Wie kann ein Site-to-Site-IPSEC-VPN und ein RAS-VLAN auf derselben externen Schnittstelle ordnungsgemäß konfiguriert werden? Cisco 891 ISR

10

Ich würde gerne die Konfiguration oder die Protokolle als Referenz veröffentlichen, aber ich habe Probleme, mein RAS-VPN auf derselben Schnittstelle wie mein Site-to-Site-IPSEC-VPN zum Laufen zu bringen. Ich verwende eine dynamische Kryptokarte für den Remotezugriffs-VPN, aber es sieht so aus, als würde der Versuch, Phase eins durchzuführen, fehlschlagen. Könnte mir jemand eine einfache Beispielkonfiguration geben, mit der ich arbeiten kann?

BEARBEITEN:

Hier ist ein Debug-Dump, der nach der Implementierung von ISAKMP-Profilen gemäß dem folgenden Vorschlag fehlschlägt. Ich werde aufgefordert, Benutzername und Passwort einzugeben, aber dann tritt eine Zeitüberschreitung auf. Es sieht so aus, als ob die isakmp-Autorisierung fehlschlägt. Derzeit ist die isakmp-Autorisierung nur auf die lokale Benutzerliste festgelegt. Scheint das das Problem für euch zu sein?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Ich sehe diese Fehler auch, wenn ich isakmp- und ipsec-Fehler debugge und die Protokolle abrufe:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
Bill Gurling
quelle
2
Welche IOS-Hauptversion verwenden Sie? Am besten erwähnen Sie das und markieren es mit cisco-ios-15 oder was auch immer.
Craig Constantine
Konnten Sie eine oder beide dieser Komponenten unabhängig voneinander ordnungsgemäß funktionieren lassen? Ich würde dort anfangen und sicherstellen, dass die unabhängige Konfiguration für jede überprüft wird, bevor ich sie kombiniere.
Jeremy Stretch
Was meinen Sie mit einem RAS-VLAN? Ich verstehe, dass Sie versuchen, ein IPSEC-VPN zu konfigurieren und zu aktivieren, indem Sie eine Krypto-Map auf eine Schnittstelle anwenden. Aber das ist ein RAS-VLAN?
Jwbensley
Sorry, soll VPN sagen, ich werde es reparieren. Ich hatte beide funktionsfähig, aber zu diesem Zeitpunkt funktioniert nur das Site-to-Site-VPN. ISR läuft gerade mit 15.1.
Bill Gurling
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

6

Machen Sie hier eine Aufnahme im Dunkeln, weil es viele Variablen gibt, die Sie nicht erwähnt haben. Bitte aktualisieren Sie die Frage, um die spezifischen Technologien, die Sie verwenden, Ihre Currnet-Konfiguration und den Fehler, den Sie erhalten, einzuschließen. Wenn Sie beispielsweise DMVPN + EZVPN verwenden, müssen Sie wahrscheinlich Schlüsselringe und mehrere ISAKMP-Profile verwenden. Da Sie auf Probleme der Phase 1 verweisen, würde ich das überprüfen. Die folgenden Links enthalten Referenzkonfigurationen für DMVPN und EZVPN sowie L2L + EZVPN . Sie sollten in der Lage sein, Änderungen an Ihre Bedürfnisse anzupassen.

Hier ist eine ISAKMP-Profilreferenz zum Lesen zur Mittagszeit.

Schmied
quelle
Ich habe meinen ursprünglichen Beitrag mit einigen Protokollen aktualisiert, die ich sehe, wenn sie ausfallen. Wo sieht es für Sie aus? Derzeit werden isakmp-Profile verwendet.
Bill Gurling
1

Ohne zu sehen, was Ihr Setup ist, wird dieses Beispiel nicht ganz genau sein. Hier ist jedoch, wie ich Site A konfigurieren würde. Site B wäre ähnlich, abzüglich der Remote-VPN-Teile und der Umkehrung von Site A- und Site B-Teilen. Alles in Klammern muss mit Ihren eigenen Informationen ausgefüllt werden.

In diesem Beispiel würde das Remote-VPN über den Cisco VPN-Client und nicht über den AnyConnect-Client erfolgen. ShrewSoft VPN Client funktioniert auch.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
quelle
Vielen Dank, ich werde dies mit meiner Konfiguration vergleichen und sehen, wo die Aufschlüsselung ist. Ich denke, meine Konfiguration ist wahrscheinlich größtenteils richtig, aber ich habe definitiv keine ACL-Einträge darin, so dass dies möglicherweise mein Problem ist. Schätzen Sie die Antwort.
Bill Gurling