chmu 10 Geschrieben 2. Februar 2011 Melden Teilen Geschrieben 2. Februar 2011 Guten Tag, ich habe ein kleines Problem mit einer Konfiguration eines Cisco´s :( Was habe ich vor: - Site2Site Statik Hosts - Site2Site Dynamic Hosts - Mobile User VPN Was geht schon: - Site2Site Statik Hosts - Mobile User VPN Was geht noch nicht: - Site2Site Dynamic Hosts Beim Site2Site Dynamic mit Hosts Dynamik Hosts sitze ich gerade voll aufm schlauch und komme einfach nicht weiter, evtl seht ihr meinen Fehler oder könnt mir weitere Tipps geben. Daher anbei mal meine Config in gekürzert form für forum und vollständig als txt. Danke schonmal ! version 12.4 hostname vpngate-cy aaa new-model ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login local_authen local aaa authorization exec default local aaa authorization exec local_author local aaa authorization network sdm_vpn_group_ml_1 local ! username user1 privilege 15 secret 5 ******** username user2 privilege 0 secret 5 ****** ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp key ******** address 217.1.*.* crypto isakmp key ******** address 217.2.*.* crypto isakmp key ******** address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 periodic ! crypto isakmp client configuration group rem_ma key ******** pool VPN-Pool acl 195 ! crypto isakmp profile VPN-ike-profile-1 match identity group rem_ma client authentication list sdm_vpn_xauth_ml_1 isakmp authorization list sdm_vpn_group_ml_1 client configuration address respond virtual-template 1 ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA-s2s esp-3des esp-sha-hmac ! crypto ipsec profile VPN_Profile1 set transform-set ESP-3DES-SHA set isakmp-profile VPN-ike-profile-1 ! crypto map VPN_S2S_1 2 ipsec-isakmp description Tunnel to 217.1:*:* set peer 217.1.*.* set transform-set ESP-3DES-SHA-s2s match address 193 ! crypto map VPN_S2S_1 3 ipsec-isakmp description Tunnel to 217.2.*.* set peer 217.2.** set transform-set ESP-3DES-SHA-s2s match address 192 ! crypto map VPN_S2S_1 11 ipsec-isakmp set peer hostname.dyndns.org dynamic set transform-set ESP-3DES-SHA-s2s match address 196 ! interface FastEthernet0 switchport mode trunk ! interface Virtual-Template1 type tunnel ip unnumbered Vlan11 tunnel mode ipsec ipv4 tunnel protection ipsec profile VPN_Profile1 ! interface Vlan11 description TO-WAN-Router ip address 172.16.11.2 255.255.255.248 crypto map VPN_S2S_1 ! interface Vlan12 description TO-LAN-Router ip address 172.16.12.2 255.255.255.248 ! ip local pool VPN-Pool 192.168.150.1 192.168.150.200 ip route 0.0.0.0 0.0.0.0 172.16.11.1 ! ip nat inside source route-map VPN_RMAP_1 interface Vlan11 overload ! access-list 190 remark IPSec Rule, welche ip-adressen sollen verschluesselt und somit nicht ausgehend genattet access-list 190 deny ip 172.16.12.0 0.0.0.255 192.168.73.0 0.0.0.255 log access-list 190 deny ip 172.16.12.0 0.0.0.255 192.168.74.0 0.0.0.255 log access-list 192 remark IPSec Rule, welcher S2S-VPN-Pakete werden verschluesselt 217.1.*.* access-list 192 permit ip 172.16.12.0 0.0.0.7 192.168.1.0 0.0.0.255 access-list 193 remark IPSec Rule, welcher S2S-VPN-Pakete werden verschluesselt 217.2.*.* access-list 195 remark define split-tunnel access-list 195 permit ip 172.16.12.0 0.0.0.7 192.168.150.0 0.0.0.255 log access-list 195 permit ip 192.168.10.0 0.0.0.255 192.168.150.0 0.0.0.255 log access-list 196 remark IPSec Rule, welcher S2S-VPN-Pakete werden verschluesselt 0.0.0.0 access-list 196 permit ip 172.16.12.0 0.0.0.7 192.168.22.0 0.0.0.255 ! route-map VPN_RMAP_1 permit 1 match ip address 190 ! cfg_vpngate_01.txt Zitieren Link zu diesem Kommentar
Servidge 10 Geschrieben 2. Februar 2011 Melden Teilen Geschrieben 2. Februar 2011 Welches IOS hat denn der Router, und was ist das für einer. Nicht jedes IOS kann die dynamischen Peers und woran hakt es überhaupt. Zitieren Link zu diesem Kommentar
chmu 10 Geschrieben 2. Februar 2011 Autor Melden Teilen Geschrieben 2. Februar 2011 Hallo, da hatte ich diese Angaben echt noch vergessen, hatte igendwie nur drauf geachtet die cfg fürs Forum zu kürzen. Sorry: Ich setze folgenden Router ein. Cisco 876W (MPC8272) processor (revision 0x200) with 118784K/12288K bytes of memory. Processor board ID FCZ102623WR MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10 4 FastEthernet interfaces 1 ISDN Basic Rate interface 1 ATM interface 1 802.11 Radio 128K bytes of non-volatile configuration memory. 24576K bytes of processor board System flash (Intel Strataflash) Und folgendes IOS: Cisco IOS Software, C870 Software (C870-ADVENTERPRISEK9-M), Version 12.4(11)T1 Als Fehler würde ich erst einmal beschreiben das der Tunnel nicht aufgebaut wird und dieses noch vor der Phase 2 passiert Dazu mal eine paar log Ausgabe, leider ist das der einige Eintrag welchen ich zu diesem VPN finde. local ident (addr/mask/prot/port): (172.16.12.0/255.255.255.248/0/0) remote ident (addr/mask/prot/port): (192.168.22.0/255.255.255.0/0/0) current_peer (none) port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 Zitieren Link zu diesem Kommentar
Servidge 10 Geschrieben 2. Februar 2011 Melden Teilen Geschrieben 2. Februar 2011 Also das IOS kann "Real-time Resolution for IPsec Tunnel Peer" Real-Time Resolution for IPsec Tunnel Peer [Cisco IOS and NX-OS Software] - Cisco Systems Wichtig ist dafür das die DNS Auflösung funktioniert. Davon ist in der angehängten Konfig nichts zu erkennen. Zitieren Link zu diesem Kommentar
chmu 10 Geschrieben 2. Februar 2011 Autor Melden Teilen Geschrieben 2. Februar 2011 Das stimmt die DNS Konfiguration, hatte ich nicht sauber scheint aber zu funktionieren, habe das nun angepasst. ! ip domain name kunde.local ip name-server 208.67.222.222 ! Aber so wirklich hat das nichts geändert, ich werde heute wohl noch mal die gegenseite anschauen, da ich da leider auch nichts im Log sehe... gegenseite ist im moment nen m0n0wall, werde das nachher auch mal mit mikrotik testen, da ich hier keinen cisco liegen habe. Sending 5, 100-byte ICMP Echos to 84.132.*.*, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Zitieren Link zu diesem Kommentar
chmu 10 Geschrieben 2. Februar 2011 Autor Melden Teilen Geschrieben 2. Februar 2011 (bearbeitet) So ich habe noch einmal alles durchgetestet. wenn ich in der crypomap die dynamic ip eintrage steht das VPN sofort, wenn ich dann denn eintrag set peer von static auf dynamic tausche gehts vpn kurz offline aber dann wieder Online. Wenn ich dann die gegenseite neustarte und warte wird das VPN nicht mehr aufgebaut. Dazu mal etwas log info: vpngate-cy#show crypto isakmp peers Peer: 84.*.*.* Port: 4500 Local: 172.16.11.2 Phase1 id: hostname.dyndns.org Peer: 217.*.*.* Port: 4500 Local: 172.16.11.2 Phase1 id: 192.168.73.2 vpngate-cy#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 172.16.11.2 80.*.*.* QM_IDLE 2005 0 ACTIVE 217.*.*.* 172.16.11.2 QM_IDLE 2001 0 ACTIVE protected vrf: (none) local ident (addr/mask/prot/port): (172.16.12.0/255.255.255.248/0/0) remote ident (addr/mask/prot/port): (192.168.22.0/255.255.255.0/0/0) current_peer 84.132.190.184 port 4500 PERMIT, flags={origin_is_acl,} #pkts encaps: 408, #pkts encrypt: 408, #pkts digest: 408 #pkts decaps: 408, #pkts decrypt: 408, #pkts verify: 408 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.16.11.2, remote crypto endpt.: 84.*.*.* path mtu 1500, ip mtu 1500, ip mtu idb Vlan11 current outbound spi: 0x0(0) inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: Und das sagt die Gegenseite, nachdem ich von main auf aggressive mode umgestellt habe. racoon: ERROR: HASH mismatched racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. racoon: INFO: NAT detected: ME PEER racoon: INFO: NAT-D payload #0 doesn't match racoon: INFO: Hashing 87.*.*.*0[4500] with algo #2 racoon: INFO: NAT-D payload #-1 doesn't match racoon: INFO: Hashing 84.*.*.*[4500] with algo #2 racoon: INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02 racoon: WARNING: No ID match. WARNING: port 4500 expected, but 0 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt INFO: received Vendor ID: DPD INFO: received Vendor ID: CISCO-UNITY WARNING: remote address mismatched. db=87.*.*.*[4500], act=87.*.*.*0[500] Hoffe das die logs zusammen mit der Konfig aussagekräftig sind, und ihr mir weitere Tips geben könnt. bearbeitet 2. Februar 2011 von chmu änderung Logfile gegenseite Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 2. Februar 2011 Melden Teilen Geschrieben 2. Februar 2011 Hi debug doch mal den Crypto Phasen auf deiner Cisco - ob von der Gegenstelle was kommt und vor allem was.... Mit "Shows" denke ich kommst du da nicht weiter. Zitieren Link zu diesem Kommentar
Servidge 10 Geschrieben 2. Februar 2011 Melden Teilen Geschrieben 2. Februar 2011 Das die IPSec Verbindung nicht sofort wieder funktioniert wenn die Gegenseite ein neue IP hat kann an der DNS Auflösung liegen. Ist eigentlich auf dem Rouer auch "ip domain lookup" konfiguriert? sonst funktioniert die Auflösung nicht. Im debug crypto ipsec solltest du die Auflösung des hostname.dyndns.org sehen können. Zitieren Link zu diesem Kommentar
chmu 10 Geschrieben 3. Februar 2011 Autor Melden Teilen Geschrieben 3. Februar 2011 ich habe mal zum testen die anden Tunnel ausgemacht. hier ein logfile wo auch der peer drin auftaucht ISAKMP::Looking for a matching key for hostname.dyndns.org in default ISAKMP: no pre-shared key based on hostname hostname.dyndns.org! ISAKMP:: local preshared key found ISAKMP : Scanning profiles for xauth ... VPN-ike-profile-1 ISAKMP:: Authentication by xauth preshared ISAKMP::Checking ISAKMP transform 1 against priority 1 policy ISAKMP: life type in seconds life duration (basic) of 28800 encryption 3DES-CBC auth pre-share hash SHA default group 2 ISAKMP::atts are acceptable. Next payload is 0 ISAKMP:: processing KE payload. message ID = 0 ISAKMP:: processing NONCE payload. message ID = 0 ISAKMP:: processing vendor id payload ISAKMP:: vendor ID seems Unity/DPD but major 69 mismatch ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID seems Unity/DPD but major 164 mismatch ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch ISAKMP:(0): vendor ID is NAT-T v2 ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID seems Unity/DPD but major 221 mismatch ISAKMP:(0): processing vendor id payload ISAKMP:(0): vendor ID is DPD ISAKMP:(0): constructed NAT-T vendor-02 ID ISAKMP:(0):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR 2147379163 ISAKMP:(2001):deleting node 1691977690 error TRUE reason "QM rejected" ISAKMP:(2001):Node 1691977690, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH ISAKMP:(2001):Old State = IKE_QM_READY New State = IKE_QM_READY ISAKMP:(2007):purging node 1147102682 ISAKMP:(2007):purging node 1575228686 ISAKMP:(2007):purging node -1460719258 ISAKMP:(2007):purging node 1790089602 ISAKMP:(2007):purging node 3116416196.429: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1 ISAKMP:(0): retransmitting phase 1 AG_INIT_EXCH ISAKMP:(2001): sending packet to 217.92.194.155 my_port 4500 peer_port 4500 (I) QM_IDLE ISAKMP:(2001):purging node 1396674203 ISAKMP:(2001):deleting node 1179817812 error TRUE reason "QM rejected" ISAKMP:(2001):Node 1179817812, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH ISAKMP:(2001):Old State = IKE_QM_READY New State = IKE_QM_READY ISAKMP (0:0): received packet from 84.132.*.* dport 4500 sport 4500 Global (R) AG_INIT_EXCH _FROM_PEER, IKE_INFO_NOTIFY ISAKMP:(2029):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE PSEC(key_engine): got a queue event with 1 KMI message(s) ISAKMP (0:2029): received packet from 84.132.*.* dport 4500 sport 4500 Global (R) QM_IDLE ISAKMP: set new node -864084890 to QM_IDLE ISAKMP:(2029): processing HASH payload. message ID = -864084890 ISAKMP:(2029): processing SA payload. message ID = -864084890 ISAKMP:(2029):Checking IPSec proposal 1 ISAKMP: transform 1, ESP_3DES ISAKMP: attributes in transform: ISAKMP: SA life type in seconds ISAKMP: SA life duration (basic) of 3600 ISAKMP: encaps is 61443 (Tunnel-UDP) ISAKMP: authenticator is HMAC-SHA ISAKMP: group is 2 ISAKMP:(2029):atts are acceptable. IPSEC(validate_proposal_request): proposal part #1 IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 172.16.11.2, remote= 84.132.*.*, local_proxy= 172.16.12.0/255.255.255.248/0/0 (type=4), remote_proxy= 192.168.22.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel-UDP), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 Feb 3 00:01:56.630: Crypto mapdb : proxy_match src addr : 172.16.12.0 dst addr : 192.168.22.0 protocol : 0 src port : 0 dst port : 0 IPSEC(crypto_ipsec_process_proposal): peer address 84.132.*.* not found ISAKMP:(2029): IPSec policy invalidated proposal with error 64 Zitieren Link zu diesem Kommentar
Servidge 10 Geschrieben 4. Februar 2011 Melden Teilen Geschrieben 4. Februar 2011 Im debug crypro ipsec sollte die Auflösung des Dyndns hostnamen zu sehen sein. in etwa so: Feb 4 10:23:32.902 MEZ: IPSEC: Peer hostname.dyndns.org's addr (10.15.20.30) is stale, triggering DNS Feb 4 10:23:33.022 MEZ: IPSEC: Peer hostname.dyndns.org has been DNS resolved to 10.15.20.30, expires in 00:00:40. oder Feb 4 10:20:56.395 MEZ: IPSEC: Peer hostname.dyndns.org's addr (10.15.20.30) is stale, triggering DNS Feb 4 10:20:56.395 MEZ: IPSEC: Peer has the (DNS cached) address 10.15.20.30. Dann sollte der auch nen passenden Peer finden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.