[VPN] VPN Connectie Zywall 5 <> Cisco ASA 5510

Dit voldoet aan je beschrijving. Check of een oplossing tussen staat.

Symptoom: De tunnel komt niet op en er staan in de router die de verbinding moet gaan opbouwen uitsluitend(!) IKE Packet retransmit regels in de (webpagina)log:
Oorzaak 1: Een van de apparaten is ingesteld op MAIN MODE en de andere op AGRESSIVE MODE.
Oplossing 1: Stel beide routers op dezelfde mode in.

Oorzaak 2: De firewall blokkeert aan de ontvangende kant het inkomende VPN verkeer. Er staat dan meestal wel een melding van geblokkeerde IKE packets in de (webpagina)log.
Oplossing 2: Zet de firewall uit (zodra het werkt aanpassen en weer activeren).

Oorzaak 3: Het IKE (UDP poort 500) verkeer wordt niet doorgegeven aan de VPN-router aan de andere kant. Dit laatste ligt dan meestal aan het type, de firmware of de instellingen van het gebruikte modem.
Oplossing 3: Controleer of de gebruikte modem de juiste instellingen heeft.

Oorzaak 4: Het My IP-address in de VPN-instellingen van de ontvangende router, of het secure gateway IP-address van de zendende router staat niet correct ingesteld.
Oplossing 4: Controleer de VPN instellingen.

Oorzaak 5: IKE verkeer (UDP poort 500) verkeer wordt via de NAT Setup door gestuurd naar een intern IP-adres.
Oplossing 5: Verwijder poort 500 uit de NAT Setup tabel.

Bron: http://www.valadissupport.nl/vpndebug.html#probleem4

Heb je op de Cisco asa de volgende commando's gebruikt om het probleem op te sporen?
- debug isakmp 127
- debug crypto ipsec 127
- debug crypto condition peer AA.BB.CC.DD

Zo kun je alleen die specifieke tunnel output zien.

Als je op de ASA de poging niet binnen ziet komen maar in de Zywal wel de log ziet, dan moet er haast wel iets mis zijn met de internet verbinding aan de Zywal kant. Ook de retransmits wijzen deze richting op, er komt namelijk geen antwoord van de ASA. Staat er nog een router/modem tussen de internet lijn en Zywel, dan zou ik daar eens naar (laten) kijken.