Ciscler 10 Geschrieben 2. Juni 2008 Melden Teilen Geschrieben 2. Juni 2008 Hallo, ich habe ein Problem mit einem Cisco 831 und einer Ferneinwahl mit dem Cisco VPN Client. Ich erhalte bei der Verbindung mit dem VPN Client auf dem Router folgende Meldung: *Jun 2 10:38:13.503: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at xxx.xxx.xxx.xxx Version vom VPN Client ist Version 5.0.02.0090 Nicht über die ACL wundern ich wollte nur mal einen Test mit dem VPN Client machen ob ich per Remoteeinwahl das loopback Interface vom Router anpingen kann. Anbei mal die Config vom Router: Current configuration : 2463 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname xxxx ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login authent local aaa authorization network autho local ! aaa session-id common ! resource policy ! ip subnet-zero no ip dhcp use vrf connected ! ! ip cef ip domain name xxxxxx no ip ips deny-action ips-interface ! ! ! username admin privilege 15 secret 5 xxxxxxxxxxxx ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpnclient key xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx pool ippool acl split crypto isakmp profile vpnclient match identity group vpnclient client authentication list authent isakmp authorization list autho client configuration address initiate client configuration address respond ! ! crypto ipsec transform-set remote esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set remote ! ! crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! ! interface Loopback1 ip address 192.168.24.1 255.255.255.0 ! interface Ethernet0 no ip address shutdown ! interface Ethernet1 description Outside ip address xxx.xxx.xxx.xxx 255.255.255.240 ip access-group Outside.in in duplex auto crypto map clientmap ! interface Ethernet2 no ip address shutdown ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed auto ! ip local pool ippool 14.1.1.100 14.1.1.200 ip classless ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.xxx ip http server no ip http secure-server ! ! ! ip access-list extended Outside.in permit tcp any any eq 22 permit icmp any any permit udp any any eq isakmp permit esp any any deny ip any any log ip access-list extended split permit ip 14.1.1.0 0.0.0.255 192.168.24.0 0.0.0.255 ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 ! scheduler max-task-time 5000 end Gruß Dirk Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 2. Juni 2008 Autor Melden Teilen Geschrieben 2. Juni 2008 Hallo, jetzt kommt noch was hinzu was mir Bauchschmerzen bereitet. Der Hintergrund ist wir haben 3 Lokationen und eine Hauptlokation. Alle 3 Außenstellen bauen eine IPSEC VPN Verbindung zu der Hauptlokation auf. Es sind alles 876er Cisco Router vor Ort. Jetzt muss ich die Remoteeinwahl für den VPN Client auf dem Router an der Hauptlokation konfigurieren. Die VPN Konfiguration auf dem Router in der Hauptlokation sieht wie folgt aus: crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth crypto isakmp keepalive 10 ! ! crypto ipsec transform-set VPN esp-3des esp-sha-hmac ! crypto map VPN 1 ipsec-isakmp description -> xxxx set peer xxx.xxx.xxx.xxx set transform-set VPN match address Tunnel crypto map VPN 10 ipsec-isakmp description -> xxxx set peer xxx.xxx.xxx.xxx set transform-set VPN match address Tunnel1 crypto map VPN 20 ipsec-isakmp description -> xxxx set peer xxx.xxx.xxx.xxx set transform-set VPN match address Tunnel2 Jetzt kann ich ja ohne Probleme wie ich es im ersten Beitrag geschrieben habe eine dynamic map für die Einwahl per VPN Client anlegen. Aber ich kann ja nicht 2 Cryptomaps an mein Dialer Interface binden. Geht das überhaupt was ich vorhabe? Hat sowas schon jemand konfiguriert? Bin für jeden Tip Dankbar Gruß Dirk Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 HI setzt die dynmap denn nicht auf die konfiguriert crypto map auf? Würd mich selber interessieren, vielleicht hat ja ein VPN Speziallist Zeit uns das zu erklären. Müssen die Lokationen untereinander auch zugreifen, dann wär vielleicht DMVPN eine Lösung, hatten dieses Thema beim Kurs mal angeschnitten, hatte sich sehr gut angehört. onedread Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Jetzt kann ich ja ohne Probleme wie ich es im ersten Beitrag geschrieben habe eine dynamic map für die Einwahl per VPN Client anlegen. Aber ich kann ja nicht 2 Cryptomaps an mein Dialer Interface binden. Geht das überhaupt was ich vorhabe? Hat sowas schon jemand konfiguriert? Bin für jeden Tip Dankbar Gruß Dirk Klar geht das, du machst ne dynmap mit eigenem Namen und klebst die an deine cryptomap mit hoechster Prio crypto map VPN 65535 ipsec-isakmp dynamic dynmap Wenn der Aggr. Fehler noch kommt meld dich nochmal .. :) Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Hallo Wordo, habe jetzt auf dem Testrouter anstatt crypto map clientmap 10 ipsec-isakmp dynamic dynmap crypto map clientmap 65535 ipsec-isakmp dynamic dynmap konfiguriert. Der Agressive-mode Fehler erscheint immer noch. Ich hab gehört man kann irgendwie cryptomaps miteinander cascadieren ist das richtig? Gruß Dirk – Hey, so ich habs geschafft der Agressive-Mode Fehler kommt nicht mehr. Aber das mit den 2 Cryptomaps habe ich noch nicht so genau verstanden. Könntest du mir ein Beispiel geben wir ich die dynmap jetzt in die bestehende VPN Config der Hauptlokation bringe? Gruß Dirk – So die Einwahl klappt jetzt soweit. Nur Pingen kann ich mein Loopback 1 Interface vom Notebook aus nicht. Mit Ipconfig sehe ich zwar das ich aus dem IPpool den ich auf dem Router konfiguriert habe eine IP zugewiesen bekommen habe aber auf dem Client gibt es keine Route die auf das Netz vom Loopback Interface zeigt. Gruß Dirk – Habe dem Log am VPN Client mal eingeschaltet. Cisco Systems VPN Client Version 5.0.02.0090 Copyright © 1998-2007 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 Service Pack 2 Config file directory: C:\Programme\Cisco Systems\VPN Client\ 1 21:21:34.046 06/03/08 Sev=Warning/2 CVPND/0xA3400015 Error with call to IpHlpApi.DLL: GetAdaptersInfo, error 0 2 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.116.255 Netmask 255.255.255.255 Gateway 192.168.100.1 Interface 192.168.100.6 3 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a874ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401. 4 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.113.255 Netmask 255.255.255.255 Gateway 192.168.100.1 Interface 192.168.100.6 5 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a871ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401. 6 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013 AddRoute failed to add a route: code 87 Destination 192.168.0.255 Netmask 255.255.255.255 Gateway 192.168.100.1 Interface 192.168.100.6 7 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024 Unable to add route. Network: c0a800ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401. Ich möchte einfach nur die IP vom Loopback 1 Interface Testweise anpingen. – So jetzt läuft endlich alles. Das mit der Cryptomap habe ich jetzt so gemacht. crypto map vpnmap 1 ipsec-isakmp description -> xxx set peer xxx set transform-set vpnset match address Tunnel crypto map vpnmap 10 ipsec-isakmp dynamic dynmap Dennoch fügt der VPN Client dem PC keine Route hinzu sondern eine Default Route dabei läuft der ganze Traffic in den Tunnel. Surfen nebenbei ist so nicht mehr möglich. Gibts da noch ne Lösung? @Wordo vielen Dank für den Tipp mit der cryptomap Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Also falls du den Schnippsel noch brauchst: crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp key sfdgdfgdfgdfgdfgdgdfg address X.X.X.X no crypto isakmp ccm ! crypto isakmp client configuration group VPN-Client key XXXXXXX pool vpn acl 150 max-logins 10 netmask 255.255.255.0 ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac ! crypto dynamic-map VPN-Client 20 set transform-set 3des-md5 ! ! crypto map VPN isakmp authorization list VPN-Client crypto map VPN client configuration address respond crypto map VPN 10 ipsec-isakmp set peer X.X.X.X set transform-set 3des-md5 set pfs group2 match address 100 crypto map VPN 20 ipsec-isakmp dynamic VPN-Client Dann gehts mit nem L2L VPN und VPN-Client ... Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 4. Juni 2008 Autor Melden Teilen Geschrieben 4. Juni 2008 Hallo Wordo, hab jetzt alles am Laufen. Jetzt wird am Client auch die entsprechende Route gesetzt damit nicht alles in den Tunnel läuft. Hatte die ACL fürs Split-Tunneling irgendwie verdreht. Jetzt klappts aber. Danke! Gruß Dirk Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 10. Juni 2008 Autor Melden Teilen Geschrieben 10. Juni 2008 Die VPN Einwahl per Cisco Client funktioniert soweit. Nur bei einem Kunden ist die Einwahl per Client nicht Möglich. Auf dem Router taucht folgende Meldung auf: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from y.y.y.y was not encrypted and it should've been. Lässt sein Router auf seiner Seite irgendetwas nicht durch? Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Juni 2008 Melden Teilen Geschrieben 10. Juni 2008 Hoert sich so an als haette der Router beim Kunden "ipsec pass-through" aktiviert. Soll er mal deaktivieren wenns geht. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 10. Juni 2008 Autor Melden Teilen Geschrieben 10. Juni 2008 Hallo, das komische ist nur das der Kunde schon einige andere VPN Verbindungen im Cisco Client konfiguriert hat. Und diese kann er erfolgreich aufbauen. Hier mal der LOG vom cisco vpn client: Cisco Systems VPN Client Version 4.0.3 (A) Copyright © 1998-2003 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Windows, WinNT Running on: 5.1.2600 1 16:25:47.143 06/10/08 Sev=Warning/3 IKE/0xE3000056 The received HASH payload cannot be verified 2 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE300007D Hash verification failed... may be configured with invalid group password. 3 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE3000099 Failed to authenticate peer (Navigator:899) 4 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE30000A5 Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2199) 5 16:27:40.177 06/10/08 Sev=Warning/3 IKE/0xE3000056 The received HASH payload cannot be verified 6 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE300007D Hash verification failed... may be configured with invalid group password. 7 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE3000099 Failed to authenticate peer (Navigator:899) 8 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE30000A5 Unexpected SW error occurred while processing Aggressive Mode negotiator:(Navigator:2199) – Hallo, ist IPSEC Path Through nicht das gleich wie NAT Traversal? Muss er das nicht an haben? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 Nein, IPSec-passthrough ist ein reiner Marketingbegriff, was bei den meissten Routern zur Folge hat, dass Verbindungen auf Port 500 so genattet werden, dass der Sourceport ebenfalls 500 bleibt. Bei NAT-Traversal wird aber von 500 auf 4500 geschwenkt. Da checken die Router nicht und da gibts dann paar Probleme (nur bei wenigen Modellen). Hast du den Key der Gruppe mal auf 1234 gestellt um einen Tippfehler auszuschliessen? Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 11. Juni 2008 Autor Melden Teilen Geschrieben 11. Juni 2008 Hallo, es liegt auf jedenfall an Ihm ;). Tippfehler kann ich auschließen habe im die .pcf Datei für die Verbindung vom Cisco Client geschickt die ich bei mir Verwenden. Habe jetzt bei mir mal einen Sniffer laufen lassen. Der VPN Client macht doch direkt NAT T ich sehe das er über udp Port 4500 raus geht. In dem Fall macht der Router doch kein NAT T ? Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juni 2008 Melden Teilen Geschrieben 11. Juni 2008 Kannst du den Dump bitte posten? Merci ... Zitieren Link zu diesem Kommentar
xor 11 Geschrieben 12. Oktober 2010 Melden Teilen Geschrieben 12. Oktober 2010 Hey, so ich habs geschafft der Agressive-Mode Fehler kommt nicht mehr. Wie hast Du das gemacht? Mfg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.