1841: Site to Site VPN

[bookweb 10]

ip access-list extended SDM_1
permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255
remark SDM_ACL Category=4
remark IPSec Rule

Nun sagt ein Debug "Tunnel-Test" im SDM "no response"... Vorher gab es Response, aber der Tunnel konnte nicht etabliert werden.

 

Beide Router haben als Standardroute den jeweils anderen Router.

[Wordo 11]

Mach mal auf dem Master (ueber Console) ein:

 

deb crypto isakmp err

deb crypto ipsec err

 

Dann nen Ping vom Masternetz aus und den Output posten.

[bookweb 10]

Das Notebook bekommt Antwort-Pakete vom gegenüberliegenden Notebook. Das Debugging ist aktiviert, liefert aber keinen Output.

 

Master#sh debugging

Cryptographic Subsystem:
 Crypto ISAKMP Error debugging is on
 Crypto IPSEC Error debugging is on

[Wordo 11]

Na dann passts doch?! Kein error bedeutet kein debug ;)

[bookweb 10]

Ich habe mal einen Sniffer in das Transfernetz gehangen und habe dann im SDM ein Tunnel Check durchgeführt. SDM meldet: Tunnel ok. Im Sniffer sehe ich aber ICMP-Pakete zwischen den Routern, kein ESP. Kann es sein, dass der Traffic am Tunnel vorbei geschoben wird?

–

Kommando zurück: Wenn ich zwischen den beiden Notebooks in den LANs pinge, ist der Verkehr verschlüsselt. Pinge ich von einem Router zum anderen, ist es unterschlüsselt. Aber das habe ich ja in der Access-List selbst so definiert.

 

 

Danke für eure Hilfe!

[Wordo 11]

Du hast die beiden Router doch mit Cross verbunden? Wie hast du denn da den Sniffer dazwischengeschoben? Du musst dir angewoehnen paar mehr Infos zu liefern, ICMP Pakete von und zu wem? Tunnel OK vom SDM hat nicht viel sagen.

[Otaku19 33]

vermute mal n Switch dazwischen genommen :)

[Wordo 11]

Kann man mit SDM nen SPAN einrichten? :D

[Otaku19 33]

wär mir nicht bekannt

[bookweb 10]

Ich habe das Crossover-Kabel durch einen HUB ausgetauscht, damit ich sniffen kann.

Es funktioniert alles so, wie es soll. Danke!