Qual è il modo corretto di configurare una VPN IPSEC da sito a sito e una VLAN di accesso remoto sulla stessa interfaccia esterna? Cisco 891 ISR

11

Sarei felice di pubblicare la configurazione o i registri come riferimento, ma ho problemi a far funzionare la mia VPN di accesso remoto sulla stessa interfaccia del mio sito per VPN IPSEC. Sto usando una mappa crittografica dinamica per l'accesso remoto VPN ma sembra che non stia tentando di fare la prima fase. Qualcuno sarebbe in grado di darmi un semplice esempio di configurazione su cui lavorare?

MODIFICARE:

Ecco un dump del debug che non riesce dopo l'implementazione dei profili ISAKMP per suggerimento di seguito. Mi viene richiesto il nome utente e la password ma poi scade. Sembra che l'autorizzazione isakmp non riesca. Attualmente l'autorizzazione isakmp è appena impostata sull'elenco utenti locale. Questo sembra essere il problema per voi ragazzi?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Vedo anche questi errori quando eseguo il debug di isakmp e errori ipsec e tiro i log:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
cisco  vpn  cisco-ios-15  cisco-isr  ipsec 
Bill Gurling
fonte
2
Quale versione principale di IOS stai eseguendo? Meglio menzionarlo e taggarlo con cisco-ios-15 o altro.
Craig Constantine,
Sei stato in grado di far funzionare uno di questi due componenti in modo indipendente? Comincerei da lì, assicurandomi che la configurazione indipendente per ciascuno sia verificata prima di combinarli.
Jeremy Stretch
Cosa intendi per VLAN di accesso remoto? Comprendo che stai cercando di configurare e abilitare una VPN IPSEC applicando una mappa crittografica a un'interfaccia, ma questa è una VLAN di accesso remoto?
jwbensley,
Scusa, dovrei dire VPN, lo riparerò. Li avevo entrambi funzionanti, ma a questo punto funziona solo il VPN da sito a sito. ISR è attualmente in esecuzione 15.1.
Bill Gurling,
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

6

Fare uno scatto al buio qui perché ci sono molte variabili che non hai menzionato. Aggiorna la domanda per includere le tecnologie specifiche che stai utilizzando, la tua configurazione currnet e l'errore che stai riscontrando. Ma se ad esempio stai usando DMVPN + EZVPN, probabilmente dovrai usare portachiavi e profili ISAKMP multipli. Dal momento che punti problemi di fase 1, lo controllerei. I seguenti collegamenti forniscono configurazioni di riferimento per DMVPN e EZVPN e L2L + EZVPN . Dovresti essere in grado di modificare in base alle tue esigenze.

Ecco un riferimento al profilo ISAKMP per alcune letture dell'ora di pranzo.

smithiana
fonte
Ho aggiornato il mio post originale con alcune delle registrazioni che vedo quando saltano fuori. Dove ti sembra la rottura? Attualmente utilizzando i profili isakmp.
Bill Gurling,
1

Senza vedere quale sia la tua configurazione, questo esempio non sarà del tutto accurato. Tuttavia, ecco come configurerei il sito A. Il sito B sarebbe simile, meno i pezzi VPN remoti e invertendo i pezzi sito A e sito B. Qualunque cosa tra parentesi deve essere compilata con le tue informazioni.

Inoltre, per questo esempio particolare, la VPN remota sarebbe attraverso il client VPN Cisco e non il client AnyConnect. Anche il client VPN ShrewSoft funziona.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
fonte
Grazie mille, lo confronterò con la mia configurazione e vedrò dove si trova il guasto. Penso che la mia configurazione sia probabilmente per lo più corretta, ma sicuramente non ho le voci ACL lì, quindi potrebbe essere il mio problema. Apprezzo la risposta.
Bill Gurling,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.