site to site Cisco 5510 en 5505 niet werkend

Hallo,

Ik ben hier bezig om tussen 2 Cisco firewalls een site to site op te zetten.

1. Cisco 5510. dit is onze huidige firewall in ons huidige pand (195.x.x.3). met deze is het ook mogelijk op een IPSEC verbinding vanaf een client te maken.
2. Cisco 5505 dit is een nieuw pand met een vrij "lege" firewall. Hij is ingesteld zodat ik kan internetten en tijdelijk any any open staan. (31.x.x.233)

Ik heb op beide firewalls de site to site vpn ipsec wizard gedaan en aan beide kanten dezelfde pre=shared key opgegeven.
De tunnelnaam heb ik ook beide gelijk, deze heeft de naam (31.x.x.233).

Nadat de wizzard voltooit is heb ik in het nieuwe pand (31.x.x.233) geen internet meer (misschien dat hier het probleem al zit, maar dat is toch vreemd na het draaien van zo'n wizzard)
Als ik van deze asa de log file kijk zie ik een aantal van deze meldingen terug:

IP = 195.x.xxx.3, IKE Initiator: New Phase 1, Intf inside, IKE Peer 195.x.x.3 local Proxy Address 0.0.0.0, remote Proxy Address 0.0.0.0, Crypto map (outside_map)
IP = 195.x.x.3, Queuing KEY-ACQUIRE messages to be processed when P1 SA is complete.
Group = 195.x.x.3, IP = 195.x.x.3, Automatic NAT Detection Status: Remote end is NOT behind a NAT device This end is NOT behind a NAT device
AAA retrieved default group policy (DfltGrpPolicy) for user = 195.x.x.3
Group = 195.x.x.3, IP = 195.x.x.3, PHASE 1 COMPLETED
Group = 195.x.x.3, IP = 195.x.x.3, De-queuing KEY-ACQUIRE messages that were left pending.
Group = 195.x.x.3, IP = 195.x.x.3, Received non-routine Notify message: Invalid ID info (18)
Group = 195.x.x.3, IP = 195.x.x.3, Connection terminated for peer 195.x.x.3. Reason: Peer Terminate Remote Proxy N/A, Local Proxy N/A
Group = 195.x.x.3, IP = 195.x.x.3, construct_ipsec_delete(): No SPI to identify Phase 2 SA!
Group = 195.x.x.3, IP = 195.x.x.3, Removing peer from correlator table failed, no match!
Group = 195.x.x.3, Username = 195.x.x.3, IP = 195.x.x.3, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Unknown


Is er iemand die aan de hand hiervan al kan zien wat er aan de hand is?

Bedankt alvast

Frogmen wat bedoel je precies? Ik doe btw alles met de ASDM aangezien ik niet goed ben met de commando's.

wat mij opvalt in de logfile is dat hij probeert te verbinden via DefaultL2LGroup en niet via de group welke ik aangemaakt heb. Aan beide kanten heet die group 31.x.x.235.
Kan nergens vinden dat die deze group moet gebruiken of denk ik nu verkeerd?

Hmz ook aan de Asa5505 kant zie ik geen Connection profile staan. Dit is bij de 5510 wel het geval.
Als ik deze wil aanmaken dan zegt die dat deze al bestaat (onder tunnel groups staat die wel).
Als ik op de 5505 bij tunnelgroups diegene verwijder en dan bij Connection profiles het opnieuw aanmaak lootp die vast op het moment dat ik op OK druk.

Het gaat hier denk ik mis

[ Voor 44% gewijzigd door Verwijderd op 06-05-2011 15:44 ]

ik heb idd alles verwijderd en opnieuw begonnen. Helaas zonder resultaat. Ik zie in de 5505 geen connection profile staan wel een tunnel groups.
Had je je mail nog gezien? deze config staat weer terug.

Anders wat voor screenshots wil je allemaal hebben?

Vicarious schreef op vrijdag 06 mei 2011 @ 16:02:
nouja, zoals ik al zei: doe de wizard die je gedaan hebt en post gewoon alle schermen die je tegenkomt.

okido, kan ik maandag doen. Was vandaag al vanaf 6:45 op de zaak dus tijd voor weekend

Wil je dna ook echt alle access/nat rules, static rules? of alleen de site to site vpn deel?

DukeBox schreef op vrijdag 06 mei 2011 @ 17:03:
[...]

De naam moet natuurlijk de naam van de ander zijn.. dus niet gelijk TENZIJ je ipsec pear id validation uitzet maar dat zou ik nooit doen.

heeeeee maar daar heb je dan een punt. ik heb bij beide kanten het IP adres van 1 van de sites gegeven als naam.
dus ik moet eigenlijk de 1 195.x.x.3 noemen en de ander 31.x.x.235? hmz maar zo heb ik dat niet begrepen uit de documentatie.
Dus ik moet het zo doen:
Router met extern IP adres 195.x.x.3 ik tunnelnaam 31.x.x.235 (zoals ook het ip adres is)
router met extern IP adres 31.x.x.235 ik tunnelnaam 195.x.x.3 (zoals ook het ip adres is)
Maakt die naam overigens nog uit dus kan ik zomaar wat invullen of moet het de hostname van de ander zijn?

Uiteraard heb ik het IP adres wel ingesteld als de andere want daar wil je naar verbinden.

wat ik ook erg vreemd vind is dat als ze met elkaar proberen te verbinden dat ze die DefaultL2LGroup gebruiken terwijl ik toch echt een andere tunnelnaam heb aangemaakt. waarom pakt die deze dan niet?

Klopt de wizzard was ook 5 klikjes maar helaas geen verbinding met beide.
Ik zal als eerste die namen anders van elkaar te maken.

Waar staat het dan in de foutmelding? want ik lees er blijkbaar overheen.
allemaal bedankt voor de hulp. echt super!

[ Voor 16% gewijzigd door Verwijderd op 06-05-2011 17:23 ]

Vicarious schreef op maandag 09 mei 2011 @ 15:28:
In deze screenie:
http://www.mijnalbum.nl/GroteFoto-BRHG3RWY.jpg

Moet je je local en remote network aangeven. Daar moet je niet any en het IP-adres van je outside interface aangeven, maar juist welke netwerken je wilt tunnelen. Als de ene lokatie met de 5510 192.168.1.0/24 heeft en de andere lokatie met de 5505 192.168.2.0/24, vul je de eerste bij local in en de tweede bij remote. Bij de 5505 doe je dat precies andersom (want daar is 192.168.2.0 juist local en .1.0 remote!).

Dat is de reden dat je IPSEC misgaat. De NAT exempt heb je nodig, anders werkt het niet. Door jouw nat regel gaat hij proberen verkeer dat hij door de tunnel te sturen te NATten en dat is nou juist niet de bedoeling. Het is de bedoeling dat hij verkeer naar het INTERNET toe NAT (anders moet iedereen met publiek IP het internet op), maar dat het verkeer naar de andere lokatie juist NIET geNAT wordt.

thx voor je snelle antwoord. ik heb op die 5505 even de wizzard opnieuw gedaan en dan met de ip adressen zoals aangegeven. Maar helaas zonder resultaat. Op de 5510 had ik dit zo al staan.
Neem aan dat die zelf probeerd een VPN op te bouwen op het moment dat ik op save druk? of kan je dit evt zelf ook nog proberen te starten?
Ik zie namelijk ook nergens iets in de log terug. Helaas moet ik zo naar huis maar ga er morgen ochtend weer mee verder.

edit:
yessssss ik heb weer een IPsec. nu nog verkeer maar dat komt morgen haha
bedankt mannen!

Alleen als ik zelf in session kies voor logout dan bouwt die de VPN zelf niet meer op?
hoe lang duurt dit anders? of kan ik dat ook zelf doen?

[ Voor 11% gewijzigd door Verwijderd op 09-05-2011 16:02 ]

bedantk voor jullie antwoord. Ik ga die exempt op de 5510 toevoegen.

Op de 5505 is dat idd via de wizzard al gebeurd.

De 5510 is onze huidige firewall welke niet even een factory default kan krijgen

Wat is nou echt een goed Cisco examen? van microsoft ben ik er wel bekend mee welke modules etc etc maar van Cisco heb ik geen idee wat nou een goed traject is.

Vicarious schreef op dinsdag 10 mei 2011 @ 08:55:
CCNA.

ok en dan nog ervaring met een bepaald boek?

haha ik zal voor zo'n boek zoeken.

Ik heb op dit moment een actieve VPN verbinding tussen beide. Data heb ik nog niet maar moet ook nog naar de rules kijken enzo.

Ik kan deze VPN disconnecten vanuit de monitor. Hoe kan je dan opnieuw verbinding maken? uit zichzelf deed die dat niet.
Ik heb nadat ik wat wijzigde de config opgeslagen en toen bouwde die weer op.

Klopt tis idd een DNS probleem.
In het nieuwe pand heb ik overigens verder geen servers staan. Daar staat dan die asa5505 en deze asa zorgt ook voor de DHCP voor de apparaten daarachter. Alle servers staan op de andere locatie.
Het zal een tijdelijke oplossing moeten zijn totdat we daadwerkelijk gaan verhuizen, daarvoor moeten eerst andere bedrijven uit het bedrijven complex.
Is een DNS forwarder ook in te stellen op de ASA5505?

DukeBox schreef op woensdag 11 mei 2011 @ 14:20:
Niet in de 5505. Handiger is om je primary dns naar je andere site te verwijzen in je dhcp config.

Ok de DNS server in het huidige pand (dat netwerk met de 5510) is 10.0.2.4 en 10.0.2.6 dat is een server 2003 DHCP server.
Dus als ik op de nieuwe locatie als primary DNS 10.0.2.4 mee geef naar de clients toe, dan zou het in theorie moeten werken?

Pingen naar 10.0.2.x netwerk gaat trouwens goed evenals het browsen, dus ook dit verkeer is mogelijk.

Ik heb de DNS server als primary ingesteld maar helaas zonder resultaat.
Voor zover ik kan zien is er geen denied ergens.
Er komen hier wel niet veel mensen te zittne (is de verwachting) dus een locale hostfile kan ook wel maar bij voorkeur niet.
Waar kan dit hem nog inzitten? pingen naar het adres van de DNS server gaat btw goed.

EDIT: WERKT!!! toch een denied van de ISA

Oh ja dan rest mij nogmaals te zeggen: Mannen super bedankt voor alle hulp!!!

[ Voor 15% gewijzigd door Verwijderd op 13-05-2011 12:01 ]

Vicarious schreef op vrijdag 13 mei 2011 @ 11:58:
Je moet echt eens overwegen om die ISA alleen als proxy te gebruiken in plaats van als gateway waar al het verkeer doorheen gaat. Je hebt toch al mooie ASA firewalls om de firewall-functie in te vullen in je netwerk? Troubleshooten is nu vaak onwijs lastig omdat die ISA ook nog eens in de weg zit.

Ja klopt ik weet het. Die ISA stond er al tussen voordat ik hier kwam werken. Het liefst wil ik hem er helemaal tussenuit hebben. Troubleshooting gaat opzich wel maar er gaat nu zoveel verkeer overheen dat je het soms niet ziet (veel mensen aan het werk).
de filtering werkt niet altijd even goed in ISA moet zeggen. dan stel je in dat je alleen DNS (53) wil zien en gewoon helemaal niks voorbij komen
toevallig zag ik ineens een rode erdoorheen met een denied