PIX/ASA vpn config problem

Selgald · 16.07.2008, 14:44

moin ich versuch grad nen tunnel zwischen zwei PIX/ASA aufzubauen, folgend kommt eine config.

ich bekomme keinen tunnel zustanden, ich hab mich an die anleitung von cisco gehalten, scheine aber irgendwas verbrasselt zu haben.
hat da einer eine idee zu?

wenn ich die kiste reloade kommt folgendes:

.WARNING: crypto map has incomplete entries
*** Output from config line 78, "crypto map outside_map i..."

same-security-traffic permit intra-interface
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.3.200 255.255.255.255
access-list outside_cryptomap_10 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.200 255.255.255.255
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any echo inside
icmp permit any echo-reply inside
asdm image disk0:/asdm-502.bin
no asdm history enable
arp timeout 14400
global (outside) 10 interface

crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map outside_map 10 match address outside_cryptomap_10
crypto map outside_map 10 set peer 192.168.4.200
crypto map outside_map 10 set transform-set myset
crypto map outside_map 10 set security-association lifetime seconds 86400
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

telnet timeout 5
ssh timeout 5
console timeout 0

tunnel-group 192.168.4.200 type ipsec-l2l
tunnel-group 192.168.4.200 ipsec-attributes
pre-shared-key cisco

class-map inspection_default
match default-inspection-traffic

policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28
: end

PaLiNkA · 16.07.2008, 16:52

crypto map outside_map 10 ipsec-isakmp

oder

crypto map outside_map 10 ipsec-manual

fehlt.

Crash2001 · 16.07.2008, 16:56

Zitat:

Zitat von Selgald

[...]wenn ich die kiste reloade kommt folgendes:

.WARNING: crypto map has incomplete entries
*** Output from config line 78, "crypto map outside_map i..."[...]

Welche Kiste (Modell) und welche Version ist da drauf?

Selgald · 18.07.2008, 09:13

moin,

als version nutze ich asa803-k8-ED.bin
Model :Cisco Asa 5505

Selgald · 21.07.2008, 11:23

also ich krieg den mist nicht ans laufen,

es hat wohl nicht gerade wer 2 configs für zwei asa's aufm rechner, damit ich wenigstens mal nen tunnel hinbekomme? ^^

PaLiNkA · 21.07.2008, 17:58

Probier mal diese Zeile:
crypto map outside_map 10 set reverse-route

Dann sollte zumindest die Fehlermeldung, dass die crypto-map nicht komplett ist nimmer kommen.

Willst du den Tunnel nur zur 192.168.3.200 aufbaun?

Jannemann · 04.02.2009, 13:50

Zitat:

Zitat von Selgald

.WARNING: crypto map has incomplete entries
*** Output from config line 78, "crypto map outside_map i..."

Das dort genannte interface existiert auch?

Wenn Du mit dem packet-tracer eine Verbindung simulierst, was sagt der isakmp & ipsec debug output?

Klappt zumindest die IKE Phase 1?

Wirft folgendes einen Output?

Code:

sh vpn-sessiondb detail l2l

16.07.2008, 14:44	#1
Selgald Reg.-Benutzer Reg.-Datum: 24.08.2006	PIX/ASA vpn config problem moin ich versuch grad nen tunnel zwischen zwei PIX/ASA aufzubauen, folgend kommt eine config. ich bekomme keinen tunnel zustanden, ich hab mich an die anleitung von cisco gehalten, scheine aber irgendwas verbrasselt zu haben. hat da einer eine idee zu? wenn ich die kiste reloade kommt folgendes: .WARNING: crypto map has incomplete entries *** Output from config line 78, "crypto map outside_map i..." same-security-traffic permit intra-interface access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.3.200 255.255.255.255 access-list outside_cryptomap_10 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.200 255.255.255.255 pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp permit any echo outside icmp permit any echo-reply outside icmp permit any echo inside icmp permit any echo-reply inside asdm image disk0:/asdm-502.bin no asdm history enable arp timeout 14400 global (outside) 10 interface crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto map outside_map 10 match address outside_cryptomap_10 crypto map outside_map 10 set peer 192.168.4.200 crypto map outside_map 10 set transform-set myset crypto map outside_map 10 set security-association lifetime seconds 86400 crypto map outside_map interface outside isakmp identity address isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group 2 isakmp policy 65535 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 tunnel-group 192.168.4.200 type ipsec-l2l tunnel-group 192.168.4.200 ipsec-attributes pre-shared-key cisco class-map inspection_default match default-inspection-traffic policy-map asa_global_fw_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy asa_global_fw_policy global Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28 : end

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen Download als PDF Datei
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Postfix SMTP AUTH WICHTIG	KuMpEl2	Rootserver - Vserver - Webspace	14	22.08.2008 00:18
Problem nach Partitionierung!	slayer_flo	Hardware	3	20.08.2008 15:33
"ntvdm.exe hat ein Problem festgestellt..."	3rdTwin	Windows Betriebssysteme	0	03.01.2006 08:51
Problem: Webbrowser blockieren	Merlin_Level_E	Windows Betriebssysteme	4	17.08.2005 10:58
Norten Antivirus 2004 Problem!	Loomit18	Anwendungssoftware	2	21.09.2004 13:54

16.07.2008, 16:52	#2
PaLiNkA Reg.-Benutzer Reg.-Datum: 07.07.2008	crypto map outside_map 10 ipsec-isakmp oder crypto map outside_map 10 ipsec-manual fehlt.

18.07.2008, 09:13	#4
Selgald Reg.-Benutzer Reg.-Datum: 24.08.2006	moin, als version nutze ich asa803-k8-ED.bin Model :Cisco Asa 5505

21.07.2008, 11:23	#5
Selgald Reg.-Benutzer Reg.-Datum: 24.08.2006	also ich krieg den mist nicht ans laufen, es hat wohl nicht gerade wer 2 configs für zwei asa's aufm rechner, damit ich wenigstens mal nen tunnel hinbekomme? ^^

21.07.2008, 17:58	#6
PaLiNkA Reg.-Benutzer Reg.-Datum: 07.07.2008	Probier mal diese Zeile: crypto map outside_map 10 set reverse-route Dann sollte zumindest die Fehlermeldung, dass die crypto-map nicht komplett ist nimmer kommen. Willst du den Tunnel nur zur 192.168.3.200 aufbaun?