Anmelka 10 Geschrieben 5. März 2009 Melden Teilen Geschrieben 5. März 2009 Hallo, hat jemand von euch bereits Erfahrung mit GetVPN? Ich habe folgendes Problem. Habe mir ein kleines Lab bestehend aus 3745er mit der IOS c3745-advipservicesk9-mz.124-15.T8.bin. Für den Anfang nur 1 KS und 1 GM. Der GM registriert sich auf dem KS ohne Probleme. Nur das Rekey funktioniert nicht. Aus welchem Grunde auch immer bekomme ich ständig die folgende Meldung auf dem GM sobald der KS den rekey prozess startet: .Mar 5 16:01:09.121: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet. (ip) vrf/dest_addr= /10.0.0.5, src_addr= 10.0.0.1, prot= 17 Die crypto map (eine gdoi crypto map) ist auf dem outside interface des GM. Da es keine crypto map auf dem KS gibt, ist auch keine auf dem outside interface des KS. Das crypto ipsec profile ist dem sa unter gdoi zugeordnet. Entferne ich die sa konfiguration aus der gdoi gruppe, funktioniert das rekey ohne probleme. Sobald die sa ipsec konfiguration dem gdoi zugeordnet ist, fehtl das rekey fehl. Teil meiner KS Konfig: crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto isakmp key GM1 address 10.0.0.5 ! ! crypto ipsec transform-set AES esp-aes esp-sha-hmac ! crypto ipsec profile gdoi-profile-getvpn set security-association lifetime seconds 600 set transform-set AES ! crypto gdoi group australia identity number 1234 server local rekey algorithm aes 256 rekey lifetime seconds 300 rekey retransmit 20 number 2 rekey authentication mypubkey rsa getvpn-export-general rekey transport unicast sa ipsec 1 profile gdoi-profile-getvpn match address ipv4 199 replay time window-size 5 address ipv4 10.0.0.1 Teil meiner GM Konfig: crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto isakmp key GM1 address 10.0.0.1 ! ! crypto gdoi group australia identity number 1234 server address ipv4 10.0.0.1 ! ! crypto map getvpn 10 gdoi set group australia interface FastEthernet0/0 ip address 10.0.0.5 255.255.255.252 crypto map getvpn Für Ideen/Anregungen/Hilfe wäre ich euch sehr dankbar. Gruß Zitieren Link zu diesem Kommentar
Anmelka 10 Geschrieben 6. März 2009 Autor Melden Teilen Geschrieben 6. März 2009 Hallo, habe die Lösung gefunden. Man muss in der ACL ausschließen das GDOI verschlüsselt wird. Dann klappts. Das selbe gilt übrigens für Routing Protokolle, telnet/ssh etc... Gruß Anmelka Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.