Cisco ASA5510 vpny dial-up ipsec i nat

Wiadomość

horhe358 · #1

Witajcie,

Pytanie jest krótkie - czy jest jakiś sposób żeby zestawić więcej niż 1 tunel VPN IPSec ze zdalnej lokalizacji z tego samego IP ?

Mam problem z vpnami dial-up ipsec polegający na tym, że z z każdej lokalizacji zdalnej za NAT-em tylko 1 użytkownik na raz może się podłączyć do "centrali"- wszystkie próby połączeń kolejnych użytkowników z tego samego IP wykrywane są jako kolejne próby połączenia tego samego użytkownika:

Kod: Zaznacz cały

"Group = XXX, IP = YYY, Failure during phase 1 rekeying attempt due to collision

Co do klienta to użytkownicy korzystają z darmowego "shrew", używając mutual psk + xauth. Czyli każdy user ma hasło które definiuje jego grupę + swoje konto/hasło.

Główna część konfiguracji wygląda tak:

Kod: Zaznacz cały

username usertestowy password AAA encrypted privilege 0
username usertestowy attributes
 vpn-simultaneous-logins 1
 vpn-framed-ip-address BBB 255.255.255.128
 group-lock value XXX
 service-type remote-access

tunnel-group XXX-GROUP type remote-access
tunnel-group XXX-GROUP general-attributes
 address-pool VPN-XXX
 default-group-policy XXX-POLICY
tunnel-group XXX ipsec-attributes
 pre-shared-key *****

group-policy XXX-POLICY internal
group-policy XXX-POLICY attributes
 vpn-simultaneous-logins 20
 vpn-idle-timeout none
 vpn-filter value XXX-FILTER
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value XXX-DIALUP

Będę wdzięczny za pomoc/wskazówki.

gonte · #2

Z dokumentacji:

Kod: Zaznacz cały

Error Message    %PIX|ASA-5-713092: Failure during phase 1 rekeying attempt due to 
collision

Explanation    This message indicates that an internal software error has occurred.

Recommended Action    This is often a benign event. If the problem persists, contact the Cisco TAC.

Podaj wersje softu - po za tym dlaczego używasz shrew a nie Cisco VPN Client ?

horhe358 · #3

Widziałem ten opis błędu, ale wydało mi się raczej mało prawdopodobne aby to był tego typu problem - tym bardziej, że czasami ASA zgłasza też inny błąd (nie wiem od czego to zależy - może od statusu w jakim jest to pierwsze nawiązane połączenie):

Kod: Zaznacz cały

713201					Group = XXX, Username = AAA, IP = YYY, Duplicate Phase 2 packet detected.  No last packet to retransmit.

I username AAA to nazwa usera który połączył się jako pierwszy - nie tego który próbuje się połączyć jako kolejny i mu się nie udaje (a log dotyczy próby zestawienia kolejnego połączenia). Stąd mój wniosek, że wszystkie kolejne próby połączeń z tego samego IP ASA traktuje jako "duplicate" i połączenia się nie nawiązują. Wygląda to tak, że sprawdzenie adresu IP ma pierwszeństwo przed sprawdzeniem nazwy użytkownika i jeśli ktoś inny z danego adresu nawiąże połączenie wcześniej, to dopóki ma aktywną sesję wszystkie kolejne pakiety są traktowane jako pakiety tego pierwszego użytkownika. I pytanie właśnie czy da się coś z tym zrobić lub czy może nie popełniam jakiegoś oczywistego błędu...

Wersja softu:

Kod: Zaznacz cały

Cisco Adaptive Security Appliance Software Version 8.3(1)
Device Manager Version 6.3(1)

Co do klienta - używam shrew bo jest darmowy i też działa z urządzeniami innych producentów.

pozdr.,
Paweł

horhe358 · #4

Hej,

Udało mi się dojść do tego, że z klientem Cisco VPN wszystko działa od kopa (chodzi o połączenia zza NAT-a). W shrew niestety nawet w najnowszej wersji Beta z jednego IP publicznego udaje się zestawić tylko jedno połączenie. Znalazłem też info, że:

Known Issues

Cisco gateways support a proprietary form of hybrid authentication which does not conform to RFC draft standards. At this time the Shrew Soft VPN Client does not support this authentication mode. We hope to add support for this in the future.

Gdybyś ktoś korzystał ze shrew i miał ten problem rozwiązany prosiłbym o info

pozdr.,
Paweł