Який правильний спосіб налаштувати VPN для веб-сайту IPSEC і VLAN з віддаленим доступом на одному зовнішньому інтерфейсі? Cisco 891 ISR

11

Я би радий розмістити конфігурацію або журнали для довідок, але у мене виникають проблеми з тим, щоб VPN для віддаленого доступу працював на тому ж інтерфейсі, що і мій сайт, на сайт IPSEC VPN. Я використовую динамічну криптографічну карту для віддаленого доступу vpn, але схоже, що це не вдається спробі зробити першу фазу. Хтось міг би дати мені простий приклад конфігурації для роботи?

Редагувати:

Ось помилка налагодження з нього не вдається після впровадження профілів ISAKMP за пропозицією нижче. Мені запропоновано ввести ім’я користувача та пароль, але він вичерпується. Схоже, авторизація isakmp не працює. В даний час авторизація isakmp просто встановлена ​​в локальний список користувачів. Це, здається, є проблемою для вас, хлопці?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Я також бачу ці помилки, коли я налагоджую помилки isakmp та ipsec та витягую журнали:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
cisco  vpn  cisco-ios-15  cisco-isr  ipsec 
Білл Гурлінг
джерело
2
Який основний реліз IOS ви виконуєте? Найкраще це згадати і позначити cisco-ios-15 чи будь-яким іншим.
Крейг Костянтин
Чи вдалося вам змусити будь-який / обидва ці компоненти функціонувати належним чином незалежно? Я б почав там, переконайтесь, що незалежна конфігурація для кожного перевірена перед їх комбінуванням.
Джеремі Стретч
Що ви маєте на увазі під VLAN віддаленого доступу? Я розумію, ви намагаєтеся налаштувати та включити VPN IPSEC, застосувавши до інтерфейсу криптовалюту, але це VLAN віддаленого доступу?
jwbensley
Вибачте, мав би сказати VPN, я це виправлю. У мене вони обидва функціонували, але на даний момент працює лише сайт на VPN сайту. ISR працює зараз 15.1.
Білл Гурлінг
Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:

6

Знімаючи тут у темряві, тому що існує багато змінних, про які ви не згадували. Будь ласка, оновіть питання, щоб включити конкретні технології, які ви використовуєте, конфігурацію currnet та помилку, яку ви отримуєте. Але якщо ви використовуєте, наприклад, DMVPN + EZVPN, вам, ймовірно, доведеться використовувати брелоки для ключів та кілька профілів ISAKMP. Оскільки ви вказуєте на питання фази 1, я би це перевірив. Наступні посилання дають посилання конфігурацій для DMVPN та EZVPN та L2L + EZVPN . Ви повинні мати змогу модифікувати відповідно до ваших потреб.

Ось посилання на профіль ISAKMP для читання в обідній час.

кузня
джерело
Я оновив свій оригінальний пост з деякими журналами, які я бачу, коли він виходить. Звідки це виглядає для вас поломка? В даний час використовуються профілі isakmp.
Білл Гурлінг
1

Не бачачи, що таке налаштування, цей приклад не буде повністю точним. Однак ось як я налаштував сайт A. Сайт B був би подібним, за вирахуванням віддалених фрагментів VPN та реверсування фрагментів сайту A та сайту B. Все, що в дужках, має бути заповнене вашою власною інформацією.

Також у цьому конкретному прикладі віддалений VPN здійснювався б через клієнт Cisco VPN, а не клієнт AnyConnect. ShrewSoft VPN Client також працює.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
джерело
Велике спасибі, я порівняю це з моїм конфігурацією і побачу, де знаходиться розбивка. Я думаю, що моя конфігурація, мабуть, здебільшого права, але я точно не маю записів ACL, щоб це моє питання. Оцініть відповідь.
Білл Гурлінг
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.