Hello,
Szeretnék egy ipsec tunnel-t faragni egy Cisco 826 és egy Linksys befsx-41 közé. Egyelőre kevés sikerrel. SA2-ig el is jut, de sajnos ott elakad. Biztosan triviális csak nem jövök rá.
Mindkét oldalon 3des illetve sha van állítva 768 bites titkosítással.
Köszönöm.
sh conf
----------------------------------------------------------
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname gw
!
boot-start-marker
boot-end-marker
!
logging buffered informational
!
no aaa new-model
ip subnet-zero
no ip source-route
ip name-server 80.xxx.aaa.fff
ip name-server 195.xxx.aaa.sss
!
no ip bootp server
ip cef
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key kulcs1234 address 82.xxx.yyy.zzz no-xauth
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
!
crypto map VPN-Map-1 10 ipsec-isakmp
set peer 82.xxx.yyy.zzz
set pfs group2
match address Crypto-list
!
!
!
interface Ethernet0
description $FW_INSIDE$
ip address 192.168.1.254 255.255.255.0
ip access-group 130 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip tcp adjust-mss 1412
no cdp enable
hold-queue 100 in
hold-queue 100 out
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description Layer2 connectivity
no ip redirects
no ip unreachables
no ip proxy-arp
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface Dialer1
description $FW_OUTSIDE$
ip address negotiated
ip access-group 120 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1432
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname 111@222
ppp chap password pppp
crypto map VPN-Map-1
!
ip nat inside source list 120 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.9 22 interface Dialer1 2222
ip nat inside source static udp 192.168.1.8 1194 interface Dialer1 1194
ip nat inside source static tcp 192.168.1.8 1723 interface Dialer1 1723
ip nat inside source static tcp 192.168.1.9 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.9 636 interface Dialer1 636
ip nat inside source static tcp 192.168.1.10 9444 interface Dialer1 9444
ip nat inside source static tcp 192.168.1.10 10051 interface Dialer1 10051
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
ip access-list extended Crypto-list
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
logging 192.168.1.8
access-list 120 permit ip 192.168.1.0 0.0.0.255 any
access-list 120 permit ip any any
access-list 120 permit udp host 82.144.183.65 any eq isakmp
access-list 120 permit esp host 82.144.183.65 any
access-list 130 remark internal net rules
access-list 130 permit tcp host 192.168.1.9 any eq smtp
access-list 130 deny tcp 192.168.1.0 0.0.0.255 any eq smtp log
access-list 130 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
snmp-server community public RO 99
snmp-server enable traps tty
line con 0
stopbits 1
line vty 0 4
exec-timeout 2 0
login
transport preferred telnet
!
scheduler max-task-time 5000
end
---------------------------------------------------------
debug crypro isakmp kimenete itt: http://pastebin.com/xwveWEDv
- 1225 megtekintés
Hozzászólások
Halihó,
Első körben a crypto map-et az ATM interfészhez mint fizikai interfészhez hozzárendelném, aztán lehet folytatni a debugolást - de lehet nem is kell. Bocs, de tovább nem néztem a konfigot.
Cs.
- A hozzászóláshoz be kell jelentkezni
Ok, próbálom.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Crypto ACL-t nézd meg, hogy tükörképei-e egymásnak, illetve rakd vissza az ATM interfészre a crypto map-et. Azt nem értem, hogy az Ethernet0-ra miért raktál crypto map-et.
Valamint routingot is varázsolni kellene:
ip route 82.xxx.yyy.zzz 255.255.255.255 "next-hop" - route a távoli linksysre
ip route 192.168.2.0 0.0.0.255 82.xxx.yyy.zzz - route a távoli hálózatra
Cs.
- A hozzászóláshoz be kell jelentkezni
Visszaraktam az ATM0-ra, eth0-ról levettem, hülyeség.
>ip route 82.xxx.yyy.zzz 255.255.255.255 "next-hop" - route a távoli linksysre
next-hop mi legyen ? Az isp-m felöli láb ? Amúgy ezt szerintem tudnia kéne enélkül is.
>ip route 192.168.2.0 0.0.0.255 82.xxx.yyy.zzz - route a távoli hálózatra
Ezt megadtam, továbbra sem megy. A másik oldal (linksys) eddig egy ipcop-al ment szépen. Ott nem kellett semmi extra routing-ot állítanom.
gw#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
195.xxx.yyy.0/32 is subnetted, 1 subnets
C 195.xxx.yyy.aaa is directly connected, Dialer1
C 192.168.1.0/24 is directly connected, Ethernet0
213.xxx.yyy.0/32 is subnetted, 1 subnets
C 213.xxx.yyy.aaa is directly connected, Dialer1
S 192.168.2.0/24 [1/0] via 82.xxx.yyy.zzz
S* 0.0.0.0/0 is directly connected, Dialer1
- A hozzászóláshoz be kell jelentkezni
Ne vezessük félre a kérdezőt...
"rakd vissza az ATM interfészre a crypto map-et."
Ne. Az L3 interfészen a helye.
"Valamint routingot is varázsolni kellene"
Van. Ott van a konfigban, így néz ki:
ip route 0.0.0.0 0.0.0.0 Dialer1"Azt nem értem, hogy az Ethernet0-ra miért raktál crypto map-et."
Ez így van, oda nem kell.
- A hozzászóláshoz be kell jelentkezni
>Ne. Az L3 interfészen a helye.
Dialer1 ?
- A hozzászóláshoz be kell jelentkezni
"Dialer1 ?"
Igen.
Első körben javítsd a dinamikus natolásért felelős ACL-t (120) úgy, hogy a VPN-be szánt csomagok ne natolódjanak. Jelenleg natol mindent (és ezen túl pedig alapvetően felesleges a csak permitekből álló ACL nagy része, ha any any-t írsz bele).
Szerk.: most látom, hogy az interfészen is ez az ACL van. Ketté kellene venni. Ráadásul az intefészen lévő iránya és tartalma is érdekes. Ha átengedsz mindent, akkor felesleges szűrni.
Aztán ha ezután sem megy, akkor jöhet a show crypto ipsec sa és show crypto isakmp sa detail, illetve az említett show crypto session kimenete.
- A hozzászóláshoz be kell jelentkezni
És megy. A NAT-olásból kellett kizárni a tunnelbe szánt csomagokat.
access-list 120 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 120 permit ip 192.168.1.0 0.0.0.255 any
access-list 120 permit ip any any
Ezer köszönet mindenkinek!
- A hozzászóláshoz be kell jelentkezni
Az utolsó sor még mindig felesleges (vagy a középső). Nem akadályoz, de felesleges, ha csak a natra használod.
- A hozzászóláshoz be kell jelentkezni
Nem voltam rest és kerestem neked egy példát, ami azt mutatja hogy crypto map az kell a fizikai interfészre:
http://www.ciscosystems.am/application/pdf/paws/12908/dsl_ipsec.pdf
Crypto map akkor nem kell fizikai interfészre, ha crypto profile-t és társait használod...
Cs.
- A hozzászóláshoz be kell jelentkezni
Rendben, példát én is tudok keresni, például itt, de valóban nem kell a fizikaira, ez tapasztalat. Sőt, csak az L2-re téve nem is megy.
- A hozzászóláshoz be kell jelentkezni
ez baromság. csak és kizárólag L3 iface-re kell.
- A hozzászóláshoz be kell jelentkezni
Next-hop az ISP felőli láb legyen. Vagy a dialer interfész.
Cs.
- A hozzászóláshoz be kell jelentkezni
"Next-hop az ISP felőli láb legyen. Vagy a dialer interfész."
Ne. Nem tudod, hogy a szolgáltató melyik ezközben fog végződni a PPP session.
- A hozzászóláshoz be kell jelentkezni
Mégy egy dolog:
show crypto session remote 82.xxx.yyy.zzz detail
megmutatja, hogy mennyi encryptált illetve decryptált és dobott csomag van, ez segíthet, megmutatja hogy bemegy-e a tunnelbe a forgalom vagy nem.
Cs.
- A hozzászóláshoz be kell jelentkezni
Sajna ezeket tudja csak:
w#sh crypto ?
ca Show certification authority policy
dynamic-map Crypto map templates
engine Show crypto engine info
identity Show crypto identity list
ipsec Show IPSEC policy
isakmp Show ISAKMP Security Associations
key Show long term public keys
map Crypto maps
mib Show Crypto-related MIB Parameters
optional Optional Encryption Status
sockets Secure Socket Information
De:
Extended IP access list Crypto-list
10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (1 match)
Fogalmam sincs mit volt az 1 db csomag :(.
- A hozzászóláshoz be kell jelentkezni
NAT-oláshoz rakd be az első ACL sorba:
access-list 120 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
vagy vedd le a dinamikus NAT-ot teljes egészében - csak tesztelés kedvéért.
sh crypro isakmp sa: QM_IDLE-ban van a kapcsolat?
Egyébként milyen IOS fut a kütyün?
Cs.
- A hozzászóláshoz be kell jelentkezni