7390 Site-to-Site an ASA: Fehlermeldungen

[Crix1990]

Ich bereite ein Site-to-Site VPN von einer 7390 an unsere ASA vor.
Der VPN Tunnel wird auch aufgebaut, und alles scheint wunderbar zu laufen, aber die ASA logt immer drei Fehler, wenn der Tunnel aufgebaut wird.

Im Moment teste ich die Box an ner ADSL Leitung mit dyn IP (ohne DynDNS, ich pass die IP per Hand an, ich teste das hier nur, später kommts an ne Leitung mit fester IP).
Hierbei trit das Problem auf, dass sich die FB eine neue IP holt, sobald ich ihr die VPN-Config zu fressen gebe, der Tunnel baut sich trotzdem auf.
Die Box hat also eine andere IP (ich nenn sie hier <echte FB IP>), als die, die unter "localid" (nenn ich ab jetzt <alte IP>, ich nehm da immer die, die die FB als letztes vom Provider bekommen hat) eingetragen ist (ich hoffe, dass das das Problem ist).

Die Fehler der ASA Lauten:

Nov 25 2011 13:41:03 713902 Group = <echte FB IP>, IP = <echte FB IP>, QM FSM error (P2 struct &0xda1eec70, mess id 0x971f1061)!


3 Nov 25 2011 13:41:03 713902 Group = <echte FB IP>, IP = <echte FB IP>, Received encrypted Oakley Quick Mode packet with invalid payloads, MessID = 2535395425


3 Nov 25 2011 13:41:03 713902 Group = <echte FB IP>, IP = <echte FB IP>, Removing peer from correlator table failed, no match!

VPN Config auf der Fritzbox:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "ASA";
always_renew = no;
reject_not_encrypted = yes;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <IP der ASA>;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = <alte IP>;
}
remoteid {
ipaddr = <IP der ASA>;
}
mode = phase1_mode_idp;
phase1ss = "alt/all-no-aes/all";
keytype = connkeytype_pre_shared;
key = "<PW, dass die ASA erwartet>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <das Netz, dass die FB bilden soll>;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.0;
mask = 255.0.0.0;
}
}

phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip <das Netz, dass die FB bilden soll> 255.255.255.0 10.0.0.0 255.0.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Anmerkung:
-Die FB ist selbst das Modem
-Die DNS Einträge der FB sind so geändert, dass sie als erstes versucht über unseren internen DNS (den sie per VPN erreicht) aufzulösen, und es sonst über den DNS des Providers versucht.
-Die ASA hat natürlich die IP der Fritzbox, welche sie auch letztendlich vom Provider bekommen hat.
-Die FB selbst, ist der erste Host in dem Netz, was sie aufbauen soll.