Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 4 subscribers
  • Views 1130 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM SG230 IPSEC Tunnel zu Cisco ASA-5545X

ACDAK

Guten Morgen zusammen,

ich habe leider einen Fall, der mich ziemlich stutzig macht und hoffe ihr könnt hier weiterhelfen.

Wir haben eine Sophos UTM SG230 Patchstand: 9.7.0.7-5.

Wir versuchen einen IPSec Tunnel zu einem Kunden aufzubauen, der eine Cisco ASA-5545X verwendet.
Die ASA steht hinter einer Firewall, sodass NAT-T eingeschaltet sein muss, soweit so gut.

Wenn wir nun versuchen, mit absolut gleichen Phase 1 und Phase 2 Werten den Tunnel von unserer Seite aufzubauen:
[Site-2-Site ==> IPSec ==> Remote Gateway ==> Gateway Type = Initial Connection]
Lässt sich der Tunnel nicht aufbauen. Phase 1 wird initialisiert, aber in Phase 2 scheitert der Aufbau und ich sehe im Log diese Einträge:

2021:11:02-14:10:52 FW01 pluto[7486]: "S_REF_IpsSit_CONN" #125007: we require peer to have ID '194.100.100.50', but peer declares '194.100.100.50'

Wenn wir aber das umdrehen und schalten unsere UTM in den "Respond Only" Mode, dann kann die Gegenseite den Tunnel aufbauen, mit den gleichen Einstellungen.

Auf die Bitte hin, die ASA in den Respond Only Mode zu schalten, ist das Fehlerbild unverändert, P2 scheitert, Log Einträge wie oben erwähnt.

Da es relativ ungünstig ist immer die Gegenseite zu bitten den Tunnel zu eröffnen, sollte der Mal zusammenbrechen, wollen wir schon diesen von unserer Seite eröffnen.

Da man an der UTM gar nicht soviel einstellen kann (GUI) sind wir etwas ratlos was man noch einstellen könnte auf der UTM Seite.
Vom Gefühl her würde ich sagen, dass das ein Thema auf der Gegenseite ist und die ASA nicht richtig konfiguriert ist, aber das zu belegen ist schwer.
Was könnte ich noch auf meiner Seite einrichten um das zum fliegen zu bringen?
Inwieweit gibt es Musterkonfigurationen um mit diesem Gerätetyp eine Verbindung hinzukriegen?

Vielen Dank für Hilfe und Unterstützung.

Grüße und gute Gespräche.



This thread was automatically locked due to age.
  • 0

    Moin.

    Was habt Ihr denn hier eingetragen:

    Das wäre das erste, wo ich nachsehen würde.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • 0 in reply to ThomW

    VPN ID type: IP address
    VPN ID (optional):  [leer gelassen] 

  • 0 in reply to ACDAK

    Also ich hätte da eine Idee.

    In den Logs bei "Respond Only" müsste ein Eintrag ähnlich folgendem sein:

    2021:11:03-00:11:10 sec-gw-1 pluto[6579]: "S_REF_IpsSitlan_0"[1] X.X.X.X #8002: Peer ID is ID_IPV4_ADDR: 'Y.Y.Y.Y'

    Hier würde mich interessieren, was denn dort steht. IPV4_ADDR oder Hostname. Meine Vermutung ist, da es NAT ist, dass die bei der ASA hier nicht den Typ IPV4_ADDR nehmen, sondern Hostname. 

    Ist aber nur so eine Idee. Dann bei der Initiierung gerne mal den Typ auf Hostname wechseln und die IP angeben als ID. Denn für den Handshake muss afaik sowohl der Typ als auch die ID matchen.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • 0 in reply to ThomW

    Das ist ein Ansatz. Das würde ich mal der Gegenseite so vorschlagen zum Testen. 
    Sofern noch generell Ideen kommen, die zu beachten sind bei diesen zwei Geräten, z.B. , niemals SHA1 in P2 zu verwenden etc.
    da das zu seltsamen Dingen führt oO.

  • 0 in reply to ACDAK

    Sorry. Da wurde ich falsch verstanden. Wenn aktuell der Tunnel steht und Ihr "Respond Only" drin habt, dann steht bei euch im ipsec.log ein Entrag mit "Peer ID" drin. Dann könnte man dort lesen, welchen Typ die angeben beim Verbindungsaufbau.

    Dann könnten Ihr, wenn die etwas anderes als IPV4 drin haben, eure Konfiguration bei Intitate analog anpassen, indem Ihr die markierten Werte aus der Grafik entsprechend anpasst.

    Grüße,

    Thomas

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • 0 in reply to ThomW

    Das ganze Log sieht wie folgt aus:

    2021:11:02-14:10:52 fw01 pluto[7421]: loaded PSK secret for 195.181.20.87 194.100.100.50
    2021:11:02-14:10:52 fw01 pluto[7486]: "S_REF_IpsSitS_0" #125007: Peer ID is ID_KEY_ID: '194.100.100.50'
    2021:11:02-14:10:52 fw01 pluto[7486]: "S_REF_IpsSitS_0" #125007: we require peer to have ID '194.100.100.50'but peer declares '194.100.100.50'
    2021:11:02-14:10:52 fw0 pluto[7486]: "S_REF_IpsSitS_0" #125007: sending encrypted notification INVALID_ID_INFORMATION to 194.100.100.50:4500
    2021:11:02-14:12:02 fw01 pluto[7486]: "S_REF_IpsSitS_0" #125009: Peer ID is ID_KEY_ID: '194.100.100.50'
    2021:11:02-14:12:02 fw01 pluto[7486]: "S_REF_IpsSitS_0" #125009: we require peer to have ID '194.100.100.50'but peer declares '194.100.100.50'

    Also so richtig viel Info ist da nicht vorhanden Disappointed

  • 0 in reply to ACDAK

    So. War ein paar Tage nicht online.

    Also die ASA übermittelt die Peer ID ID_KEY_ID. Tatsächlich würde ich mal versuchen, ob der Partner seine ASA so einstellen kann, dass er als Peer ID die IP-Adresse.

    Mir wäre nicht bekannt, wie wir dem IPsec der Sophos KEY_ID beibringen können.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
Unfiltered HTML