Juniper SRX és Cisco 1812 közötti IPSEC site-to-site tunnel létrehozása

Hálózatok általános

Sziasztok!

Szeretnék megvalósítani egy site-to-site ipsec tunnelt egy juniper srx 240 és egy cisco 1812 között úgy, hogy a 1812 az dhcp -n kapja az ipt. Arra gondoltam, hogy aggressive mode -al meg tudom oldani a dolgot, de nem akar összejönni. Ha tudtok adjatok tanácsot mit szúrhattam el. Bemásoltam a configokat, bízom benne semmit nem hagytam ki. "No proposal chosen" -el nem jön össze a tunnel. Ha ugyanez a config static címekkel van összerakva akkor a tunnel feláll. Amit még láttam a cisco oldalán a configban, hogy beleírja: "ISAKMP:(0):Can not start Aggressive mode, trying Main mode."

Javaslatokat, ötletek várnék mit szúrtam el.

Juniper config (http://pastebin.com/BJE6h6kt):

interfaces {
st0 {
unit 2 {
family inet {
address 172.18.1.6/31;
}
}
}
}
security {
ike {
traceoptions {
file ike;
flag all;
}
respond-bad-spi;
proposal vpn {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
lifetime-seconds 28800;
}
policy ike-policy-tomcsi {
mode aggressive;
proposals vpn;
pre-shared-key ascii-text "$9$XKIxwgoaUDi.Di/tp0IRrlKMLN2gJGDkWL7VwsJZ.P5FCtEhyleW9AevW8dVaZUDHmf5FCp0UjpB1EyreKMLNbsYoJZjaZ"; ## SECRET-DATA
}
gateway ike-gate-tomcsi {
ike-policy ike-policy-tomcsi;
dynamic hostname tomcsirouter;
external-interface ge-0/0/3.4; <- Juniper külső interface
}
}
ipsec {
proposal vpn {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 3600;
}
policy ipsec-policy-tomcsi {
perfect-forward-secrecy {
keys group5;
}
proposals vpn;
}
vpn ipsec-vpn-tomcsi {
bind-interface st0.2;
ike {
gateway ike-gate-tomcsi;
ipsec-policy ipsec-policy-tomcsi;
}
establish-tunnels on-traffic;
}
}
}

Cisco config (http://pastebin.com/ZnmRwh6Z):

crypto isakmp policy 1
encr aes
authentication pre-share
group 5
lifetime 28800
crypto isakmp key xahzo4Eigiebah7Hai0ahha5fu8Anaaz address
crypto isakmp identity hostname
crypto isakmp invalid-spi-recovery
crypto isakmp profile vpn
keyring default
match identity address 255.255.255.255
initiate mode aggressive
!
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
!
crypto ipsec profile vpn
set transform-set vpn
set pfs group5
set isakmp-profile vpn
!
interface Tunnel0
ip address 172.18.1.7 255.255.255.254
tunnel source FastEthernet0 <- Cisco külső interface
tunnel destination
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn
end

  • 1647 megtekintés

( athila v | 2016. 01. 09., szo – 21:03 )

Mit értesz azon, hogy a Cisco DHCP-n kapjon IP-t? Valami EasyVPN kliensszerű dolgot akarsz?
Site-to-Site IPSec-nek igazából úgy kellene kinéznie, hogy az egyik oldalon van egy privát (nem feltétlenül, csak ez szokott lenni) subnet, a másik oldalon megy egy másik subnet. ACL-ekben definiálod a két subenetet, ezek között van a titkosítás, a helyi lanra meg meg izzítasz DHCP konfigot, vagy relay-ezel az IPSec privát címek között.
Phase1 összejön?
'show crypto isakmp sa' mit mond?
Ha itt van valami gond, akkor próbálj részletes debugot az isakmp-re. (a konfigot nem néztem, a triviális részeket gondolom már eléggé átnézted)
google is sokat segít, ha keresel srx-cisco közötti ipsec konfig sample-eket...

Lehet rosszul fogalmaztam. Szóval a lényeg, hogy egy route based vpn -t szeretnék csinálni úgy, hogy a cisco az interneten dinamikus ipvel van fent, amit dhcpn kap. Ezért van úgy csinálva, hogy 172.18.1.6 az egyik oldal, 172.18.1.7 a másik oldal.

Az internetet már átkutattam elég alaposan, de nem találok rá megoldást, ezért fordultam ide.

Áááá értem! :)
Nekem Linux-al sikerült ilyesmit összehozni, a Linux fix IP, a Cisco dinamikus.
Lehet, neked nem lesz jó, mert GRE tunnelt építtetek ki a két host között IPSec-el a dinamikus routing és a multicast miatt,
nameg a Junos is hozhat még meglepetést. Sajnos (vagyis szándékosan) nem foglalkozok Junos alapú tűzfalazással/IPSec-el, de
hamarosan összeszedem a konfigokat...

( athila v | 2016. 01. 11., h – 22:40 )

Összemazsoláztam, ha kicsit jobban megnézed, nagyon perverz, de hibátlanul működik.
Viszont közben rájöttem, hogy egy 1-2 éve történt kernelfrissítés után (valami ubuntu xar) leállt a GRE működése, azóta IPIP tunnel mód van...

!
interface Loopback0
description Loopback for IPSec tunnel to peer
ip address 192.168.255.255 255.255.255.255
!
crypto isakmp policy 111
encr 3des
authentication pre-share
group 2
!
crypto isakmp key PASSWORD address PEER.PUBLIC.ADDRESS no-xauth
!
crypto isakmp keepalive 10 periodic
!
crypto ipsec transform-set VALAMI esp-3des esp-md5-hmac
!
crypto map VALAMI 112 ipsec-isakmp
set peer PEER.PUBLIC.ADDRESS
set transform-set VALAMI
match address 112
!
interface Tunnel1
description ---GRE Tunnel to peer---
ip address 192.168.0.2 255.255.255.252
ip mtu 1476 !(Nálam PPPoE, DHCP-él MTU=1500, más értéket lehet állítani=+8 byte)
ip tcp adjust-mss 1374
load-interval 30
tunnel source Loopback0
tunnel destination PEER.PUBLIC.ADDRESS
!
!
interface FastEthernet0
description --- UPLINK ---
ip address dhcp !ugye
crypto map VALAMI
!
access-list 112 permit ip host 192.168.255.255 host PEER.PUBLIC.ADDRESS
!
ip sla 1
icmp-echo 192.168.0.1 source-ip LAN_IP_ADDRESS
frequency 30
ip sla schedule 1 life forever start-time now

##########################################################################
#openswan /etc/ipsec.conf
#
config setup
nat_traversal=yes
oe=off
#
conn TO-DYNAMIC-CISCO
type= tunnel
authby= secret
left= (PEER.PUBLIC.ADDRESS a ciscoban)
leftnexthop= %defaultroute
right= %any
rightsubnet= 192.168.255.255/32
rightnexthop= %defaultroute
esp= 3des-md5
keyexchange= ike
pfs= no
auto= start
##########################################################################
#/etc/network/gre-tunnels-up
ip tunnel add NAME mode ipip remote 192.168.255.255 local PEER.PUBLIC.ADDRESS ttl 255
ip link set NAME up
ip addr add 192.168.0.1/30 dev NAME
ip route add REMOTE_LAN_SUBNET dev NAME
##########################################################################
#etc/network/gre-tunnels-down
#!/bin/bash
ip tunnel del NAME
##########################################################################
#etc/network/interfaces
auto eth0.1111
iface eth0.1111 inet static
address PEER.PUBLIC.ADDRESS
netmask 255.255.255.x
gateway GW
post-up /etc/network/gre-tunnels-up
pre-down /etc/network/gre-tunnels-down