Toon posts:

Cisco ASA 5500 MS VPN 2 probleempjes

Pagina: 1
Acties:

donderdag 24 juli 2008 23:03

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 09:05

DukeBox

Topicstarter
Als eerste mijn 2 probleemen zodat je niet het hele verhaal hoeft te lezen.

Met gebruik van de microsoft vpn client werkt 'Connection-specific DNS Suffix' niet (maar andere settings zoals wins en dns wel).
De policy group config :
code:
1
2
3
4
5

group-policy DefaultRAGroup attributes
 wins-server value 192.168.1.2 192.168.1.3
 dns-server value 192.168.1.2 192.168.1.3
 default-domain value test.nl
 ip-comp enable

geeft:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

PPP adapter test:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.1.50
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 192.168.1.2
                                            192.168.1.3
        Primary WINS Server . . . . . . . : 192.168.1.2
        Secondary WINS Server . . . . . . : 192.168.1.3


Een 2de (maar minder ernstig probleem), ik krijg IP compression niet werkend.

Afbeeldingslocatie: http://duke.qik.nl/vpn1.png

Wat inleiding:
Als vertrouwd gebruiker van een VPN 3000 series ben ik bij mijn nieuwe werkplek de ASA aan het installeren. De dingen waar ik nu tegenaan loop had ik niet op de 3000 series.
Standaard werkt de ASA op versie 7.2.(3)

Wat ik al getest heb:
Andere firmware:
ASA 8.0(2), zelfde resultaat geen dns suffix en geen compressie

Andere clients:
Cisco SSL vpn client, dns suffix werkt, geen compressie.
Cisco Client dns suffix werkt, geen compressie.

De microsoft client heb ik getest op een kale winxp SP2 pc, om uit te sluiten dat het aan deze installatie ligt ook getest met win2k, zonder sp en sp1. Allen zelfde resultaat.

L2L werkt overigens perfect (met compressie).

Nu hoop ik hier op de gouden tip zodat ik dit project af kan ronden.
Afbeeldingslocatie: http://viewcounter.qik.nl/got.php?countid=20080724231452

[ Voor 3% gewijzigd door DukeBox op 24-07-2008 23:15 ]

vrijdag 25 juli 2008 00:10

Acties:

Verwijderd

De Cisco ASA ondersteunt voor zover ik weet geen Microsoft VPN client meer (PPTP). Zodra je een PIX upgrade naar de nieuwe ASA software wordt de PPTP configuratie weggegooid. Dit staat althans zo in de release notes.

Verder is het niet werken van de DNS suffix een bekend 'probleem' bij gebruik van het PPTP protocol. Het PPTP protocol gebruikt onderliggend het PPP protocol en dat voorziet niet in het meesturen van de dns suffix. Hierover is op de Cisco site een KB document te vinden.

Compressie heb ik geen idee van waarom dat niet werkt, moet eerlijk zeggen dat ik er nooit op gelet heb.

vrijdag 25 juli 2008 12:53

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 09:05

DukeBox

Topicstarter
Verwijderd schreef op vrijdag 25 juli 2008 @ 00:10:
De Cisco ASA ondersteunt voor zover ik weet geen Microsoft VPN client meer (PPTP).
Ik gebruik geen PPTP (wat inderdaad niet ondersteund wordt, gelukkig) maar L2TP over IPSEC (zoals ook in de screenshot te zien is).
Dat wordt zeker ondersteund aangezien bij het volgen van de wizard je 2 keuzes hebt, cisco en ms vpn ;)

Afbeeldingslocatie: http://duke.qik.nl/wizard1.png
Het PPTP protocol gebruikt onderliggend het PPP protocol en dat voorziet niet in het meesturen van de dns suffix. Hierover is op de Cisco site een KB document te vinden.
Ik vind het juist zo raar dat het op de 3000 wel probleemloos werkt, heb je misschien een link naar het betreffende KB document ?
Compressie heb ik geen idee van waarom dat niet werkt, moet eerlijk zeggen dat ik er nooit op gelet heb.
Bij veel clients kan het een vrij zwaar proces zijn op je ASA/3000 maar met L2L en voornamelijk CIFS / Domino verkeer zijn gemiddelde compressie verhoudingen van 70% niet uitzonderlijk.
Het lijkt er ook op dat met de chattyness van CIFS i.c.m. hoge latency het positieve uitwerkingen heeft.

vrijdag 25 juli 2008 15:31

Acties:

Verwijderd

Tsja, er staat inderdaad duidelijk L2TP... Was laat gisteren zeg maar.

Het Cisco documentje kan ik zo gauw even niet vinden, is al heel lang geleden dat ik dat opgevraagd heb. Wel raar inderdaad dat het met een 3000 wel werkt, er stond toch duidelijk in de oplossing dat PPP het meesturen van dns suffixen niet ondersteunde. Dit is één van de hoofdredenen dat we tegenwoordig gewoon de Cisco VPN client gebruiken. De andere hoofdreden is de mogelijkheid om split tunneling te doen, iets wat ook slecht lukt met MS VPN (althans met PPTP, geen ervaring met L2TP).

vrijdag 25 juli 2008 16:36

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
DukeBox schreef op vrijdag 25 juli 2008 @ 12:53:
Ik vind het juist zo raar dat het op de 3000 wel probleemloos werkt, heb je misschien een link naar het betreffende KB document ?
Ben ik ook wel benieuwd naar :)

Enige wat ik ken wat er enigzins op lijkt:
You may be unable to access the network when name resolution is performed through a VPN connection on a Windows XP-based or on a Windows Server 2003-based client computer

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zaterdag 26 juli 2008 14:41

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 09:05

DukeBox

Topicstarter
Helaas zit daar geen oplossing in verborgen, het is helaas ook niet mogelijk packet's te sniffen met een ipsec tunnel zodat ik kan zien of de data wel wordt verzonden.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq