Site to site VPN Fritzobox <-> ASA

Hallo allemaal, ik probeer een site to site vpn op te zetten tussen een Fritzbox en een ASA 5510, maar helaas lukt het mij niet om netwerkveer over en weer te krijgen. Ik heb de tunnel gemaakt d.m.v. deze handleiding op internet. De vpn tunnel is actief, dat zie ik o.a. in de Fritzbox.

De Fritzbox heeft inside ip .3.254, en de ASA .2.254. en zijn van elkaar gescheiden door een fysieke internetverbinding.

Clients op het .3.0 netwerk kunnen -niet- pingen naar clients in het .2.0 netwerk en vice versa, geeft time-outs. Ik heb in de ASA logging gekeken, maar daarin zie ik helemaal geen verkeer van het .3.0 netwerk voorbij komen, dus het lijkt misschien op een NAT-rule of zo?
Ik heb ook Anyconnect op de ASA geconfigureerd, en daarmee had ik hetzelfde probleem (verkeer van vpn netwerk kon niet naar het .2.0 netwerk pingen), maar dat heb ik uiteindelijk opgelost door een NAT-rule toe te voegen. Ik heb de desbetreffende regel gekopieerd/geplakt/aangepast naar het .3.0 netwerk, maar dat heeft helaas ook niet geholpen. Ook heb ik al geprobeerd om op de ASA een expliciete firewall regel (allow any any) te maken van het 2.0 netwerk naar het 3.0 netwerk, maar zelfs dat heeft niet geholpen.

In het kort:
- Pingen van 3.0 client naar ASA (.2.254) werkt niet
- Pingen van 2.0 client naar Fritzbos (.3.254) werkt niet
- Nat rule gemaakt op ASA, werkt niet
- Expliciete fw regel aangemaakt (allow any any 2.0 > 3.0) op inside interface ASA, werkt niet
- Logging ASA laat tijdens het pingen geen hits zien als ik filter op het .3.0 netwerk

Ik heb niet heel veel verstand van netwerken, dus weet niet zo goed waar ik het zoeken moet.

Iemand een idee?

PS: als er meer info nodig is hoor ik dat natuurlijk graag.

z1rconium schreef op zondag 23 juli 2017 @ 15:07:
Wat zegt show ip route ? klinkt alsof je een route mist.

ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is 192.168.178.1 to network 0.0.0.0

C 192.168.9.240 255.255.255.240 is directly connected, Honeypot
C 192.168.178.0 255.255.255.0 is directly connected, Outside
C 192.168.2.0 255.255.255.0 is directly connected, Inside
S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.178.1, Outside

MisteRMeesteR schreef op zondag 23 juli 2017 @ 15:39:
Staan je NAT rules in de goede volgorde in je ASA config?

Geen idee!

Hieronder nat config:

---

ASA# sh nat
Manual NAT Policies (Section 1)
1 (any) to (any) source static inside_network inside_network destination static VPN_Clients VPN_Clients no-proxy-arp
translate_hits = 260, untranslate_hits = 264
2 (any) to (any) source static inside_network inside_network destination static NDB-Network NDB-Network no-proxy-arp
translate_hits = 69083, untranslate_hits = 69086

Auto NAT Policies (Section 2)
1 (Outside) to (Outside) source static FTP interface service tcp ftp ftp
translate_hits = 0, untranslate_hits = 291
2 (Inside) to (Outside) source static Web interface service tcp www www
translate_hits = 0, untranslate_hits = 15938
3 (Inside) to (Outside) source static Exchange interface service tcp https https
translate_hits = 0, untranslate_hits = 8336
4 (any) to (Outside) source static TMS2 interface service tcp 3389 3389
translate_hits = 0, untranslate_hits = 673535
5 (Inside) to (Outside) source static Download interface service tcp 32692 32692
translate_hits = 0, untranslate_hits = 8012931
6 (Inside) to (Outside) source static Mailcleaner interface service tcp smtp smtp
translate_hits = 0, untranslate_hits = 56919

Manual NAT Policies (Section 3)
1 (Inside) to (Outside) source dynamic any interface
translate_hits = 26913685, untranslate_hits = 6913335
2 (Honeypot) to (Outside) source dynamic any interface
translate_hits = 316227, untranslate_hits = 2441

---

laurens0619 schreef op zondag 23 juli 2017 @ 19:12:
MBT ARP: Ik denk niet dat je het daar moet zoeken omdat het om verkeer buiten het subnet gaat, dan gaat het direct naar de Default Gateway.

Daarover, het is mij even niet duidelijk of de fritzbox en ASA in beide netwerken ook de default gateway is van de clients. Zo niet, zul je daar op clients niveau (of static routes op router niveau) moeten toevoegen.

Ja, dat is zo.

Vorkie schreef op zondag 23 juli 2017 @ 20:38:
Dus nat achter nat en daarover een vpn tunnel?

Kan je eens de tunnelstatus op de asa bekijken of beide negotiations gelukt zijn en dus volledig up is.

Verder moeten de cliënts wel de asa als gateway hebben en niet het ziggo modem, dus alles verbonden aan de WiFi van het ziggo modem gaat nooit over de asa heen. (Verklaard misschien dat jij niets in de logging ziet)

Tipje zet dat modem van ziggo in bridge modus, alleen dan ben je wel je WiFi functie kwijt, maar krijgt je Cisco tenminste netjes een niet lokaal gereserveerd publiek ip adres.

Hoe doe/zie ik dit op de ASA? Ik meen mij te herinneren (op het moment dat ik in de Fritzbox op apply drukte voor het maken van de tunnel) dat ik wel in de logging zag dat de tunnel correct wordt opgebouwd en de authenticatie gelukt is.
Overigens gaat het om vaste clients. Wifi van de Ziggo modem/router wordt niet gebruikt.

[ Voor 50% gewijzigd door Lesilhouette op 24-07-2017 11:05 ]

Vorkie schreef op maandag 24 juli 2017 @ 11:14:
[...]

En welke gateway hebben die vaste clients?

Verder kan je dat opzoeken van de tunnel status wel eventjes Googlen lijkt mij

Respectievelijk de asa en fritzbox.

---

Tunnel output:

ASA# show run crypto map
crypto map Outside_map 3 match address Outside_cryptomap
crypto map Outside_map 3 set pfs
crypto map Outside_map 3 set peer 80.101.x.x
crypto map Outside_map 3 set ikev1 transform-set ESP-3DES-SHA
crypto map Outside_map 3 set nat-t-disable
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside

ASA# show vpn-sessiondb l2l

Session Type: LAN-to-LAN

Connection : 80.101.67.101
Index : 812 IP Addr : 80.101.x.x
Protocol : IKEv1 IPsec
Encryption : IKEv1: (1)AES256 IPsec: (1)3DES
Hashing : IKEv1: (1)SHA1 IPsec: (1)SHA1
Bytes Tx : 0 Bytes Rx : 0
Login Time : 11:18:25 CEDT Mon Jul 24 2017
Duration : 0h:05m:34s (had in asdm per ongeluk op logout i.p.v. details gedrukt, vandaar deze korte uptime.)

ASA# show crypto ipsec sa
interface: Outside
Crypto map tag: Outside_map, seq num: 3, local addr: 192.168.178.2

access-list Outside_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer: 80.101.x.x


#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 192.168.178.2/0, remote crypto endpt.: 80.101.x.x/0
path mtu 1500, ipsec overhead 58(36), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 17713CB5
current inbound spi : 4B510B90

inbound esp sas:
spi: 0x4B510B90 (1263602576)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, IKEv1, }
slot: 0, conn_id: 3325952, crypto-map: Outside_map
sa timing: remaining key lifetime (kB/sec): (4374000/3206)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x17713CB5 (393297077)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, IKEv1, }
slot: 0, conn_id: 3325952, crypto-map: Outside_map
sa timing: remaining key lifetime (kB/sec): (4374000/3206)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001

---