Site-To-Site VPN Cisco 506E og StoneGate SG200

har du tilføjet en access-list til crypto map'en? Peer går jeg ud fra er tilføjet eftersom forbindelsen er oppe... men access-listen fortælller hvad der skal routes igennem vpn tunnelen... det er sikkert det der mangler.

Under running config kan jeg se at Wizarden har tilføjet "access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 172.24.64.0 255.255.255.0" og "access-list outside cryptomap 20 permit ip 192.168.1.0 255.255.255.0 172.24.64.0 255.255.255.0"

den har tilføjet følgende crypto map linier:
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer xx.xx.xx.xx
crypto map outside_map 20 set transform-set ESP-AES-128-SHA

På forhånd tak

måske der mangler routning i den anden ende... hvad får du som svar, når du forsøger at pinge... timeout eller ttl udløb undervejs

Nu sidder jeg lige uden for virksomhedens netværk og prøver at ping remote, og  det går fint. Men hvis jeg sidder på virksomhedens netværk kan jeg ikke pinge ud.
Jeg har prøvet at lave en tracert fra netværket og det giver "Request timed out". Jeg har tidligere godt kunne logge på vpn fra netværket via et client program, før Site to Site var aktiv.

Jeg kan slet ikke pinge ud fra netværket ser det ud til.. jeg har også prøvet at ping www.google.com uden held.

Jeg har fået en mistanke om, at det er på remote siden der er noget galt. Når jeg hjemmefra bruger deres client-program, kan jeg efter deres site-to-site opsætning ikke få kontakt til terminalserveren længere.
Så jeg vil også lige prøve at undersøge den mulighed.

De skulle vist have to subnet, 172.24.64.0 og 172.24.65.0. Jeg skulle angive 172.24.65.0 i Phase 2 hvis jeg ønskede at bruge denne, så der var 2 stk Phase 2 angivelser. Synes ikke jeg er stødt på Phase 1 og Phase 2 i forbindelse med Cisco opsætningen, er det blot mig?

Tak for din og jeres interesse som læser og kommentere på dette.

skrev også du skulle tjekke routning i den anden ende ;). Du skal også have tilføjet 172.24.65.0 subnettet til dine acl'er

Tak for svaret, rart at vide hvor det skal tilføjes.
Jeg har desværre ikke adgang til remote konfigurationen, den administreres eksternt. Jeg kan se på under Monitoring i PDM -> VPN Connection Graphs -> IPSec Tunnels at der ikke længere er nogen aktiv forbindelse, selvom den inde under VPN Statistics siger der er en aktiv IPSec SA tunnel men ingen IKE SA Tunnel. Noget misvisende(?).

I Phase 2 var remoten i øvrigt sat til en Life Time på 1 time hvor den her var på 8 timer. Det var ikke nogen option i Wizarden, men jeg har efterfølgende ændret den til 1 time også. Phase 1 er angivet til 2 timer på remoten, men der er ikke tilføjet noget under IKE Policies i PDM som indikere der skulle være en Site to Site med dit algoritmer jeg angav. Måske også et problem her.

Men Life Time har vel ikke nogen betydning for om der kan oprettes en forbindelse, kun hvor længe den kan være aktiv før der skal initialiseres en ny.

Jeg undersøger lige det med IKE Policen.

Ændret til at passe, uden resultat. Jeg undre mig lidt over at jeg ikke kan se "access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 172.24.64.0 255.255.255.0" og "access-list outside cryptomap 20 permit ip 192.168.1.0 255.255.255.0 172.24.64.0 255.255.255.0" som bliver vist i running config, men ikke under Access Rules. Så muligvis er der alligevel noget galt med ACL, som jo burde blive vist der.

Jeg har under Access Rules prøvet at permit alt hvad der er på inside interfacet. Men også selvom jeg tillader alt ICMP ser det ikke ud til jeg kan ping www.google.com "Request timed out".

Her er så running config, kan være det kan fastslå noget:

PIX Version 6.3(4)
interface ethernet0 10baset
interface ethernet1 10baset
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname AAA
domain-name BBB.dk
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.1.7 SRV01
name 172.24.64.0 Esbjerg
access-list acl_inbound permit tcp any interface outside eq www
access-list acl_inbound permit tcp any interface outside range ftp-data ftp
access-list acl_inbound permit tcp any interface outside eq 548
access-list acl_inbound permit tcp any host xx.xx.xx.xx eq smtp
access-list acl_inbound permit udp any interface outside eq 5093
access-list acl_inbound permit tcp any interface outside eq https
access-list inside_outbound_nat0_acl permit ip any 192.168.1.128 255.255.255.192
access-list inside_outbound_nat0_acl permit ip 192.168.1.0 255.255.255.0 Esbjerg 255.255.255.0
access-list outside_cryptomap_dyn_20 permit ip any 192.168.1.128 255.255.255.192
access-list outside_cryptomap_20 permit ip 192.168.1.0 255.255.255.0 Esbjerg 255.255.255.0
access-list inside_access_in permit icmp any any
access-list inside_access_in permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside xx.xx.xx.xx yy.yy.yy.yy
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool AaaVPN 192.168.1.151-192.168.1.175
pdm location 192.168.1.1 255.255.255.255 inside
pdm location SRV01 255.255.255.255 inside
pdm location Esbjerg 255.255.255.0 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp xx.xx.xx.xx smtp SRV01 smtp netmask 255.255.255.255 0 0
access-group acl_inbound in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 nn.nn.nn.nn 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer kk.kk.kk.kk
crypto map outside_map 20 set transform-set ESP-AES-128-SHA
crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address kk.kk.kk.kk netmask km.km.km.km no-xauth no-config-mode
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption aes
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 7200
vpngroup AAA address-pool AaaVPN
vpngroup AAA dns-server SRV01
vpngroup AAA default-domain BBB.dk
vpngroup AAA idle-time 1800
vpngroup AAA password ********
telnet timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
: end
[OK]