103609
Nov 17, 2011
4784
4
1
Cisco ASA 5510 L2TP IPSEC mit Win2008 Routing und Ras
Hi,
ab und zu war ich schon da und bin bei so manchem Tip auch fündig geworden, nur diesmal will mein Problem sich nicht so Recht "von selbst" lösen und hoffe auf eure Hilfe..... :\
Folgendes Szenario:
Ich möchte eine Cisco ASA 5510 so einrichten (wurde mir von einem it-dienstleister so hingestellt, deswegen hab ich nicht so unmittelbar den masterplan),
dass ich von außen mit mobilen clients (windows XP / win7) einen L2TP/IPSEC Tunnel aufbauen kann.
Im ersten Schritt habe ich dafür PSK auserkoren - as simple as it could be.
Der VPN-Server ist ein Win2k8R2 mit Routing&RAS - user sollen sich direkt mit dem AD-Konto authentifizieren.
Aktuell ist schon PPTP umgesetzt und funktioniert einwandfrei. soweit ich das gesehen habe nach folgenden einträgen:
access-list outside_access_in extended permit tcp any host ras-extern eq pptp
[...]
static (inside,outside) ras-extern ras-intern netmask 255.255.255.255
nun dachte ich mir, dass man mit 500,4500,1701 und esp das ganze zusätzlich wie folgt umsetzt:
access-list outside_access_in extended permit udp any host wartung.extern eq 1701
access-list outside_access_in extended permit udp any host wartung.extern eq 500
access-list outside_access_in extended permit udp any host wartung.extern eq 4500
access-list outside_access_in extended permit esp host ras-extern
Pustekuchen.... der hit-coutner geht z.b. für 500 zwar hoch, aber das wars auch. auf der clientseite kriege ich den fehler 809 (problem beim verbindungsaufbau, ggf. nat prob).
folgende page von cisco habe ich mir dazu schon reingezogen, die ja eigentlich genau das beschreibt was ich machen will, aber ich komme irgendwie auf keinen grünen zweig
Der Absatz zu "Allow L2TP Over IPsec Through PIX/ASA 7.x and Above"
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Intern funktioniert der Verbindungsaufbau mit PPTP und L2TP/IPSEC übrigens einwandfrei. Es muss irgendwas in der ASA stecken was da nicht so richtig will....
Ich hoffe, dass da jemand mehr Plan von hat als ich und mir schreibt ;)
Danke schon mal vorab :\
ab und zu war ich schon da und bin bei so manchem Tip auch fündig geworden, nur diesmal will mein Problem sich nicht so Recht "von selbst" lösen und hoffe auf eure Hilfe..... :\
Folgendes Szenario:
Ich möchte eine Cisco ASA 5510 so einrichten (wurde mir von einem it-dienstleister so hingestellt, deswegen hab ich nicht so unmittelbar den masterplan),
dass ich von außen mit mobilen clients (windows XP / win7) einen L2TP/IPSEC Tunnel aufbauen kann.
Im ersten Schritt habe ich dafür PSK auserkoren - as simple as it could be.
Der VPN-Server ist ein Win2k8R2 mit Routing&RAS - user sollen sich direkt mit dem AD-Konto authentifizieren.
Aktuell ist schon PPTP umgesetzt und funktioniert einwandfrei. soweit ich das gesehen habe nach folgenden einträgen:
access-list outside_access_in extended permit tcp any host ras-extern eq pptp
[...]
static (inside,outside) ras-extern ras-intern netmask 255.255.255.255
nun dachte ich mir, dass man mit 500,4500,1701 und esp das ganze zusätzlich wie folgt umsetzt:
access-list outside_access_in extended permit udp any host wartung.extern eq 1701
access-list outside_access_in extended permit udp any host wartung.extern eq 500
access-list outside_access_in extended permit udp any host wartung.extern eq 4500
access-list outside_access_in extended permit esp host ras-extern
Pustekuchen.... der hit-coutner geht z.b. für 500 zwar hoch, aber das wars auch. auf der clientseite kriege ich den fehler 809 (problem beim verbindungsaufbau, ggf. nat prob).
folgende page von cisco habe ich mir dazu schon reingezogen, die ja eigentlich genau das beschreibt was ich machen will, aber ich komme irgendwie auf keinen grünen zweig
Der Absatz zu "Allow L2TP Over IPsec Through PIX/ASA 7.x and Above"
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Intern funktioniert der Verbindungsaufbau mit PPTP und L2TP/IPSEC übrigens einwandfrei. Es muss irgendwas in der ASA stecken was da nicht so richtig will....
Ich hoffe, dass da jemand mehr Plan von hat als ich und mir schreibt ;)
Danke schon mal vorab :\
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176424
Url: https://administrator.de/contentid/176424
Printed on: April 19, 2024 at 11:04 o'clock
4 Comments
Latest comment
lololololololololol - sorry for wasting your time -.-
es ist genau so wie ich es oben geschildert habe - genau so funktioniert es; jedenfalls in der theorie.
M$ ist schuld.... ich habe natürlich noch weiterrecherchiert und folgende page gefunden:
http://www.bauer-power.net/2011/10/how-to-connect-windows-l2tp-over-ips ...
das habe ich aus verzweiflung einfach mal ausprobiert und ZACK! es geht -.-
es ist genau so wie ich es oben geschildert habe - genau so funktioniert es; jedenfalls in der theorie.
M$ ist schuld.... ich habe natürlich noch weiterrecherchiert und folgende page gefunden:
http://www.bauer-power.net/2011/10/how-to-connect-windows-l2tp-over-ips ...
das habe ich aus verzweiflung einfach mal ausprobiert und ZACK! es geht -.-
For Windows XP clients do the following:
Click Start > Run. Type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Create a new DWORD called AssumeUDPEncapsulationContextOnSendRule and set the value to 2
Reboot
For Windows Vista/Windows 7 clients (If you don’t like SSTP)
Press WIN+R, type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Create a new DWORD value called AssumeUDPEncapsulationContextOnSendRule and set the value to 2.
Reboot
Now your Windows clients should be able to connect using L2TP over IPSEC without issue.
Click Start > Run. Type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Create a new DWORD called AssumeUDPEncapsulationContextOnSendRule and set the value to 2
Reboot
For Windows Vista/Windows 7 clients (If you don’t like SSTP)
Press WIN+R, type in regedit and click OK
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Create a new DWORD value called AssumeUDPEncapsulationContextOnSendRule and set the value to 2.
Reboot
Now your Windows clients should be able to connect using L2TP over IPSEC without issue.
Eigentlich Blödsinn einen L2TP Tunnel durch eine ASA aufzubauen. Viel sicherer und stabiler ist es das VPN auf der ASA selber zu terminieren und den Winblows Server unbehelligt zu lassen.
So konterkariert man eigentlich den Einsatz einer Firewall wie die ASA ja nun mal ist. Da hättest du das Gled sparen können und auch einen 20 Euro Baumarkt Router für hinsetzen kömnen... Vermutlich ist dir das gar nicht bewusst ?! Na ja so viel zum Thema "Masterplan" der vermutlich nicht mal ansatzweise existiert...
Aber warum sicher machen wenns unsicherer und einfacher auch geht ?!
Hier findest du eine Konfig wie man es richtig macht auf der ASA das VPN zu terminieren:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
bzw. wenn man hier mal die Suchfunktion benutzt:
Cisco ASA L2TP-IPSec RemoteAccess VPN mit Windows Boardmitteln
oder wenn man nicht lesen will:
http://gregsowell.com/?p=805
Um das VPN für Dummies zu machen, also L2TP einfach zu tunneln durch die ASA findest du hier eine abtipp fertige Anleitung:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hätte dir das überflüssige, gefährliche und auch sinnfreie Verbiegen der Winblows Komponenten erspart...!
So konterkariert man eigentlich den Einsatz einer Firewall wie die ASA ja nun mal ist. Da hättest du das Gled sparen können und auch einen 20 Euro Baumarkt Router für hinsetzen kömnen... Vermutlich ist dir das gar nicht bewusst ?! Na ja so viel zum Thema "Masterplan" der vermutlich nicht mal ansatzweise existiert...
Aber warum sicher machen wenns unsicherer und einfacher auch geht ?!
Hier findest du eine Konfig wie man es richtig macht auf der ASA das VPN zu terminieren:
http://www.cisco.com/en/US/products/ps6120/products_configuration_examp ...
bzw. wenn man hier mal die Suchfunktion benutzt:
Cisco ASA L2TP-IPSec RemoteAccess VPN mit Windows Boardmitteln
oder wenn man nicht lesen will:
http://gregsowell.com/?p=805
Um das VPN für Dummies zu machen, also L2TP einfach zu tunneln durch die ASA findest du hier eine abtipp fertige Anleitung:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configur ...
Hätte dir das überflüssige, gefährliche und auch sinnfreie Verbiegen der Winblows Komponenten erspart...!
Hi,
im Grunde hast Du ja Recht - wenn man denn nur diesen Teilaspekt der Anlage betrachtet. Ich hätte es auch lieber anders gehabt. Der RAS-Server war nur schon da und es ist die schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss.
Wie Du aber sicherlich selber weißt gibt es immer mehr als 1 Kriterium an dem bei einer Entscheidung festgehalten wird.... so auch hier.
Die Abtippanleitung hatte ich auch gefunden und in meinem zweiten Post wie Du sicher gesehen hast (oder auch nicht) auch schon die Lösung für das Problem.
Der 20EUR Baumarkt Router hätte es aber auch nicht sein können, weil der die ganzen Verbindungen die gehandelt werden und des abzubildenden Netzwerkes nicht hätte mitmachen können! Allein die Mailhandles im deutlichen 6-stelligen Bereich hätten den aufgeraucht..
Ich möchte Dir aber dennoch für Deinen Beitrag danken, da er wirklich wertvolle Informationen enthält die hoffentlich nun einem Anderen zu Gute kommen.
Und im Übrigen ist ein: "Bitte mit Sarkasmus und Spott zurückhalten wenn man das Gesamtbild nicht kennt" angebracht!
Solch ein Verhalten schadet einem Forum eher als es nützt, da bringt es auch nichts, wenn man im Anschluss aufopfernd Informationen feil bietet und meint man selber scheint am Hellsten.
Danke!
im Grunde hast Du ja Recht - wenn man denn nur diesen Teilaspekt der Anlage betrachtet. Ich hätte es auch lieber anders gehabt. Der RAS-Server war nur schon da und es ist die schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss.
Wie Du aber sicherlich selber weißt gibt es immer mehr als 1 Kriterium an dem bei einer Entscheidung festgehalten wird.... so auch hier.
Die Abtippanleitung hatte ich auch gefunden und in meinem zweiten Post wie Du sicher gesehen hast (oder auch nicht) auch schon die Lösung für das Problem.
Der 20EUR Baumarkt Router hätte es aber auch nicht sein können, weil der die ganzen Verbindungen die gehandelt werden und des abzubildenden Netzwerkes nicht hätte mitmachen können! Allein die Mailhandles im deutlichen 6-stelligen Bereich hätten den aufgeraucht..
Ich möchte Dir aber dennoch für Deinen Beitrag danken, da er wirklich wertvolle Informationen enthält die hoffentlich nun einem Anderen zu Gute kommen.
Und im Übrigen ist ein: "Bitte mit Sarkasmus und Spott zurückhalten wenn man das Gesamtbild nicht kennt" angebracht!
Solch ein Verhalten schadet einem Forum eher als es nützt, da bringt es auch nichts, wenn man im Anschluss aufopfernd Informationen feil bietet und meint man selber scheint am Hellsten.
Danke!
Na ja das Quäntchen Helligkeit hat dir ja gefehlt um das Gesamtbild darzustellen. Statt dessen konfrontierst du uns mit einer halb garen Quick and Dirty Lösung und einem vollkommen sinnlosen und zudem gefährlichen Registry Hack. Dein Argument "schnellste und einfachste Art gewesen die Änderung herbeizuführen ohne einen größeren Aufriss..." kann man wirklich nicht für voll nehmen, denn auf der ASA ist das mit 3 Mausklicks installiert und steht in keinem Verhältnis zum Customizen des Winblows Servers, den Problemen des Port Forwarding auf der Firewall, Regisry Hack usw. usw. Von der Sicherheit wolln wir lieber mal gar nicht reden...
Soviel zum Thema Teilaspekt.
Im übrigen sollte man schon so einen Aufriss aushalten können wenn man sich in ein Forum wagt mit löchrigen Beschreibungen und es mal etwas rauher wird....aber egal...es funktioniert und gut iss...
Soviel zum Thema Teilaspekt.
Im übrigen sollte man schon so einen Aufriss aushalten können wenn man sich in ein Forum wagt mit löchrigen Beschreibungen und es mal etwas rauher wird....aber egal...es funktioniert und gut iss...
