Bir Siteden Siteye IPSEC VPN ve Uzaktan Erişim VLAN'ı aynı harici arabirimde yapılandırmanın doğru yolu nedir? Cisco 891 ISR


11

Yapılandırma veya günlükleri referans için göndermekten memnuniyet duyarım, ancak uzaktan erişim VPN'imin sitemle IPSEC VPN için aynı arayüzde çalışmasını sağlamakta sorun yaşıyorum. Uzaktan erişim vpn için dinamik bir kripto haritası kullanıyorum ama birinci aşama yapmaya çalışırken başarısız gibi görünüyor. Herkes bana çalışmak için basit bir örnek yapılandırma verebilir misiniz?

DÜZENLE:

Aşağıda, her öneri için ISAKMP profilleri uygulandıktan sonra hata ayıklama dökümü başarısız oluyor. Kullanıcı adı ve şifre girmem istendi, ancak zaman aşımına uğradı. Görünüşe göre isakmp yetkilendirmesi başarısız oluyor. Şu anda isakmp yetkilendirmesi yerel kullanıcı listesine ayarlanmıştır. Bu sizin için sorun gibi görünüyor mu çocuklar?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Ben isakmp ve ipsec hatalarını ayıklamak ve günlükleri çekmek yaptığımda da bu hataları görüyorum:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.

2
Hangi IOS ana sürümünü kullanıyorsunuz? En iyisi bundan bahsetmek ve cisco-ios-15 ya da başka bir şeyle etiketlemek .
Craig Constantine

Bu bileşenlerden birinin / her ikisinin de bağımsız olarak düzgün çalışmasını sağlayabildiniz mi? Orada başlamadan önce, her biri için bağımsız konfigürasyonun birleştirilmeden önce doğrulandığından emin olurum.
Jeremy Stretch

Uzaktan Erişim VLAN ile ne demek istiyorsun? Bir arabirime kripto haritası uygulayarak bir IPSEC VPN'yi yapılandırmaya ve etkinleştirmeye çalıştığınızı anlıyorum, ancak bu Uzaktan Erişim VLAN mı?
jwbensley

Üzgünüm, VPN demem gerekiyordu, düzelteceğim. İkisinin de çalışmasını sağladım, ancak bu noktada yalnızca site VPN sitesi çalışıyor. ISR şu anda 15.1 çalışıyor.
Bill Gurling

Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


6

Burada karanlıkta bir çekim yapmak çünkü bahsetmediğin çok fazla değişken var. Lütfen soruyu, kullandığınız belirli teknolojileri, currnet yapılandırmanızı ve aldığınız hatayı içerecek şekilde güncelleyin. Ancak, örneğin DMVPN + EZVPN kullanıyorsanız, muhtemelen anahtarlıklar ve birden fazla ISAKMP profili kullanmanız gerekecektir. Faz 1 konularına işaret ettiğiniz için bunu kontrol ederim. Aşağıdaki bağlantılar DMVPN ve EZVPN ve L2L + EZVPN için referans yapılandırmalar vermektedir . İhtiyaçlarınıza göre değişiklik yapabilmeniz gerekir.

İşte bazı öğle yemeği okumaları için bir ISAKMP Profil referansı .


Özgün yazımı, tıkandığında gördüğüm günlüğe kaydetmeyle güncelledim. Arıza sizin için nerede görünüyor? Şu anda isakmp profilleri kullanılıyor.
Bill Gurling

1

Kurulumunuzun ne olduğunu görmeden bu örnek tamamen doğru olmayacaktır. Ancak, Site A'yı nasıl yapılandıracağım. Site B benzer olacak, eksi uzak VPN parçaları ve ters Site A ve Site B parçaları. Parantez içindeki her şey kendi bilgilerinizle doldurulmalıdır.

Ayrıca, bu özel örnek için, uzak VPN AnyConnect İstemcisi yerine Cisco VPN İstemcisi aracılığıyla olacaktır. ShrewSoft VPN Client da çalışır.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload

Çok teşekkürler, bunu yapılandırmamla karşılaştıracağım ve arızanın nerede olduğunu göreceğim. Benim yapılandırma büyük olasılıkla çoğunlukla doğru olduğunu düşünüyorum ama kesinlikle orada ACL girişleri yok, bu yüzden benim sorun olabilir. Cevabı takdir et.
Bill Gurling

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.