Pas geleden kreeg ik de opdracht van een collega om een site to site VPN te maken naar een klant van ons. De bedoeling is dat de klant een server bij ons kan bereiken.
De hardware die hiervoor tot mijn beschikking staat is een Cisco ASA 5505, waar ik nog niet eerder mee gewerkt had.
Van de klant kreeg ik een lijstje met settings voor de tunnel:
IKE: AES-256
Algorithm: SHA/HMAC/160
D-H group: 5
Pre-shared key.
IPSEC: AES-256
-Algorithm: ESP/SHA/HMAC /160
PFS: disabled
Tevens kreeg ik een aantal ip reeksen die hun gebruiken (141.x.x.x en 10.137.x.x) en of wij de volgende reeks konden gebruiken (10.137.248.208, 255.255.255.240).
Daarnaast nog de mededeling dat we udp 500 en esp en ah open moesten zetten op de firewall.
Ik ben vervolgens met de Cisco aan de slag gegaan en kwam tot een configuratie die niet blijkt te werken. Inmiddels ben ik een beetje radeloos wat het probleem kan zijn.
Bij het maken van de tunnel krijg ik de volgende meldingen:
De key hebben we inmiddels 2 keer veranderd en moet gewoon kloppen, dus ik denk niet dat daar het probleem ligt.
De configuratie van de Cisco is alsvolgt:
hostname ciscoasa
domain-name default.domain.invalid
enable password ylpSO8UGamq4iz7f encrypted
names
name 10.137.248.210 Server_inside
interface Vlan1
nameif inside
security-level 100
ip address 10.137.248.209 255.255.255.240
interface Vlan2
nameif outside
security-level 0
ip address 77.x.x.x 255.255.255.248
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group network peer_inside
network-object 10.137.0.0 255.255.240.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
object-group network werk_inside
network-object 10.137.248.208 255.255.255.240
object-group protocol ESP-AH_group
protocol-object gre
protocol-object ah
object-group icmp-type Ping_group
icmp-object echo
icmp-object echo-reply
icmp-object time-exceeded
icmp-object traceroute
icmp-object unreachable
access-list outside_access_in extended permit object-group ESP-AH_group host 141.x.x.x host 77.x.x.x
access-list outside_access_in extended permit udp host 141.x.x.x eq isakmp host 77.x.x.x eq isakmp
access-list outside_access_in extended permit icmp any any object-group Ping_group
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit icmp any any object-group Ping_group
access-list outside_1_cryptomap extended permit ip 10.137.248.208 255.255.255.240 object-group peer_inside
access-list inside_nat0_outbound extended permit ip 10.137.248.208 255.255.255.240 object-group peer_inside
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 77.x.x.x 1
http 10.137.248.208 255.255.255.240 inside
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer 141.x.x.x
crypto map outside_map 1 set transform-set ESP-AES-256-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcpd address Server_inside-10.137.248.222 inside
dhcpd enable inside
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
tunnel-group 141.x.x.x type ipsec-l2l
tunnel-group 141.x.x.x ipsec-attributes
pre-shared-key *
Een behoorlijke lap configuratiefile's maar misschien kan iemand er wat mee.
De server aan onze kant kan gewoon via de cisco het internet op.
We hebben vorige week een test gedaan tussen de reserve Cisco asa 5505 en de huidige Cisco machine en toen kregen we met dezelfde settings de tunnel wel op, dus de machine's kunnen niet defect zijn ( was tussen het hier gebruikte publieke 77.x.x.x ip en een andere publiek ip van ons bij een andere provider).
Ik heb inmiddels behoorlijk wat configuratie's bekeken die op internet staan en de foutmeldingen na gekeken, maar toch kom ik er niet uit. Kan misschien iets heel kleins zijn wat ik over het hoofd zie.
Alle tips zijn welkom
De hardware die hiervoor tot mijn beschikking staat is een Cisco ASA 5505, waar ik nog niet eerder mee gewerkt had.
Van de klant kreeg ik een lijstje met settings voor de tunnel:
IKE: AES-256
Algorithm: SHA/HMAC/160
D-H group: 5
Pre-shared key.
IPSEC: AES-256
-Algorithm: ESP/SHA/HMAC /160
PFS: disabled
Tevens kreeg ik een aantal ip reeksen die hun gebruiken (141.x.x.x en 10.137.x.x) en of wij de volgende reeks konden gebruiken (10.137.248.208, 255.255.255.240).
Daarnaast nog de mededeling dat we udp 500 en esp en ah open moesten zetten op de firewall.
Ik ben vervolgens met de Cisco aan de slag gegaan en kwam tot een configuratie die niet blijkt te werken. Inmiddels ben ik een beetje radeloos wat het probleem kan zijn.
Bij het maken van de tunnel krijg ik de volgende meldingen:
De key hebben we inmiddels 2 keer veranderd en moet gewoon kloppen, dus ik denk niet dat daar het probleem ligt.
De configuratie van de Cisco is alsvolgt:
hostname ciscoasa
domain-name default.domain.invalid
enable password ylpSO8UGamq4iz7f encrypted
names
name 10.137.248.210 Server_inside
interface Vlan1
nameif inside
security-level 100
ip address 10.137.248.209 255.255.255.240
interface Vlan2
nameif outside
security-level 0
ip address 77.x.x.x 255.255.255.248
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group network peer_inside
network-object 10.137.0.0 255.255.240.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
network-object 141.x.x.0 255.255.255.0
object-group network werk_inside
network-object 10.137.248.208 255.255.255.240
object-group protocol ESP-AH_group
protocol-object gre
protocol-object ah
object-group icmp-type Ping_group
icmp-object echo
icmp-object echo-reply
icmp-object time-exceeded
icmp-object traceroute
icmp-object unreachable
access-list outside_access_in extended permit object-group ESP-AH_group host 141.x.x.x host 77.x.x.x
access-list outside_access_in extended permit udp host 141.x.x.x eq isakmp host 77.x.x.x eq isakmp
access-list outside_access_in extended permit icmp any any object-group Ping_group
access-list inside_access_in extended permit ip any any
access-list inside_access_in extended permit icmp any any object-group Ping_group
access-list outside_1_cryptomap extended permit ip 10.137.248.208 255.255.255.240 object-group peer_inside
access-list inside_nat0_outbound extended permit ip 10.137.248.208 255.255.255.240 object-group peer_inside
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 77.x.x.x 1
http 10.137.248.208 255.255.255.240 inside
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer 141.x.x.x
crypto map outside_map 1 set transform-set ESP-AES-256-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 5
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcpd address Server_inside-10.137.248.222 inside
dhcpd enable inside
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
tunnel-group 141.x.x.x type ipsec-l2l
tunnel-group 141.x.x.x ipsec-attributes
pre-shared-key *
Een behoorlijke lap configuratiefile's maar misschien kan iemand er wat mee.
De server aan onze kant kan gewoon via de cisco het internet op.
We hebben vorige week een test gedaan tussen de reserve Cisco asa 5505 en de huidige Cisco machine en toen kregen we met dezelfde settings de tunnel wel op, dus de machine's kunnen niet defect zijn ( was tussen het hier gebruikte publieke 77.x.x.x ip en een andere publiek ip van ons bij een andere provider).
Ik heb inmiddels behoorlijk wat configuratie's bekeken die op internet staan en de foutmeldingen na gekeken, maar toch kom ik er niet uit. Kan misschien iets heel kleins zijn wat ik over het hoofd zie.
Alle tips zijn welkom
:strip_icc():strip_exif()/u/264022/sharks_60x60.jpg?f=community)
