วิธีที่เหมาะสมในการตั้งค่า Site เป็น Site IPSEC VPN และ Remote Access VLAN บนอินเทอร์เฟซภายนอกเดียวกันคืออะไร Cisco 891 ISR


11

ฉันยินดีที่จะโพสต์การกำหนดค่าหรือบันทึกเพื่อการอ้างอิง แต่ฉันมีปัญหาในการรับ VPN การเข้าถึงระยะไกลของฉันทำงานบนอินเทอร์เฟซเดียวกันกับเว็บไซต์ของฉันไปยังไซต์ IPSEC VPN ฉันใช้แผนที่ crypto แบบไดนามิกสำหรับการเข้าถึงระยะไกล VPN แต่ดูเหมือนว่ามันล้มเหลวในการพยายามทำเฟสที่หนึ่ง ทุกคนจะสามารถให้ตัวอย่างง่ายๆให้ฉันทำงานออกจาก?

แก้ไข:

นี่คือการถ่ายโอนข้อมูลดีบักจากความล้มเหลวหลังจากใช้โปรไฟล์ ISAKMP ตามคำแนะนำด้านล่าง ฉันได้รับแจ้งชื่อผู้ใช้และรหัสผ่าน แต่หมดเวลาแล้ว ดูเหมือนว่าการอนุญาต isakmp ล้มเหลว การอนุญาต isakmp ปัจจุบันตั้งค่าเป็นรายการผู้ใช้ท้องถิ่น ดูเหมือนจะเป็นปัญหาสำหรับพวกคุณเหรอ?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

ฉันยังเห็นข้อผิดพลาดเหล่านี้เมื่อฉันดีบักข้อผิดพลาด isakmp และ ipsec และดึงล็อก:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.

2
คุณกำลังเปิดตัว IOS รุ่นใด ดีที่สุดที่จะพูดถึงและติดแท็กด้วยcisco-ios-15หรืออะไรก็ตาม
Craig Constantine

คุณสามารถทำให้ส่วนประกอบทั้งสองอย่างนี้ทำงานอย่างอิสระได้หรือไม่? ฉันจะเริ่มต้นที่นั่นเพื่อให้แน่ใจว่าการกำหนดค่าที่เป็นอิสระสำหรับแต่ละการตรวจสอบก่อนที่จะรวม
Jeremy Stretch

Remote Access VLAN หมายถึงอะไร ฉันเข้าใจว่าคุณกำลังพยายามกำหนดค่าและเปิดใช้งาน IPSec VPN โดยใช้แผนที่ crypto กับอินเตอร์เฟส แต่นั่นคือ Remote Access VLAN หรือไม่
jwbensley

ขออภัยควรจะพูดว่า VPN ฉันจะแก้ไข ฉันทำให้ทั้งคู่ทำงานได้ แต่ ณ จุดนี้เฉพาะไซต์ไปยังไซต์ VPN ที่ใช้งานได้ ISR กำลังทำงาน 15.1 ในขณะนี้
Bill Gurling

คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:


6

ถ่ายภาพในที่มืดที่นี่เพราะมีตัวแปรมากมายที่คุณไม่ได้พูดถึง โปรดอัปเดตคำถามเพื่อรวมเทคโนโลยีเฉพาะที่คุณใช้การกำหนดค่า currnet ของคุณและข้อผิดพลาดที่คุณได้รับ แต่ถ้าคุณใช้เช่น DMVPN + EZVPN คุณอาจต้องใช้ keyrings และโปรไฟล์ ISAKMP หลายโปรไฟล์ เนื่องจากคุณชี้ไปที่ปัญหาระยะที่ 1 ฉันจะตรวจสอบว่า ลิงค์ต่อไปนี้ให้ configs อ้างอิงสำหรับDMVPN และ EZVPNและL2L + EZVPN คุณควรจะสามารถปรับเปลี่ยนให้เหมาะกับความต้องการของคุณ

นี่คือข้อมูลอ้างอิงโปรไฟล์ ISAKMPสำหรับการอ่านอาหารกลางวัน


ฉันได้อัปเดตโพสต์ดั้งเดิมของฉันด้วยการบันทึกบางอย่างที่ฉันเห็นเมื่อมันเต็มไปหมด คุณรู้สึกอย่างไรกับความล้มเหลว? กำลังใช้โปรไฟล์ isakmp
Bill Gurling

1

โดยไม่เห็นว่าการตั้งค่าของคุณคือตัวอย่างนี้จะไม่ถูกต้องทั้งหมด อย่างไรก็ตามนี่คือวิธีที่ฉันจะกำหนดค่าไซต์ A ไซต์ B จะคล้ายกันลบส่วน VPN ระยะไกลและย้อนกลับไซต์ A และไซต์ B เป็นชิ้น ๆ สิ่งใดในวงเล็บต้องกรอกด้วยข้อมูลของคุณเอง

นอกจากนี้สำหรับตัวอย่างนี้ VPN ระยะไกลจะผ่านไคลเอนต์ Cisco VPN ไม่ใช่ไคลเอนต์ AnyConnect ไคลเอนต์ ShrewSoft VPN ยังใช้งานได้

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload

ขอบคุณมากฉันจะเปรียบเทียบสิ่งนี้กับการกำหนดค่าของฉันและดูว่าการสลายอยู่ที่ไหน ฉันคิดว่าการกำหนดค่าของฉันน่าจะเหมาะสมที่สุด แต่แน่นอนฉันไม่มีรายการ ACL ในนั้นดังนั้นอาจเป็นปัญหาของฉัน ขอบคุณคำตอบ
Bill Gurling

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.