Mijn vraag
We hebben op kantoor een Cisco ASA 5505 firewall en de VPN (IPSec) daarvan werkt niet meer. Ik heb een NAT rule aangemaakt, en ik vermoed dat daarbij iets rondom de VPN verbinding is weggevallen.
Bij het aanmaken van de verbinding, klapt de client er na +/- 30 seconden uit met de melding: "Gateway is not responding".
Het bedrijf dat hier de VPN heeft ingericht, is helaas failliet, anders had ik die benaderd.
Relevante software en hardware die ik gebruik
Ik vermoed dat ik bij het aanpassen van de NAT rule per ongeluk een andere NAT of accessrule heb verwijderd, maar ik heb geen idee welke. Een andere optie is dat er iets is aangepast bij de IPSec instellingen, waardoor het client profiel niet meer overeenkomt met de instellingen van de firewall (alleen daar ben ik zeker niet geweest in de instellingen).
Wat wil ik nog proberen
Als ik een laptop inplug op de Fritzbox (dus aan de "outside" kant van de firewall), en vanaf daar een VPN-verbinding probeer op te zetten, lukt het wel. Dan zie ik ook netjes PHASE 1 COMPLETED en PHASE 2 COMPLETED. Dus het lijkt dan toch ergens tussen de firewall en de Fritzbox naar buiten te zitten? Of iets in de firewall die geen verbindingen accepteert van buiten af met een ander IP-adres dan 192.168.178.0/24
We hebben op kantoor een Cisco ASA 5505 firewall en de VPN (IPSec) daarvan werkt niet meer. Ik heb een NAT rule aangemaakt, en ik vermoed dat daarbij iets rondom de VPN verbinding is weggevallen.
Bij het aanmaken van de verbinding, klapt de client er na +/- 30 seconden uit met de melding: "Gateway is not responding".
Ik ben een software engineer met enige affiniteit voor hardware/netwerken, maar dit ding heeft wel heel veel opties
Het bedrijf dat hier de VPN heeft ingericht, is helaas failliet, anders had ik die benaderd.Relevante software en hardware die ik gebruik
- Cisco ASA 5505
- VPN inlog door middel van LDAP authenticatie naar Windows
- Fritzbox (Online.nl) hangt aan de "outside" poort van de firewall (firewall zit in DMZ)
- De VPN verbinding luistert, als het goed is, naar poort UDP 500, deze heb ik bij de accessrules al open gezet, maar dat lost niks op
- Vanuit de firewall kan ik de Active Directory machine pingen, ook de LDAP authenticatie test vanuit de firewall werkt prima
- Ik heb een volledig nieuwe VPN opgezet via de wizard inclusief LDAP authenticatie (in de hoop dat daarmee eventuele NAT of Accessrules die weg zijn, worden hersteld)
- Inloggen met een lokaal account (dus geen LDAP) account werkt ook niet
- De door mij aangemaakt NAT rule verwijderd
- De firewall opnieuw opgestart
- Ik heb de logging in de firewall verhoogd naar debug, dan komt daar (beknopt) het volgende uit:
- IKE_DECODE RECEIVED Message (msgid=0) with payloads : HDR + HASH ( 8 ) + NAT-D (20) + NAT-D (20) + NONE (0) total length : 100
- IKE_DECODE SENDING Message (msgid=60975dc6) with payloads : HDR + HASH ( 8 ) + ATTR (14) + NONE (0) total length : 72
- Dan blijft het 15 seconden stil
- NAT-T keepalive received from x.x.x.x/4500 to outside:192.168.178.10/4500
- Dan herhaalt het volgende blok zich 4 keer
- Group = tunnel, IP = x.x.x.x, processing notify payload
- Group = tunnel, IP = x.x.x.x, processing hash payload
- IP = x.x.x.x, IKE_DECODE RECEIVED Message (msgid=7dd54873) with payloads : HDR + HASH ( 8 ) + NOTIFY (11) + NONE (0) total length : 84
- IKE Receiver: Packet received on 192.168.178.10:4500 from x.x.x.x:4500
- Om vervolgens te eindigen met
- Group = tunnel, IP = x.x.x.x, IKE SA AM:75c2c048 terminating: flags 0x0104c801, refcnt 0, tuncnt 0
- Group = tunnel, IP = x.x.x.x, Connection terminated for peer . Reason: Peer Terminate Remote Proxy 0.0.0.0, Local Proxy 0.0.0.0
- Group = tunnel, IP = x.x.x.x, processing delete
- Group = tunnel, IP = x.x.x.x, processing hash payload
Ik vermoed dat ik bij het aanpassen van de NAT rule per ongeluk een andere NAT of accessrule heb verwijderd, maar ik heb geen idee welke. Een andere optie is dat er iets is aangepast bij de IPSec instellingen, waardoor het client profiel niet meer overeenkomt met de instellingen van de firewall (alleen daar ben ik zeker niet geweest in de instellingen).
Wat wil ik nog proberen
- Nieuwe VPN maken met de wizard met alleen een lokaal account, om te kijken of ik dat wel werkend krijg
- Verder heb ik geen idee meer
Als ik een laptop inplug op de Fritzbox (dus aan de "outside" kant van de firewall), en vanaf daar een VPN-verbinding probeer op te zetten, lukt het wel. Dan zie ik ook netjes PHASE 1 COMPLETED en PHASE 2 COMPLETED. Dus het lijkt dan toch ergens tussen de firewall en de Fritzbox naar buiten te zitten? Of iets in de firewall die geen verbindingen accepteert van buiten af met een ander IP-adres dan 192.168.178.0/24
[ Voor 6% gewijzigd door Exterazzo op 11-09-2019 09:04 ]
:strip_icc():strip_exif()/u/305009/crop5e0903781ce49_cropped.jpeg?f=community)
Maar goed, ik ben blij dat het weer werkt. Ik hou het in het vervolg maar bij programmeren 