-shared-key sekretk3y



[vorderw]

Hallo!

Ich habe gesehen, dass Du an dem Standort B die Default Router (route outside 0.0.0.0 0.0.0.0 192.168.5.2 1) auf das VLAN 1 des selben Gerätes zeigen lässt. Vermutlich ist hier das Problem zu suchen. Vielleicht guckst Du noch mal über Deine Routen.

Viele Grüße
Vorderw

[gun]

Hallo bodoadferne,

es gibt meiner Meinung nach keinen Grund nicht bei EzVPN für Standort A zu bleiben, von hier aus sollte der Zugriff auf das Netz eines neuen Standortes C problemlos funktionieren. Voraussetzung: über outside darf Traffic rausgehen der auch über outside reinkam, also von einem Tunnel in einen Tunnel => "same-security-traffic permit intra-interface". Desweiteren sollte das Routing passen, also default route nach outside zeigen lassen (sollte bei einem Peer mit dyn. IP eh drin sein). Einen dyn. Peer einfach nur per dynamic crypto map anbinden ist Käse da hier nur mit dem PSK der tunnel-default-group authentifiziert wird - nicht besonders sicher, und jeder weitere Peer der genauso angebunden wird muß den gleichen PSK verwenden. Bei EzVPN kann  man seperate Groups pro Peer bilden + individuelle User-Accounts, das ist die Sicherheit also einiges höher. Wenn Standort C auch mit dynamischer IP angebunden wird muß man nur dafür sorgen das der Tunnel immer steht - wenn´s ein IOS-Router ist per IP SLA, oder mit einem Host dahinter der immer für Traffic sorgt, bsp. Dauerping.

Gruß Gun