Apa cara yang tepat untuk mengonfigurasi Situs ke Situs IPSEC VPN dan VLAN Akses Jarak Jauh pada antarmuka eksternal yang sama? Cisco 891 ISR

11

Saya akan senang memposting konfigurasi atau log untuk referensi tetapi saya mengalami kesulitan mendapatkan VPN akses jarak jauh saya bekerja pada antarmuka yang sama dengan situs saya ke situs IPSEC VPN. Saya menggunakan peta kripto dinamis untuk vpn akses jarak jauh tetapi sepertinya gagal mencoba melakukan fase satu. Adakah yang bisa memberi saya contoh konfigurasi sederhana untuk bekerja?

EDIT:

Berikut adalah dump debug dari itu gagal setelah menerapkan profil ISAKMP per saran di bawah ini. Saya diminta untuk memasukkan nama pengguna dan kata sandi tetapi kemudian waktu habis. Sepertinya otorisasi isakmp gagal. Saat ini otorisasi isakmp hanya disetel ke daftar pengguna lokal. Apakah itu tampaknya menjadi masalah bagi kalian?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Saya juga melihat kesalahan ini ketika saya melakukan debug kesalahan isakmp dan ipsec dan menarik log:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
cisco vpn cisco-ios-15 cisco-isr ipsec Bill Gurling
sumber
2
Apa rilis utama iOS yang Anda jalankan? Lebih baik menyebutkannya dan beri tag dengan cisco-ios-15 atau apa pun.
Craig Constantine
Apakah Anda bisa mendapatkan salah satu / kedua komponen ini berfungsi dengan benar secara mandiri? Saya akan mulai dari sana, memastikan konfigurasi independen untuk masing-masing diverifikasi sebelum menggabungkannya.
Jeremy Stretch
Apa yang Anda maksud dengan VLAN Akses Jarak Jauh? Saya mengerti Anda mencoba mengonfigurasi dan mengaktifkan VPN IPSEC dengan menerapkan peta kripto ke antarmuka, tetapi apakah itu VLAN Akses Jarak Jauh?
jwbensley
Maaf, seharusnya mengatakan VPN, saya akan memperbaikinya. Saya memang memiliki keduanya berfungsi tetapi pada saat ini hanya situs ke situs VPN yang berfungsi. ISR menjalankan 15.1 sekarang.
Bill Gurling
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

6

Mengambil bidikan dalam gelap di sini karena ada banyak variabel yang tidak Anda sebutkan. Harap perbarui pertanyaan untuk menyertakan teknologi spesifik yang Anda gunakan, konfigurasi currnet Anda, dan kesalahan yang Anda dapatkan. Tetapi jika Anda menggunakan misalnya, DMVPN + EZVPN, Anda mungkin harus menggunakan keyrings dan beberapa profil ISAKMP. Karena Anda menunjuk ke masalah fase 1 saya akan memeriksanya. Tautan berikut memberikan konfigurasi referensi untuk DMVPN dan EZVPN dan L2L + EZVPN . Anda harus dapat memodifikasi sesuai dengan kebutuhan Anda.

Berikut ini adalah referensi Profil ISAKMP untuk bacaan makan siang.

pandai besi
sumber
Saya telah memperbarui posting asli saya dengan beberapa penebangan yang saya lihat ketika craps keluar. Di mana Anda melihat kerusakannya? Saat ini menggunakan profil isakmp.
Bill Gurling
1

Tanpa melihat pengaturan Anda, contoh ini tidak akan sepenuhnya akurat. Namun di sini adalah bagaimana saya akan mengkonfigurasi Situs A. Situs B akan serupa, minus potongan VPN jarak jauh dan membalikkan Situs A dan potongan Situs B. Apa pun yang ada dalam tanda kurung harus diisi dengan informasi Anda sendiri.

Juga, untuk contoh khusus ini, VPN jarak jauh akan melalui Cisco VPN Client dan bukan Klien AnyConnect. ShrewSoft VPN Client juga berfungsi.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
sumber
Terima kasih banyak, saya akan membandingkan ini dengan konfigurasi saya dan melihat di mana kerusakannya. Saya pikir konfigurasi saya mungkin sebagian besar benar tetapi saya pasti tidak memiliki entri ACL di sana sehingga mungkin masalah saya. Hargai responsnya.
Bill Gurling