URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21953
[ Назад ]

Исходное сообщение
"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено AlexLine , 22-Ноя-10 19:28

Добрый вечер Коллеги!
Столкнулся с следующей проблемой (самостоятельно решить не получается):
Центральный офис: 10.0.4.0/24 - Cisco 871
Удаленный Офис: 10.0.5.0/24 - Cisco 881
В центральном офисе был настроен Remote VPN Access для Cisco VPN Клиентов.
Добавляю впн лан-2-лан статический, соответственно, удаляю старую криптомапу создаю 2 новые, объединяю, вешаю на внешний интерфейс, указываю пиры, убираю НАТ с внутренних подсетей. (конфиги приведены ниже).
Результат - LAN-2-LAN - не работает,
sh crypto session detail (с терминирующей циски в центральном офисе) говорит следующее:
Interface: FastEthernet4
Session status: DOWN
Peer: 172.19.124.199 port 500 fvrf: (none) ivrf: (none)
      Desc: (none)
      Phase1_id: (none)
  IPSEC FLOW: permit ip 10.0.4.0/255.255.255.0 10.0.5.0/255.255.255.0
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
sh crypto ipsec sa (с нее же)
#sh crypto ipsec sa
interface: FastEthernet4
    Crypto map tag: clientmap, local addr 172.18.124.159
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.0.4.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.0.5.0/255.255.255.0/0/0)
   current_peer 85.21.181.194 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 172.18.124.159, remote crypto endpt.: 172.19.124.199
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x0(0)
Конфиг Циски с ЦО (принимающая подключение):
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
hostname rtr01
boot-start-marker
boot-end-marker
no logging console
enable secret 5 *хэш*
aaa new-model
aaa authentication login userlist local
aaa authorization network vpn-clients local
aaa session-id common
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.16.1 10.0.16.50
ip dhcp pool WiFi
   network 10.0.16.0 255.255.255.0
   default-router 10.0.16.1
   dns-server 10.0.4.6
no ip domain lookup
ip name-server 10.0.4.6
username (список юзаков с паролями)
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key *ключ* address 172.19.124.199 no-xauth
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60

crypto isakmp client configuration group vpn-clients
key *ключ*
dns 10.0.4.6
domain *мойдомен*.com
pool dynpool
acl 150
netmask 255.255.255.0
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map clientmap client authentication list userlist
crypto map clientmap isakmp authorization list vpn-clients
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
archive
log config
  hidekeys
interface FastEthernet0
interface FastEthernet1
interface FastEthernet2
switchport access vlan 2
interface FastEthernet3
switchport access vlan 2
interface FastEthernet4
description -=Internet=-
ip address 172.18.124.159 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map clientmap
interface Vlan1
description -=Internal Network=-
ip address 10.0.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface Vlan2
description -=WiFi=-
ip address 10.0.16.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip local pool dynpool 10.0.18.20 10.0.18.40
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.18.124.158
no ip http server
no ip http secure-server
ip nat inside source list nat1 interface FastEthernet4 overload
ip nat inside source list nat10 interface FastEthernet4 overload
ip nat inside source list nat15 interface FastEthernet4 overload
ip access-list extended nat1
deny   ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit ip 10.0.4.0 0.0.0.255 any
ip access-list extended nat10
deny   ip 10.0.16.0 0.0.0.255 10.0.18.0 0.0.0.255
permit ip 10.0.16.0 0.0.0.255 any
ip access-list extended nat15
deny   ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255
permit ip 10.0.4.0 0.0.0.255 any
access-list 100 permit ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255
access-list 150 permit ip 10.0.4.0 0.0.0.255 any
access-list 150 permit ip 10.0.16.0 0.0.0.255 any
snmp-server community public RO
end
rtr01#
Конфиг циски Доп Офиса (подключающаяся):
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname rtr02
boot-start-marker
boot system flash c880data-universalk9-mz.124-24.T.bin
boot-end-marker
logging message-counter syslog
aaa new-model
aaa session-id common
memory-size iomem 10
ip source-route
ip dhcp excluded-address 10.0.5.1 10.0.5.70
ip dhcp pool dop
   network 10.0.5.0 255.255.255.0
   dns-server 10.0.4.6
   default-router 10.0.5.1
ip cef
ip domain name *мойдомен*.com
no ipv6 cef
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key *ключ* address 172.18.124.159
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set transform-2
match address 100
archive
log config
  hidekeys
interface FastEthernet0
interface FastEthernet1
interface FastEthernet2
interface FastEthernet3
interface FastEthernet4
ip address 172.19.124.199 255.255.255.252
ip broadcast-address 0.0.0.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map statmap
!
interface Vlan1
description -=internal LAN=-
ip address 10.0.5.1 255.255.255.0
ip broadcast-address 10.0.5.255
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.19.124.198
no ip http server
no ip http secure-server
ip nat inside source list nat15 interface FastEthernet4 overload
ip access-list extended nat15
deny   ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255
permit ip 10.0.5.0 0.0.0.255 any
access-list 100 permit ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255
control-plane
exception data-corruption buffer truncate
scheduler max-task-time 5000
end
Собственно говоря вооот. Коллеги, помогите, пожалйуста разобраться в ситуации.
PS: Удаленные VPN Clients (динамическая криптомапа) - нормально подключаются.

Содержание

LAN-2-LAN с агрегированием Remote VPN Clients,j_vw, 00:19 , 23-Ноя-10
- LAN-2-LAN с агрегированием Remote VPN Clients,AlexLine, 00:23 , 23-Ноя-10
  - LAN-2-LAN с агрегированием Remote VPN Clients,j_vw, 00:50 , 23-Ноя-10
    - LAN-2-LAN с агрегированием Remote VPN Clients,AlexLine, 01:03 , 23-Ноя-10
      - LAN-2-LAN с агрегированием Remote VPN Clients,j_vw, 01:20 , 23-Ноя-10
        
        LAN-2-LAN с агрегированием Remote VPN Clients,AlexLine, 01:28 , 23-Ноя-10
        
        LAN-2-LAN с агрегированием Remote VPN Clients,j_vw, 01:41 , 23-Ноя-10
        
        LAN-2-LAN с агрегированием Remote VPN Clients,j_vw, 02:05 , 23-Ноя-10
        
        LAN-2-LAN с агрегированием Remote VPN Clients,AlexLine, 11:12 , 23-Ноя-10
        
        LAN-2-LAN с агрегированием Remote VPN Clients,AlexLine, 00:01 , 25-Ноя-10

Сообщения в этом обсуждении

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено j_vw , 23-Ноя-10 00:19

Ну....
Букв много... Не разберу...
Но сыграть в "найдите 10 отличий" попробую... ;)

<<Результат - LAN-2-LAN - не работает,>>
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
<<Конфиг циски Доп Офиса (подключающаяся): >>
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set transform-2
match address 100

Comments?!!

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено AlexLine , 23-Ноя-10 00:23

>[оверквотинг удален]
> set peer 172.19.124.199
> set transform-set transform-2
> match address 100
> crypto map clientmap 10 ipsec-isakmp dynamic dynmap
> <<Конфиг циски Доп Офиса (подключающаяся): >>
> crypto map statmap 10 ipsec-isakmp
> set peer 172.18.124.159
> set transform-set transform-2
> match address 100
> Comments?!!
ну так для статической мапы то создан отдельный 10й криптомап на терминирующем роутере:
crypto isakmp policy 10
hash md5
authentication pre-share
и вот ответная на spoke так сказать:
rypto map statmap 10 ipsec-isakmp
> set peer 172.18.124.159
> set transform-set transform-2
> match address 100

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено j_vw , 23-Ноя-10 00:50

Так... Народ недогадливый ;)
Уточняю вопрос ;)
<<Результат - LAN-2-LAN - не работает,>>
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
<<Конфиг циски Доп Офиса (подключающаяся): >>
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено AlexLine , 23-Ноя-10 01:03

> Так... Народ недогадливый ;)
> Уточняю вопрос ;)
> <<Результат - LAN-2-LAN - не работает,>>
> crypto map clientmap 1 ipsec-isakmp
> set peer 172.19.124.199
> <<Конфиг циски Доп Офиса (подключающаяся): >>
> crypto map statmap 10 ipsec-isakmp
> set peer 172.18.124.159
Так, или я уже вообще что-то очень не понимаю, либо...
у меня на роутере в ЦО 2 криптомапы:
одна динамическая - с большим приоритетом,
и одна статическая - с меньшим...
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
так для динамических впн клиентов ипользуется dynmap
для статических:
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
Которая объединена в crypto map clientmap 10
вот результат вывода sh crypto isakmp policy:
(кстати совпадает с выводом на 2м роутере)
Global IKE policy
Protection suite of priority 1
        encryption algorithm:   Three key triple DES
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit
Protection suite of priority 10
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Если что-то не понимаю, прошу не закидывать помидорами.
Что не так ? :wall:

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено j_vw , 23-Ноя-10 01:20

Прошу пощения...
Как и говорил "много букв"..
"Выжимка" конфига:
Центральный офис: 10.0.4.0/24 - Cisco 871
Удаленный Офис: 10.0.5.0/24 - Cisco 881
Конфиг Циски с ЦО (принимающая подключение):

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key *ключ* address 172.19.124.199 no-xauth
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60

crypto isakmp client configuration group vpn-clients
key *ключ*
pool dynpool
acl 150
netmask 255.255.255.0
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map clientmap client authentication list userlist
crypto map clientmap isakmp authorization list vpn-clients
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

interface FastEthernet4
ip address 172.18.124.159 255.255.255.0
crypto map clientmap
interface Vlan1
description -=Internal Network=-
ip address 10.0.4.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 172.18.124.158
access-list 100 permit ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255

rtr01#
ip dhcp pool dop
network 10.0.5.0 255.255.255.0
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key *ключ* address 172.18.124.159
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set transform-2
match address 100
interface FastEthernet4
ip address 172.19.124.199 255.255.255.252
!
interface Vlan1
description -=internal LAN=-
ip address 10.0.5.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.19.124.198
access-list 100 permit ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255

Дайте, для начала, debug crypto isakmp c ЦО в момент подключения....
У меня по другому... Если не получится, дам свой вариант....Но, у меня с туннелями....(Статик, DMVPN + VPNClient)

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено AlexLine , 23-Ноя-10 01:28

> Дайте, для начала, debug crypto isakmp c ЦО в момент подключения....
А вот нет дебага ((
Не стучится вообще циска из доп офиса в ХедОфис (((
дебаг включал на стороне хед офиса:
debug crypto isakmp
debug crypto ipsec
debug crypto engine
загадочно, блин...

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено j_vw , 23-Ноя-10 01:41

Идиотский вопрос....
ter mon в "головном" включали?
sh logging в ЦО что рассказывает?
Опубликуйте конфиг, при котором у вас связь между офисами работает....
Или, оно никогда не работало?

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено j_vw , 23-Ноя-10 02:05

Не хватает рутинга между внутренними сетями...
У вас, кошки, похоже, не знают куда пакет слать...
Так, ладно, фик с ним....
Давайте попробуем другой вариант (с GRE):

"Main"
interface Tunnel10
description TO REMOTE
ip address 10.255.140.1 255.255.255.252
ip mtu 1400
tunnel source 172.18.124.159
tunnel destination 172.19.124.199
ip route 10.0.5.0 255.255.255.0 10.255.140.2
"Remote"

interface Tunnel10
description TO MAIN
ip address 10.255.140.2 255.255.255.252
ip mtu 1400
tunnel source 172.19.124.199
tunnel destination 172.18.124.159

ip route 10.0.4.0 255.255.255.0 10.255.140.1

"Main"
ping 10.255.140.2
ping 10.0.5.1 source 10.0.4.1
"Remote"
ping 10.255.140.1
ping 10.0.4.1 source 10.0.5.1

Если все проходит, будем "прикручивать" шифрование.....

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено AlexLine , 23-Ноя-10 11:12

> Не хватает рутинга между внутренними сетями...
> У вас, кошки, похоже, не знают куда пакет слать...
> Так, ладно, фик с ним....
> Давайте попробуем другой вариант (с GRE):
Отвечаю на предыдущее сообщение - тер мон ключал в головном,
шоу логгинг говорит "Хозин, все ок, все запишем дорогой" - при этом даже позывов на коннект со стороны удаленной циски не наблюдается, но стоит начать подключение из вне циско впн клиентом - логи сыпятся как из рога изобилия...
По поводу приведенного Вами конфига:
у меня на одном интерфейсе третьего уровня должен быть и нат (для доступа в инет из внутренней сети) и впн Лан-2-Лан (статиченская мапа) и FromAny-2-Lan (динамическая мапа).
других интерфейсов так чтобы вот интерфейс для динамической мапы, вот интерефейс для статической нет.
вот такая вот ситуевина, Коллега.

"LAN-2-LAN с агрегированием Remote VPN Clients"
Отправлено AlexLine , 25-Ноя-10 00:01

Проблема так и не побеждается... (((
Коллеги, посмотрите конфиг плз, мб вы найдете где факап.