ASA IKEv2 Phase II komt niet online - Netwerken

donderdag 21 juli 2022 10:04

Acties:

0 Henk 'm!

Topicstarter

Hallo allemaal,

Het zal waarschijnlijk iets kleins zijn wat ik over het hoofd zie, maar ben er een tijdje uit geweest en kom er niet (meer) uit.
Ben momenteel een IKEv2 Site-to-Site VPN aan het opzetten om zo op dat platform de printer etc te kunnen koppelen. Phase I komt de lucht in en wacht daarna op Phase 2. Nu krijg ik voor Phase 2 de volgende error.

code:

Local:Extern-IP:500 Remote:VPN-ENDPOINT-IP:500 Username:VPN-ENDPOINT-IP IKEv2 Tunnel rejected: Crypto Map Policy not found for remote traffic selector 0.0.0.0/255.255.255.255/0/65535/0 local traffic selector 0.0.0.0/255.255.255.255/0/65535/0!

VPN config

code:

IP's zijn even aangepast voor privacy/veiligheid

object network Site-A-SN
 subnet 172.17.2.0 255.255.255.0
object network Site-B-SN
 subnet 100.0.0.20 255.255.255.252
object network Site-C-SN
 subnet 100.0.0.24 255.255.255.248
object-group network Site-PRIMARY-SN
 network-object object Site-B-SN
 network-object object Site-C-SN
access-list VPN-INTERESTING-TRAFFIC extended permit ip object Site-A-SN object-group Site-PRIMARY-SN
nat (inside,outside) source static Site-A-SN Site-A-SN destination static Site-PRIMARY-SN Site-PRIMARY-SN no-proxy-arp route-lookup
route outside 0.0.0.0 0.0.0.0 EXTERN-IP 1
crypto ipsec ikev2 ipsec-proposal AES-256
 protocol esp encryption aes-256
 protocol esp integrity sha-1
crypto ipsec ikev2 ipsec-proposal VPN-TRANSFORM
 protocol esp encryption aes-256
 protocol esp integrity sha-1
crypto ipsec security-association pmtu-aging infinite
crypto map CRYPTO-MAP 1 match address VPN-INTERESTING-TRAFFIC
crypto map CRYPTO-MAP 1 set peer VPN-ENDPOINT-IP
crypto map CRYPTO-MAP 1 set ikev2 ipsec-proposal VPN-TRANSFORM
crypto map CRYPTO-MAP interface outside
crypto ca trustpool policy
crypto ikev2 policy 1
 encryption aes-256
 integrity sha256
 group 14
 prf sha256
 lifetime seconds 3600
crypto ikev2 policy 10
 encryption aes-256
 integrity sha256
 group 14
 prf sha256
 lifetime seconds 3600
crypto ikev2 enable outside

Zien jullie iets geks, of zie ik iets over het hoofd

Ik tast een beetje in het duister gezien de partij aan de andere kant nogal langzaam is qua communicatie, dus wie weet kan ik dit zelf versnellen door hier het een en ander uit te zoeken $_/-\o_$

5120Wp Oost/West - PV Output

donderdag 21 juli 2022 12:23

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Een VPN komt in de basis van twee kanten, er moet immers een handshake plaatsvinden. Staan je phase ii settings aan de andere kant precies hetzelfde ingesteld?

I reject your reality and substitute my own

donderdag 21 juli 2022 12:51

Acties:

0 Henk 'm!

Seriph

Wat ik uit de log haal is dat de andere kant een verkeerde policy heeft staan. Het remote ip lijkt een tunnel voor het verkeerde subnet aan te vragen bij jouw ASA. Jouw ASA kent die policy niet en reject hem.

donderdag 21 juli 2022 13:01

Acties:

+1 Henk 'm!

JustinoFTW

Topicstarter

Ik heb het ondertussen anders aangepakt en door middel van een VTI ingesteld i.p.v crypto maps.
De VPN is nu online (phase I & II) en kan dus verder met configureren.

5120Wp Oost/West - PV Output