Hallo zusammen,
ich habe hier eine CISCO ASA 5505 im Heimnetzwerk. Diese soll eine IPSec VPN Verbindung zu einer Sophos UTM mit statischer IP im RZ herstellen bzw. umgekehrt.
Ich bekomme es leider nicht hin diese Verbindung aufzubauen. Hier ein paar Fakten:
HOME:
FritzBox
Inside: 192.168.0.254
Exposed Host Freigabe: 192.168.0.250
CISCO 5505 / ASA: 9.2.(4) / ASDM: 7.9(1)
outside: 192.168.0.250
Inside: 192.168.1.1
RZ:
Sophos UTM 9.601-5
WAN: Public IP:
Inside: 192.168.200.254
Richtlinie: CISCO
IKE-Verschlüsselungsalg.: AES-256
IKE-Authentifizierungsalg.: SHA1
IKE-SA-Lebensdauer: 86400
IKE-DH-Gruppe: Gruppe 5
IPsec-Verschlüsselungsalgorithmus: AES256
IPsec-Authentifizierungsalgorithmus: SHA1
IPsec-SA-Lebensdauer: 3600
IPsec-PFS-Gruppe: Gruppe 5
Entfernte Gateways:
Gateway-Typ: Nur antworten oder Verbindung initiieren ?
Auth.-Methode: Verteilter Schlüssel
Schlüssel: 12345678
VPN-ID-Typ: Any
VPN-ID: Any
Entfernte Netze: 192.168.0.0/24
IPsec-Verbindung
Name: VPN-Verbindung
Entferntes Gateway: Konfiguration siehe oben
Lokale Schnittstelle: External WAN
Richtlinie: CISCO (siehe oben)
Lokale Netzwerke: Netzwerk hinter Sophos
Aktiv: Automatische Firewallregeln
Aktiv: Striktes Routing
Über den Wizard im CISCO: Site to Site VPN Connection Setup Wizard:
Peer IP: Öffentliche IP der Sophos
VPN Access Interface: Outside
Local Network: inside-network (192.168.0.0/24)
Remote Network: 192.168.200.0/24 (Netzwerk hinter Sophos)
Customized Configuration.
Aktiv: IKE version 1
Inaktiv IKE version 2
Authentication Method: Pre-shared Key: 12345678
Encryption Algorithmus: IKE Policy: pre-share-aes-256-sha, rsa-sig-aes-256-sha, pre-share-3des-md5, pre-share-aes-192-sha, rsa-sig-aes-192-sha, pre-share-aes-sha, rsa-sig-aes-sha, pre-share-3des-md5, rsa-sig-3des-md5, pre-share-des-md5, rsa-sig-des-md5
IPsec Proposal: ESP-AES-128-SHA, ESP-AES-128-MD5, ESP-AES-192-SHA, ESP-AES-192-MD5, ESP-AES-256-SHA, ESP-AES-256-MD5, ESP-3DES-SHA, ESP-3DES-MD5, ESP-DES-SHA, ESP-DES-MD5
Perfect Forward Secrecy:
Aktiv: Enable Perfect Foward Secrecy (PFS).......
Diffie-Hellmann Group: group5
Aktiv: Exempt ASA side host/network from address translation: inside
Meldungen die ich in der ASA sehe:
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, Received non-routine Notify message: Invalid message id (9)
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, QM FSM error (P2 struct &0xc8439c00, mess id 0x8272c649)!
IKEv1 was unsuccessful at setting up a tunnel. Map Tag = outside_map. Map Sequence Number = 1.
Tunnel Manager has failed to establish an L2L SA. All configured IKE versions failed to establish the tunnel. Map Tag= outside_map. Map Sequence Number = 1.
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, Session is being torn down. Reason: Lost Service
IP = 4x.3x.2xx.4x, Received encrypted packet with no matching SA, dropping
Kann mir jemand helfen oder einen Tipp geben?
Vielen Dank für euere Unterstützung
ich habe hier eine CISCO ASA 5505 im Heimnetzwerk. Diese soll eine IPSec VPN Verbindung zu einer Sophos UTM mit statischer IP im RZ herstellen bzw. umgekehrt.
Ich bekomme es leider nicht hin diese Verbindung aufzubauen. Hier ein paar Fakten:
HOME:
FritzBox
Inside: 192.168.0.254
Exposed Host Freigabe: 192.168.0.250
CISCO 5505 / ASA: 9.2.(4) / ASDM: 7.9(1)
outside: 192.168.0.250
Inside: 192.168.1.1
RZ:
Sophos UTM 9.601-5
WAN: Public IP:
Inside: 192.168.200.254
Richtlinie: CISCO
IKE-Verschlüsselungsalg.: AES-256
IKE-Authentifizierungsalg.: SHA1
IKE-SA-Lebensdauer: 86400
IKE-DH-Gruppe: Gruppe 5
IPsec-Verschlüsselungsalgorithmus: AES256
IPsec-Authentifizierungsalgorithmus: SHA1
IPsec-SA-Lebensdauer: 3600
IPsec-PFS-Gruppe: Gruppe 5
Entfernte Gateways:
Gateway-Typ: Nur antworten oder Verbindung initiieren ?
Auth.-Methode: Verteilter Schlüssel
Schlüssel: 12345678
VPN-ID-Typ: Any
VPN-ID: Any
Entfernte Netze: 192.168.0.0/24
IPsec-Verbindung
Name: VPN-Verbindung
Entferntes Gateway: Konfiguration siehe oben
Lokale Schnittstelle: External WAN
Richtlinie: CISCO (siehe oben)
Lokale Netzwerke: Netzwerk hinter Sophos
Aktiv: Automatische Firewallregeln
Aktiv: Striktes Routing
Über den Wizard im CISCO: Site to Site VPN Connection Setup Wizard:
Peer IP: Öffentliche IP der Sophos
VPN Access Interface: Outside
Local Network: inside-network (192.168.0.0/24)
Remote Network: 192.168.200.0/24 (Netzwerk hinter Sophos)
Customized Configuration.
Aktiv: IKE version 1
Inaktiv IKE version 2
Authentication Method: Pre-shared Key: 12345678
Encryption Algorithmus: IKE Policy: pre-share-aes-256-sha, rsa-sig-aes-256-sha, pre-share-3des-md5, pre-share-aes-192-sha, rsa-sig-aes-192-sha, pre-share-aes-sha, rsa-sig-aes-sha, pre-share-3des-md5, rsa-sig-3des-md5, pre-share-des-md5, rsa-sig-des-md5
IPsec Proposal: ESP-AES-128-SHA, ESP-AES-128-MD5, ESP-AES-192-SHA, ESP-AES-192-MD5, ESP-AES-256-SHA, ESP-AES-256-MD5, ESP-3DES-SHA, ESP-3DES-MD5, ESP-DES-SHA, ESP-DES-MD5
Perfect Forward Secrecy:
Aktiv: Enable Perfect Foward Secrecy (PFS).......
Diffie-Hellmann Group: group5
Aktiv: Exempt ASA side host/network from address translation: inside
Meldungen die ich in der ASA sehe:
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, Received non-routine Notify message: Invalid message id (9)
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, QM FSM error (P2 struct &0xc8439c00, mess id 0x8272c649)!
IKEv1 was unsuccessful at setting up a tunnel. Map Tag = outside_map. Map Sequence Number = 1.
Tunnel Manager has failed to establish an L2L SA. All configured IKE versions failed to establish the tunnel. Map Tag= outside_map. Map Sequence Number = 1.
Group = 4x.3x.2xx.4x, IP = 4x.3x.2xx.4x, Session is being torn down. Reason: Lost Service
IP = 4x.3x.2xx.4x, Received encrypted packet with no matching SA, dropping
Kann mir jemand helfen oder einen Tipp geben?
Vielen Dank für euere Unterstützung
