Damncold 10 Geschrieben 12. April 2010 Melden Teilen Geschrieben 12. April 2010 Aloha Freunde. Ich hab ein kleines Problem. Und zwar haben ich gerade im Zuge meiner Ausbildung versucht eine VPN Site-to-Site Verbindung mittels IPsec aufzubauen. Das ganze hat auch schon mit PSK funktioniert. Jetzt wollte ich allerdings auf RSA-Encryption umsteigen, und musste feststellen das es leider nicht so klappt wie man in den diversen Anleitungen nachlesen kann. ich hab mal die beiden router-configs sowie die isakmp fehlermedung hier drunter gehauen und alles, meines erachtens unwichtige rausgekürzt... Wenn mir jmnd einen Tipp geben kann wieso es nicht funktioniert, wäre ich ihm sehr dankbar. Grübel jetzt schon mehrere Tage und hab allesmögliche ausprobiert. Vielen Dank im Voraus!! ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router-Hauptsitz ! boot-start-marker boot-end-marker ! ! no aaa new-model ! ! crypto key pubkey-chain rsa addressed-key 200.0.0.2 address 200.0.0.2 key-string 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00A99BA4 21BED4BF 4A0448CE 3122370D 32428F9F 39E0E32D 37598927 DD3827DE 3F23F185 B9C38DB3 80831AD7 D9654D09 48CAA1E8 F1F8665D 69499702 45100A2F 67C54172 54F57EAD A49001DB 76B501F1 6404E172 E03248E0 7D5FC555 5C0149CB ACF85DC0 A2CEC53C 7991B0A5 CE85E3EF A99EA9D4 43984A1E 2761E679 ECD4CD15 9260BA63 D195C7E1 3CA23D9C ABED2410 12F516D1 D00DB793 8A01314E 1C919D31 97184C7E D07383FF 0C3B04EE 0FC411E0 14C46BF7 FC7029A3 5C5F10BA B6F2FFE8 9BB42BE4 77DBD344 EFB23662 AE6D2BA8 C5C00B93 596C5F51 B3317470 28533626 072B34F8 0EA6E481 469725AD F96794D9 86C283CB 5E05594B 3A686525 8983A72E C7020301 0001 quit ! ! ! crypto isakmp policy 10 encr 3des authentication rsa-encr group 2 ! ! crypto ipsec transform-set VPN esp-3des esp-sha-hmac ! crypto map VPN 10 ipsec-isakmp set peer 200.0.0.2 set transform-set VPN set pfs group2 match address 110 ! ! ! ! interface FastEthernet0/0 no ip address ip nat inside ip virtual-reassembly duplex auto speed auto ! ! interface Serial0/0 ip address 200.0.0.1 255.255.255.0 ip nat outside ip virtual-reassembly crypto map VPN ! ip route 0.0.0.0 0.0.0.0 Serial0/0 ! no ip http server no ip http secure-server ip nat inside source list 120 interface Serial0/0 overload ! access-list 110 deny udp any any eq isakmp access-list 110 permit ip 10.0.0.0 0.0.255.255 10.1.0.0 0.0.255.255 access-list 110 remark VPN access-list 120 deny ip 10.0.0.0 0.0.255.255 10.1.0.0 0.0.255.255 access-list 120 permit ip 10.0.0.0 0.0.255.255 any access-list 120 remark NAT access-list 130 permit ip host 10.0.200.200 any access-list 130 deny ip host 10.0.200.200 10.1.10.0 0.0.0.255 ! route-map kein-NAT permit 10 match ip address 130 ! ! end Zitieren Link zu diesem Kommentar
Damncold 10 Geschrieben 12. April 2010 Autor Melden Teilen Geschrieben 12. April 2010 (bearbeitet) ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router-Filiale ! boot-start-marker boot-end-marker ! ! no aaa new-model ! crypto key pubkey-chain rsa addressed-key 200.0.0.1 address 200.0.0.1 key-string 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 009D750E 11BB8BE3 2E0CD254 21D2020B 29DECCE5 86E10104 99F6DC23 53CAFBAF F729A222 8CB07DB1 3DBED09C 00D0E938 843078C6 04651609 BE7D4A5E 3548D7F9 3FE748BD 670E1A87 C14D0B00 0C5201D2 61C328F2 398F0726 BF8DEAC5 F5501FA8 8CEA5992 DE06F546 302F2B47 EE13707E 09F9E534 9F5E1FF3 197782B6 EC126A81 6E357535 9D12F5FE 5076C97A E6E41B2F D79662E5 BE918A15 7E1B6318 E4F2B9BC 83AC52CC 97D1A470 02C61BEB 7735332E 7698A6AC F3867C2C F8405A72 06E51607 1FC31B56 C0D14E10 79C3287E B7544D4F FEE4F8D6 F848FC5A EE9FB3F6 B5BDADD2 84D72C8A 2A340DFA B65466BB 9F65B1B6 03C94955 EE986A69 2BF06D3F 0E4F13C4 D3020301 0001 quit ! ! ! crypto isakmp policy 10 encr 3des authentication rsa-encr group 2 ! ! crypto ipsec transform-set VPN esp-3des esp-sha-hmac ! crypto map VPN 10 ipsec-isakmp set peer 200.0.0.1 set transform-set VPN set pfs group2 match address 110 ! ! ! ! interface FastEthernet0/0 no ip address ip nat inside ip virtual-reassembly duplex auto speed auto ! interface Serial0/0 ip address 200.0.0.2 255.255.255.0 ip nat outside ip virtual-reassembly clock rate 128000 crypto map VPN ! ip route 0.0.0.0 0.0.0.0 Serial0/0 ! ! no ip http server no ip http secure-server ip nat inside source list 120 interface Serial0/0 overload ! access-list 110 deny udp any any eq isakmp access-list 110 permit ip 10.1.0.0 0.0.255.255 10.0.0.0 0.0.255.255 access-list 110 remark VPN access-list 120 deny ip 10.1.0.0 0.0.255.255 10.0.0.0 0.0.255.255 access-list 120 permit ip 10.1.0.0 0.0.255.255 any access-list 120 remark NAT debug crpyto isakmp error: *Mar 1 04:10:19.148: ISAKMP:(0:0:N/A:0):No pre-shared key with 200.0.0.2! *Mar 1 04:10:19.412: ISAKMP:(0:3:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN! *Mar 1 04:10:29.193: ISAKMP:(0:3:SW:1):deleting SA reason "Death by retransmiss ion P1" state (I) MM_SA_SETUP (peer 200.0.0.2) *Mar 1 04:10:29.193: ISAKMP:(0:3:SW:1):deleting SA reason "Death by retransmiss ion P1" state (I) MM_SA_SETUP (peer 200.0.0.2) bearbeitet 12. April 2010 von Damncold Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 12. April 2010 Melden Teilen Geschrieben 12. April 2010 das sind nicht zufällig 2 self signed RSA Certs ? Zitieren Link zu diesem Kommentar
Damncold 10 Geschrieben 12. April 2010 Autor Melden Teilen Geschrieben 12. April 2010 das sind zwei selbst erstelle rsa schlüssel crypto key generate general rsa exportable mit 2048 bit ^^ Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 12. April 2010 Melden Teilen Geschrieben 12. April 2010 und wie sollen die jetzt vom jeweils anderen router verifiziert werden ? Zitieren Link zu diesem Kommentar
Damncold 10 Geschrieben 12. April 2010 Autor Melden Teilen Geschrieben 12. April 2010 ich hab in den anleitungen nur gelesen, das die public keys die beim generieren unter anderem ausgepspuckt werden in der gegenstelle unter pubkey-chain einegetragen werden müssen. so stehts auch in folgendem cisco howot: Link seit 9-11 bitte klärt mich auf wenn ich das nicht richtig interpretiere ... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 13. April 2010 Melden Teilen Geschrieben 13. April 2010 aha, das ist ohne einer CA, verstehe...nur leider kann ich dir damit nicht weiterhelfen,hier wird auch was drüber geschrieben: http://packetlife.net/blog/2009/jan/14/isakmp-associations-using-rsa-keys/ Zitieren Link zu diesem Kommentar
Damncold 10 Geschrieben 13. April 2010 Autor Melden Teilen Geschrieben 13. April 2010 danke für den link .. aber so hab ichs schon gemacht 1:1 (ca 10 mal und alle möglichen einstellungen rumprobiert) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.