Asa 5505 Vpn

[Coboldo]

Buongiorno a tutti,

Sto cercando di mettere su una site to site vpn tra due asa 5505 con stesso IOS.
Ho utilizzato la procedura wizard per creare le vpn, il problema è che il tunnel non si crea.
Se infatti da un pc della rete A provo a pingare l'asa della rete B, il led vpn lampeggia ma la connessione non si crea.

Guardando il log dell'asa della rete B, ho questi errori:

113019 Group = a.b.c.d, Username = a.b.c.d, IP = a.b.c.d, Session disconnected. Session Type: IPSecLAN2LAN, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: crypto map policy not found

713902 Group = a.b.c.d, IP = a.b.c.d, Removing peer from correlator table failed, no match!

713902 Group = a.b.c.d, IP = a.b.c.d, QM FSM error (P2 struct &0x3af1528, mess id 0x84360cc3)!

713061 Group = a.b.c.d, IP = a.b.c.d, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 192.168.2.0/255.255.255.0/0/0 local proxy e.f.g.h/255.255.255.255/0/0 on interface outside


713119 Group = a.b.c.d, IP = a.b.c.d, PHASE 1 COMPLETED

113009 AAA retrieved default group policy (DfltGrpPolicy) for user = a.b.c.d

Vi posto la configurazione del suddetto asa:

Codice: Seleziona tutto

ASA Version 7.2(3)
!
hostname ciscoasa
domain-name pippo
enable password 7bLfvfolddMpQ6A4 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp setroute
!
interface Vlan3
 shutdown
 no forward interface Vlan1
 nameif dmz
 security-level 50
 no ip address
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name angelini
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_1_cryptomap extended permit ip 192.168.0.0 255.255.255.0 host a.b.c.d
acces-list inside_nat0_outbound extended permit 192.168.0.0 255.255.255.0 host a.b.c.d
acces-list outside_access_in extended permit udp any any eq isakmp
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer a.b.c.d
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.0.2-192.168.0.129 inside
dhcpd dns  ipserverdns interface inside
dhcpd enable inside
!

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
tunnel-group a.b.c.d type ipsec-l2l
tunnel-group a.b.c.d ipsec-attributes
 pre-shared-key *
prompt hostname context
Cryptochecksum:3daea31163813597fd34bf0621902a83
: end

La configurazione dell'altro asa è identica cambiano ovviamente solo gli indirizzi ip.
Dove sbaglio?

[RJ45]

Ciao,
ad occhio direi che manca il nat 0.
E in questa acl:

Codice: Seleziona tutto

acces-list inside_nat0_outbound extended permit 192.168.0.0 255.255.255.0 host a.b.c.d

al posto di host a.b.c.d devi mettere la lan remota, e non il peer dell'altra vpn. Poi la applichi al nat 0.
Probabilmente nel rispondere alle richieste del wizard hai scritto qualcosa nel posto sbagliato.

Ma hai la outside in dhcp??

[Coboldo]

Grazie,

ho corretto come dicevi il nat che in effetti non era configurato per bene.

Ho poi però fatto i cambiamenti delle access-list come dicevi inserendo al posto dell'indirizzo del peer la lan remota.
Ho riapplicato il nat0.

Purtroppo in questo modo la VPN neanche parte
mentre prima tentava di connettersi dandomi quei messaggi di errore ora neanche quello.

(si ho le outside in dhcp essendo un test, sono collegate in dhcp a dei router.. un linksys che esce con wind e un pirelli di tascali business).

la regola Nat 0 che ho inserito è questa:

Codice: Seleziona tutto

nat (inside) 0 access-list inside_nat0_outbound

[RJ45]

Ok,

hai verificato (in entrambi i siti) che il traffico udp 500 e udp 4500 venga nattato dall'ip pubblico del router all'ip privato che hai dato all'ASA? Essendo poi in dhcp sei sicuro che l'Asa ottenga dal router sempre lo stesso ip?

[Coboldo]

Si, il linksys ha l'opzione di lasciare aperte le porte per le vpn, sul pirelli le ho aperte manualmente.
Verificato anche che l'indirizzo privato delle outside dell'asa è sempre lo stesso.

Il problema è che la vpn sembra partire, ma cade subito dando l'errore che dicevo nel mio primo post...
Parla di un qualche cosa che manca nelle crypto map, ma non riesco a capire cosa...

In pratica, i due asa si vedono, tentano di far partire il tunnel ma poi cade tutto

Codice: Seleziona tutto

713061 Group = a.b.c.d, IP = a.b.c.d, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 192.168.2.0/255.255.255.0/0/0 local proxy e.f.g.h/255.255.255.255/0/0 on interface outside 

[RJ45]

Sembrerebbe che qualcosa nelle configurazioni non gli torni.

http://www.cisco.com/en/US/docs/securit ... #wp1286059

Ricontrolla la configurazione dell'altro Asa, oppure postala.

[Coboldo]

Niente da fare, ho ricontrollato la configurazione più volte (mettendo anche le outside con ip statici) ma non va sempre lo stesso errore

vi posto la configurazione del primo fw

Codice: Seleziona tutto

ASA Version 7.2(3)
!
hostname ciscoasa
domain-name pippo
enable password 7bLfvfolddMpQ6A4 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address x.x.x.x 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name angelini
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 host a.b.c.d
access-list inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 host a.b.c.d
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer a.b.c.d
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
client-update enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.129 inside
dhcpd dns 80.68.202.3 interface inside
dhcpd enable inside
!

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
tunnel-group a.b.c.d type ipsec-l2l
tunnel-group a.b.c.d ipsec-attributes
 pre-shared-key *
prompt hostname context
Cryptochecksum:794083be2997a4029bf15f80e1eab483
: end

la configuraziona del secondo

Codice: Seleziona tutto

ASA Version 7.2(3)
!
hostname ciscoasa
domain-name pippo
enable password 7bLfvfolddMpQ6A4 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address x.x.x.x 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name angelini
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 host e.f.g.h
access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 host e.f.g.h
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.3.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer e.f.g.h
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
client-update enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.0.2-192.168.0.129 inside
dhcpd dns 80.68.202.3 interface inside
dhcpd enable inside
!

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
tunnel-group e.f.g.h type ipsec-l2l
tunnel-group e.f.g.h ipsec-attributes
 pre-shared-key *
prompt hostname context
Cryptochecksum:8a62886804b4e9cf7d81621305f4450b
: end

[RJ45]

Cambia così nel primo Asa queste acl:

Codice: Seleziona tutto

access-list outside_1_cryptomap extended permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0 
access-list inside_nat0_outbound extended permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0 

e cambia così nel secondo Asa queste acl:

Codice: Seleziona tutto

access-list outside_1_cryptomap extended permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0 
access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0

e vedrai che funziona.

[Coboldo]

Ho rifatto i cambiamenti sulle acl, purtroppo lo avevo già fatto dopo la tua prima risposta e il risultato è sempre negativo.

La vpn in questo modo neanche vuole saperne di partire.
Provo a pingare le outside degli asa dai pc nelle rispettive inside e ottengo solo, nel log, il risultato del ping.
Ho provato anche ad abilitare l'icmp ma non cambia nulla ai fini della vpn.

[RJ45]

La tua configurazione è praticamente standard, io ti dico solo quello che ho fatto altre volte, e senza problemi. Le tue acl così come le avevi scritte erano sbagliate.

Puoi provare anche ad abilitare il nat-traversal.

L'unica spiegazione che mi rimane è il nat dei router. Io gli Asa li proverei senza niente in mezzo, in laboratorio, giusto per essere sicuro delle configurazioni. Se vanno è chiaro che è un problema dei router.

Altro non mi viene in mente, mi dispiace.

[Coboldo]

Ti ringrazio molto.

Dopo vari test sono riuscito a far partire il tutto con le configurazioni che mi hai suggerito.

Sono riuscito a condividere file tra i pc e la navigazione internet sembra andare.

Ora faccio altri test per vedere se veramente tutto è ok!

Grazie ancora

[RJ45]

Azz! Sono contento, ma anche curioso: cos'era che non andava?

[Coboldo]

Nulla :p

In pratica era un mio errore...

Una volta corrette le configurazione come mi hai indicato si trattava solo di "attivare" la vpn facendo pingare 2 pc ogniuno collegato alla rispettiva interfaccia "inside" del proprio asa.
Quello che io facevo invece era di pingare da un pc dell'interfaccia inside, la outside dell'altro asa, in questo modo la vpn non poteva ovviamente partire... :/

[RJ45]

Può capitare!