Remote acces VPN op ASA5510 (L2TP/IPsec) - Netwerken

dinsdag 13 juni 2017 13:09

Acties:

Topicstarter

Na een paar dagen lopen stoeien met een ASA5510 ben ik er helaas nog niet uit gekomen. Na uren van filmpjes kijken op youtube en tutorials op het internet nabouwen heb ik het nog niet aan de praat gekregen. Het plan is om op een ASA5510 een VPN in te stellen à la het remote acces princiepe. Van buitenaf dient men dus in te kunnen loggen op het LAN via de VPN. Het leek me verstandig gebruik te maken van L2TP/IPsec. Ik heb meerdere opties geprobeerd. Ik heb geprobeerd de VPN in te stellen via zowel de ASDM GUI die een wizzard bevat voor het configureren van een remote acces VPN als via de CLI. Zie hier de config zoals deze op dit moment is. Note: dit werkt dus niet en ik heb IP adressen/namen veranderd ivm privacy.

interface Ethernet0/0
description Uplink naar ISP
nameif Uplink naar ISP
security-level 0
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
!
interface Ethernet0/1
description Trunk naar router
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name tweakers.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

ip local pool vpn_pool 172.31.138.1-172.31.138.5 mask 255.255.255.0
ip local pool RA_POOL 172.31.132.200-172.31.132.210 mask 255.255.255.0
ip local pool Testpool 192.168.0.20-192.168.0.50 mask 255.255.255.0

crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec transform-set set1 esp-aes-256 esp-sha-hmac
crypto ipsec transform-set set1 mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-192-SHA ESP-AES-256-SHA ESP-3DES-SHA ESP-DES-SHA ESP-AES-128-SHA-TRANS ESP-AES-192-SHA-TRANS ESP-AES-256-SHA-TRANS ESP-3DES-SHA-TRANS ESP-DES-SHA-TRANS
crypto map cust00-outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map cust00-outside_map interface cust00-outside
crypto isakmp enable cust00-outside
crypto isakmp policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400
crypto isakmp policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto isakmp policy 60
authentication pre-share
encryption aes-192

De error die ik in Windows te zien krijg als ik met de VPN probeer te verbinden is als volgt:

The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

[ Voor 3% gewijzigd door Woask op 13-06-2017 15:02 ]

dinsdag 13 juni 2017 15:49

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Ik zie helemaal geen tunnel-group en group policy gedefinieerd staan, dan kan het volgens mij nooit werken. Bekijk deze links eens:
http://www.cisco.com/c/en...IPsec-Between-Window.html
http://www.cisco.com/c/en...ide/conf_gd/l2tp_ips.html

[ Voor 16% gewijzigd door Vicarious op 13-06-2017 15:50 ]

Vicariously I live while the whole world dies

woensdag 14 juni 2017 11:55

Acties:

Frogmen

Zit de ASA achter een modem die NAT dan is de kans groot dat het niet lukt.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 17 juni 2017 12:53

Acties:

Woask

Topicstarter

@Vicarious Die had ik per ongeluk uit de config gehaald die ik hier heb gepost. Mijn config bevatte wel group policy's en tunnel-groups. Heb hier nog even mee zitten stoeien maar had geen effect.

@Frogmen Nee heb mijn test setup op een aparte internetlijn zitten, dus de ASA fungeerde als Firewall, NAT en router.

Na de config nog maar eens een extra keer gecontroleerd te hebben overnieuw begonnen, en de wizzard weer gevolgd. Het resultaat in Windows was dat ik nu wel kon verbinden met de VPN. Echter kon ik niks bereiken terwijl ik met VPN verbonden was. Na die error weer uitgebreid gegoogled te hebben kwam ik er dus achter dat het een licentie issue was! Ik had simpelweg gewoon een licentie nodig om een VPN te mogen opzetten op de ASA. Echt heel stom dat het daarom dus niet werkte... Weer zo'n typisch "Ooooh!" momentje.

Bedankt voor jullie input!

dinsdag 20 juni 2017 14:37

Acties:

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Waarom zet je geen security-level (100 meestal

) op de inside interface?

Let ook goed op de volgorde van je NAT statements, been there...

www.google.nl