VPN opbouwen ASA5505

Pagina: 1
Acties:

  • mati1983
  • Registratie: November 2008
  • Laatst online: 29-11-2025
Beste allemaal,

Ik heb een probleempje.. Waarschijnlijk willen jullie meer details/info, maar zeg in dat geval svp even wat en waar ik dat vind :) Ik ben hartstikke nieuw op gebied van Cisco (en was er zonder de ASDM ook echt niet in geslaagd om te komen tot waar ik nu ben) ;-)

Ik heb een ASA5505 voor thuis en gebruik deze als firewall/router. Onder andere om een site2site te onderhouden met een vriendje van me en anderzijds om zelf middels Anyconnect naar thuis te kunnen babbelen.

Beide werken, echter:

Mbt de site2site:

Deze werkt pas op het moment dat de ander (het vriendje dus) iets over de VPN heen probeert te gooien. Bv: ik zet een ping open naar zijn PC, dan krijg ik timeouts, totdat hij hetzelfde probeert. Zodra hij dat doet krijgt hij netjes antwoord en gelijk met dat zie ook ik aan mijn kant de timeouts veranderen in replies.

Voor het opzetten hebben we deze tuto gebruikt, mocht dat voor jullie helpen om te troubleshooten:

http://www.petenetlive.com/KB/Article/0000072.htm

MBT de anyconnect:

Ik zit zelf aan de INSIDE op een computer, een test persoon opent middels de any connect een VPN tunnel. Ik zie dat deze persoon verbonden is op een bepaald intern IP adres, helemaal conform de dhcp pool die ik daarvoor bedacht had. Wederom hetzelfde issie:

Ik zet een ping open; 'timeout'. Totdat de testpersoon richting mij een ping doet.. Meteen replies en tegelijk veranderen ook aan mijn kant de timeouts in replies.

Voor zowel de site2site als de anyconnect geldt: eenmaal heen en weer gepingt werkt alles stabiel!

Ik gebruik trouwens aan beide kanten ASA 8.4(2) en ASDM 6.4(5)206.. De meest recente versies dus.

Iemand een goed idee hoe ik dit ga verhelpen? :D

Bvd :)

  • Jitse H
  • Registratie: Mei 2011
  • Laatst online: 22-02 14:25
Misschien dat dit te verhelpen is met een keep-alive instelling? Die zorgt namelijk voor data over de verbinding om de x aantal seconden, om zo de verbinding te behouden.

[ Voor 11% gewijzigd door Jitse H op 01-12-2011 16:50 ]


  • mati1983
  • Registratie: November 2008
  • Laatst online: 29-11-2025
Had de TTL al omhoog geschroefd.. dat werkt voor de site2site op zich wel, maar ook die TTl loopt op een keer af natuurlijk ;) En eigenlijk hoop ik op een goede/nette oplossing ipv een workaround.. Vooral ook om het zelf te snappen/leren :)

desalniettemin bedankt voor het meedenken alvast! :)

  • Pinooo
  • Registratie: Januari 2007
  • Laatst online: 22-02 21:45
Als je site2site gebruikt via een andere cisco router moet je IP SLA instellen

wat betreft de anyconnect... beiden in hetzelfde subnet??? anders zul je moeten routeren en de client moeten vertellen welke IP's er op de VPN zitten middels split tunneling

[ Voor 53% gewijzigd door Pinooo op 01-12-2011 17:16 ]


  • Jitse H
  • Registratie: Mei 2011
  • Laatst online: 22-02 14:25
mati1983 schreef op donderdag 01 december 2011 @ 17:13:
Had de TTL al omhoog geschroefd.. dat werkt voor de site2site op zich wel, maar ook die TTl loopt op een keer af natuurlijk ;) En eigenlijk hoop ik op een goede/nette oplossing ipv een workaround.. Vooral ook om het zelf te snappen/leren :)

desalniettemin bedankt voor het meedenken alvast! :)
TTL is niet gelijk aan keep-alive.

Keep-alive
Zorgt met een ingestelde interval voor verkeer over de lijn om zo ervoor te zorgen dat, als er geen "normaal" verkeer overheen gaat, de verbinding wel online blijft.

TTL
Is de maximale tijd voor een netwerkpakket die onderweg mag zijn.

Het kan dus kloppen dat je met een verhoogde TTL de verbinding langer online blijft.
Ik vermoed toch dat als je een keep-alive activeert je probleem opgelost is. Daarmee wordt namelijk bijvoorbeeld elke 30 sec. een klein "nep" pakketje over de verbinding gestuurd zodat hij online blijft.

Ik ben niet bekend met de ASA apparatuur, dus kan je niet aangeven waar en hoe dit ingesteld moet worden.


Edit 18:12:
Hier staat het beschreven:
http://netsecinsider.blog...ive-on-cisco-asa-vpn.html

[ Voor 7% gewijzigd door Jitse H op 01-12-2011 18:14 . Reden: Link toegevoegd ]


  • Uberprutser
  • Registratie: Januari 2000
  • Laatst online: 21-02 17:06
Log eens in op je console en doe een "show logging asdm | i [VPN remote IP]" en post deze (ip's mag je vervangen voor x.x.x.x)? Heb je de juiste netwerken gespecificeerd in je encryption domain? Gebruiken jullie dezelfde IPSEC proposal (alles wat je niet gebruikt weghalen is mijn advies).

De logging van die ASA vertellen altijd wel wat er aan de hand is. :)

Overigens blijft een site2site VPN tunnel "up" zolang je IKE key niet verlopen is, pas daarna als je weer een pakketje die kant op slingert.

[ Voor 43% gewijzigd door Uberprutser op 05-12-2011 13:35 ]

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

Pagina: 1