PIX/ASA vpn config problem

[Selgald]

moin ich versuch grad nen tunnel zwischen zwei PIX/ASA aufzubauen, folgend kommt eine config.

ich bekomme keinen tunnel zustanden, ich hab mich an die anleitung von cisco gehalten, scheine aber irgendwas verbrasselt zu haben.

hat da einer eine idee zu?

wenn ich die kiste reloade kommt folgendes:

.WARNING: crypto map has incomplete entries

*** Output from config line 78, "crypto map outside_map i..."

same-security-traffic permit intra-interface

access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.3.200 255.255.255.255

access-list outside_cryptomap_10 extended permit ip 192.168.1.0 255.255.255.0 192.168.3.200 255.255.255.255

pager lines 24

mtu outside 1500

mtu inside 1500

no failover

icmp permit any echo outside

icmp permit any echo-reply outside

icmp permit any echo inside

icmp permit any echo-reply inside

asdm image disk0:/asdm-502.bin

no asdm history enable

arp timeout 14400

global (outside) 10 interface

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto map outside_map 10 match address outside_cryptomap_10

crypto map outside_map 10 set peer 192.168.4.200

crypto map outside_map 10 set transform-set myset

crypto map outside_map 10 set security-association lifetime seconds 86400

crypto map outside_map interface outside

isakmp identity address

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption 3des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

isakmp policy 65535 authentication pre-share

isakmp policy 65535 encryption 3des

isakmp policy 65535 hash sha

isakmp policy 65535 group 2

isakmp policy 65535 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

tunnel-group 192.168.4.200 type ipsec-l2l

tunnel-group 192.168.4.200 ipsec-attributes

pre-shared-key cisco

class-map inspection_default

match default-inspection-traffic

policy-map asa_global_fw_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy asa_global_fw_policy global

Cryptochecksum:3d5f16a67ec0fa20aa3882acaa348e28

: end

[PaLiNkA]

crypto map outside_map 10 ipsec-isakmp

oder

crypto map outside_map 10 ipsec-manual

fehlt.

[Crash2001]

[...]wenn ich die kiste reloade kommt folgendes:

.WARNING: crypto map has incomplete entries

*** Output from config line 78, "crypto map outside_map i..."[...]

Welche Kiste (Modell) und welche Version ist da drauf? :confused:

[Selgald]

moin,

als version nutze ich asa803-k8-ED.bin

Model :Cisco Asa 5505

[Selgald]

also ich krieg den mist nicht ans laufen,

es hat wohl nicht gerade wer 2 configs für zwei asa's aufm rechner, damit ich wenigstens mal nen tunnel hinbekomme? ^^

[PaLiNkA]

Probier mal diese Zeile:

crypto map outside_map 10 set reverse-route

Dann sollte zumindest die Fehlermeldung, dass die crypto-map nicht komplett ist nimmer kommen.

Willst du den Tunnel nur zur 192.168.3.200 aufbaun?

[Jannemann]

.WARNING: crypto map has incomplete entries

*** Output from config line 78, "crypto map outside_map i..."

Das dort genannte interface existiert auch?

Wenn Du mit dem packet-tracer eine Verbindung simulierst, was sagt der isakmp & ipsec debug output?

Klappt zumindest die IKE Phase 1?

Wirft folgendes einen Output?

sh vpn-sessiondb detail l2l