Cách thích hợp để định cấu hình Trang web thành VPN IPSEC và Vlan truy cập từ xa trên cùng một giao diện bên ngoài là gì? Cisco 891 ISR


10

Tôi rất vui khi đăng cấu hình hoặc nhật ký để tham khảo nhưng tôi gặp sự cố khi VPN truy cập từ xa của tôi hoạt động trên cùng giao diện với trang web của tôi tới IPSEC VPN. Tôi đang sử dụng bản đồ mật mã động cho vpn truy cập từ xa nhưng có vẻ như nó không thực hiện được giai đoạn một. Bất cứ ai cũng có thể cho tôi một cấu hình ví dụ đơn giản để làm việc không?

BIÊN TẬP:

Đây là một bản sửa lỗi từ nó không thành công sau khi triển khai các cấu hình ISAKMP cho mỗi đề xuất bên dưới. Tôi được nhắc nhập tên người dùng và mật khẩu nhưng sau đó nó hết thời gian. Có vẻ như ủy quyền isakmp đang thất bại. Hiện tại ủy quyền isakmp chỉ được đặt vào danh sách người dùng cục bộ. Điều đó dường như là vấn đề với các bạn?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Tôi cũng thấy các lỗi này khi tôi gỡ lỗi lỗi isakmp và ipsec và kéo các bản ghi:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.

2
Phiên bản chính nào của iOS bạn đang chạy? Tốt nhất để đề cập đến điều đó và gắn thẻ với cisco-ios-15 hoặc bất cứ điều gì.
Craig Constantine

Bạn đã có thể làm cho một trong hai hoặc cả hai thành phần này hoạt động độc lập chưa? Tôi sẽ bắt đầu ở đó, đảm bảo cấu hình độc lập cho từng được xác minh trước khi kết hợp chúng.
Jeremy Kéo dài

Bạn có ý nghĩa gì với Vlan truy cập từ xa? Tôi hiểu rằng bạn đang cố gắng định cấu hình và kích hoạt VPN IPSEC bằng cách áp dụng bản đồ mật mã cho giao diện, nhưng đó có phải là Vlan truy cập từ xa không?
jwbensley

Xin lỗi, phải nói VPN, tôi sẽ sửa nó. Tôi đã có cả hai chức năng nhưng tại thời điểm này chỉ có VPN trang web hoạt động. ISR đang chạy 15.1 ngay bây giờ.
Bill Gurling

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


6

Chụp ảnh trong bóng tối ở đây vì có rất nhiều biến bạn không đề cập đến. Vui lòng cập nhật câu hỏi để bao gồm các công nghệ cụ thể bạn đang sử dụng, cấu hình dòng điện của bạn và lỗi bạn đang gặp phải. Nhưng nếu bạn đang sử dụng, ví dụ DMVPN + EZVPN, bạn có thể sẽ phải sử dụng dây móc khóa và nhiều cấu hình ISAKMP. Vì bạn chỉ ra vấn đề giai đoạn 1 nên tôi sẽ kiểm tra xem. Các liên kết sau đây cung cấp cấu hình tham chiếu cho DMVPN và EZVPNL2L + EZVPN . Bạn sẽ có thể sửa đổi cho phù hợp với nhu cầu của bạn.

Đây là tài liệu tham khảo Hồ sơ ISAKMP để đọc sách vào giờ ăn trưa.


Tôi đã cập nhật bài viết gốc của mình với một số nhật ký mà tôi thấy khi nó xuất hiện. Nơi nào có vẻ như sự cố là với bạn? Hiện đang sử dụng hồ sơ isakmp.
Bill Gurling

1

Nếu không thấy thiết lập của bạn là gì thì ví dụ này sẽ không hoàn toàn chính xác. Tuy nhiên, đây là cách tôi định cấu hình Trang web A. Trang web B sẽ tương tự, trừ các phần VPN từ xa và đảo ngược các phần Trang web A và Trang web B. Bất cứ điều gì trong ngoặc cần phải được điền với thông tin của riêng bạn.

Ngoài ra, đối với ví dụ cụ thể này, VPN từ xa sẽ thông qua Máy khách VPN của Cisco chứ không phải Máy khách AnyConnect. ShrewSoft VPN Client cũng hoạt động.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload

Cảm ơn nhiều, tôi sẽ so sánh điều này với cấu hình của tôi và xem sự cố ở đâu. Tôi nghĩ rằng cấu hình của tôi có lẽ hầu hết là đúng nhưng tôi chắc chắn không có các mục ACL trong đó vì vậy đó có thể là vấn đề của tôi. Đánh giá cao sự đáp ứng.
Bill Gurling
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.