Ik werk bij een bedrijf waar we het beheer doen voor een groot aantal klanten. Pas geleden zijn we overgestapt van een Symantec firewall naar een Cisco ASA. Een aantal externe partijen hebben we toegang gegeven via VPN. Gaat ook helemaal goed, maar er is 1 partij die nog gebruik maakt van een ISA2000 als firewall.
Nu zijn daar op internet legio oplossingen te vinden voor hoe je aanpassingen kan maken binnen ISA zodat de VPN client verbinding kan maken met de VPN-server.
Microsoft heeft er een leuk documentje van gemaakt: Procedure: Een Cisco IPSec VPN-client verbinding laten maken met een Cisco VPN-concentrator via ISA Server 2000
Op ISAserver.org staat ook een erg goed document: http://forums.isaserver.org/m_130199300/tm.htm
Toch komt die partij er niet uit. Connectie kan maar niet gemaakt worden. Ondanks dat deze aangeven dat ze de UDP poort 500 & UDP poort 4500 (beide SEND/RECEIVE) heb ingesteld staan en ook een rule hebben aangepast.
Onderstaande is de log van de Cisco VPN client.
Aan de hand van het log te zien gaat hij echt niet goed naar buiten en dat kan in mijn ogen alleen maar komen door een foutieve configuratie van de ISA server. Jullie een idee of een verdere onderbouwing?
We maken gebruik van NAT-T. Er zijn geen poorten aangepast waardoor gewoon UDP poort 4500 gebruikt wordt. Het is overigens Ipsec over UDP (NAT /PAT). Verder heeft niemand problemen met het maken van verbindingen, alleen deze partij via de ISA2000 server.
Nu zijn daar op internet legio oplossingen te vinden voor hoe je aanpassingen kan maken binnen ISA zodat de VPN client verbinding kan maken met de VPN-server.
Microsoft heeft er een leuk documentje van gemaakt: Procedure: Een Cisco IPSec VPN-client verbinding laten maken met een Cisco VPN-concentrator via ISA Server 2000
Op ISAserver.org staat ook een erg goed document: http://forums.isaserver.org/m_130199300/tm.htm
Toch komt die partij er niet uit. Connectie kan maar niet gemaakt worden. Ondanks dat deze aangeven dat ze de UDP poort 500 & UDP poort 4500 (beide SEND/RECEIVE) heb ingesteld staan en ook een rule hebben aangepast.
Onderstaande is de log van de Cisco VPN client.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
| Cisco Systems VPN Client Version 4.8.01.0300 Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 Config file directory: C:\Program Files\Cisco Systems\VPN Client\ 1 14:25:54.870 12/22/06 Sev=Info/4 CM/0x63100002 Begin connection process 2 14:25:54.964 12/22/06 Sev=Info/4 CVPND/0xE3400001 Microsoft IPSec Policy Agent service stopped successfully 3 14:25:54.964 12/22/06 Sev=Info/4 CM/0x63100004 Establish secure connection using Ethernet 4 14:25:54.964 12/22/06 Sev=Info/4 CM/0x63100024 Attempt connection with server "xx.xx.xx.xx" 5 14:25:55.980 12/22/06 Sev=Info/6 IKE/0x6300003B Attempting to establish a connection with xx.xx.xx.xx. 6 14:25:56.011 12/22/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to xx.xx.xx.xx 7 14:25:56.026 12/22/06 Sev=Info/4 IPSEC/0x63700008 IPSec driver successfully started 8 14:25:56.026 12/22/06 Sev=Info/4 IPSEC/0x63700014 Deleted all keys 9 14:26:01.230 12/22/06 Sev=Info/4 IKE/0x63000021 Retransmitting last packet! 10 14:26:01.230 12/22/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK AG (Retransmission) to xx.xx.xx.xx 11 14:26:06.231 12/22/06 Sev=Info/4 IKE/0x63000021 Retransmitting last packet! 12 14:26:06.231 12/22/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK AG (Retransmission) to xx.xx.xx.xx 13 14:26:11.231 12/22/06 Sev=Info/4 IKE/0x63000021 Retransmitting last packet! 14 14:26:11.231 12/22/06 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK AG (Retransmission) to xx.xx.xx.xx 15 14:26:16.232 12/22/06 Sev=Info/4 IKE/0x63000017 Marking IKE SA for deletion (I_Cookie=15573101BAEBEA58 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING 16 14:26:16.732 12/22/06 Sev=Info/4 IKE/0x6300004B Discarding IKE SA negotiation (I_Cookie=15573101BAEBEA58 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING 17 14:26:16.732 12/22/06 Sev=Info/4 CM/0x63100014 Unable to establish Phase 1 SA with server "xx.xx.xx.xx" because of "DEL_REASON_PEER_NOT_RESPONDING" 18 14:26:16.732 12/22/06 Sev=Info/5 CM/0x63100025 Initializing CVPNDrv 19 14:26:16.732 12/22/06 Sev=Info/6 CM/0x63100046 Set tunnel established flag in registry to 0. 20 14:26:16.732 12/22/06 Sev=Info/4 IKE/0x63000001 IKE received signal to terminate VPN connection 21 14:26:16.748 12/22/06 Sev=Info/4 IKE/0x63000086 Microsoft IPSec Policy Agent service started successfully 22 14:26:17.248 12/22/06 Sev=Info/4 IPSEC/0x63700014 Deleted all keys 23 14:26:17.248 12/22/06 Sev=Info/4 IPSEC/0x63700014 Deleted all keys 24 14:26:17.248 12/22/06 Sev=Info/4 IPSEC/0x63700014 Deleted all keys 25 14:26:17.248 12/22/06 Sev=Info/4 IPSEC/0x6370000A IPSec driver successfully stopped |
Aan de hand van het log te zien gaat hij echt niet goed naar buiten en dat kan in mijn ogen alleen maar komen door een foutieve configuratie van de ISA server. Jullie een idee of een verdere onderbouwing?
We maken gebruik van NAT-T. Er zijn geen poorten aangepast waardoor gewoon UDP poort 4500 gebruikt wordt. Het is overigens Ipsec over UDP (NAT /PAT). Verder heeft niemand problemen met het maken van verbindingen, alleen deze partij via de ISA2000 server.
/u/61403/crop58bff192a74cb_cropped.png?f=community)
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
:strip_icc():strip_exif()/u/77151/crop56c8611200b21_cropped.jpeg?f=community)
