Ipsec vpn, giai đoạn 2 không thể đi lên

Tôi khá chắc chắn rằng tôi biết câu trả lời cho điều này nhưng tôi không biết làm thế nào để thực hiện nó.

Đang cố gắng thiết lập ipsec vpn từ Cisco 2811 sang hộp linux chạy openswan. Cho đến nay tôi có thể tăng giai đoạn 1 lên nhưng giai đoạn 2 đang gặp vấn đề. 100% là một vấn đề cấu hình.

Những gì tôi đang cố gắng làm là đẩy web và một số lưu lượng truy cập khác ra khỏi vpn bằng cách sử dụng kết nối internet ở đầu bên kia làm cổng vào mạng. Tôi đang gặp lỗi về tiền điện tử. Đây là thiết lập. 1.1.1.1 là Cisco. Địa chỉ 2.2.2.2 là máy chủ linux chỉ có một nic duy nhất.

192.168.xx / 24 ----- 1.1.1.1 - INTERNET 2.2.2.2 ---- >>> Internet

Tôi hiểu tại sao nó không thể tạo thành đường hầm giai đoạn 2, nó không thể đồng ý trên bản đồ. Nhưng tôi không biết bản đồ nên là gì trong trường hợp này.

Tôi đã thử nghiệm nó chỉ với ICMP.

Tôi đã loại trừ ICMP khỏi NAT:

ip access-list extended NAT
deny   icmp 192.168.30.0 0.0.0.255 any

Sau đó, "lưu lượng truy cập thú vị" cho vpn là:

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

Về phía openswan tôi đang sử dụng:

left=2.2.2.2
right=1.1.1.1
rightsubnet=192.168.30.3/24

Vâng, cisco ngay lập tức bắt đầu ném ra:

2d11h: map_db_find_best did not find matching map
2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
2d11h: ISAKMP:(0:26:SW:1): IPSec policy invalidated proposal
2d11h: ISAKMP:(0:26:SW:1): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)

Tôi biết những gì tôi muốn nó làm nhưng tôi không biết làm thế nào để thiết lập nó. Nếu đây chỉ là một mạng con nội bộ đơn giản đến mạng con nội bộ vpn thì không vấn đề gì.

Bất kỳ hướng nào ở đây sẽ thực sự hữu ích.

Cấu hình bộ định tuyến:

version 12.4
service timestamps debug uptime
service timestamps log datetime
service password-encryption
!
hostname Hex-2811
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-24.T5.bin
boot-end-marker
!
no logging buffered
aaa new-model
!
!
!
aaa session-id common
clock timezone EST -5
clock summer-time EDT recurring
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name hexhome.int
ip name-server 192.168.30.8
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
ipv6 unicast-routing
crypto isakmp policy 1
encr aes 192
authentication pre-share
group 5
lifetime 43200
crypto isakmp key ********** address 2.2.2.2
!
!
crypto ipsec transform-set IOFSET2 esp-aes 192 esp-sha-hmac 
!
!
crypto map IOFVPN 1 ipsec-isakmp 
description Isle Of Man
set peer 2.2.2.2
set transform-set IOFSET2 
match address 153
!
! 
!
!
interface FastEthernet0/0
description Internal 192 Network
ip address 192.168.30.1 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex full
speed 100
!
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled

crypto map IOFVPN
!

ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 174.59.28.1
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.30.45 3001
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source route-map POLICY-NAT interface FastEthernet0/1 overload

ip access-list extended NAT
deny   icmp 192.168.30.0 0.0.0.255 any
permit ip any any

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

route-map POLICY-NAT permit 10
match ip address NAT
!

CẬP NHẬT: Đã sửa lỗi ACL: danh sách truy cập 153 cho phép ip 192.168.30.0 0.0.0.255 máy chủ 2.2.2.2 và đường hầm xuất hiện ngay và tôi có thể ping qua như mong đợi.

Đang cố gắng để có lưu lượng truy cập web thông qua .. Định tuyến chính sách không hoạt động. Tôi đã thêm

route-map VPN_WEB permit 1
match ip address 155
set ip next-hop 2.2.2.2

access-list 155 permit tcp any any eq www

interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
ip policy route-map VPN_WEB
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN

Tôi có thể thấy trận đấu bản đồ tuyến đường trên lưu lượng truy cập www nhưng nó không được truyền qua đường hầm.

cisco vpn ipsec

— Người chỉnh sửa
nguồn

Chúng tôi có thể giúp bạn nhiều hơn nếu bạn đăng cấu hình bộ định tuyến của bạn.

— Ron Trunk

@Ron Tôi cập nhật với cấu hình. Xin lỗi vì việc đó.

— TheEditor

Openswan đang cố gắng xây dựng một đường hầm đến 1.1.1.1, nhưng không có địa chỉ giao diện tương ứng trên bộ định tuyến của bạn.

— Ron Trunk

@Ron Có giao diện đó là fa0 / 1 (dhcp của nó nhưng hợp đồng thuê không bao giờ thay đổi, đó là kết nối cáp).

— TheEditor

Tôi nghĩ rằng tôi hiểu những gì tôi đang làm sai. Tôi có thể lấy đường hầm được xây dựng từ 1.1.1.1 đến 2.2.2.2. Đó là acl của tôi giết chết tôi. Khi tôi xây dựng đường hầm đó thì tôi cần đảm bảo rằng tất cả lưu lượng truy cập cổng 80 đi qua đường hầm đó. Đúng không. Tôi nghĩ rằng tôi đã cố gắng để làm cho tất cả xảy ra cùng một lúc mà nó sẽ không hoạt động, mà tôi biết. Nghe có đúng không?

— TheEditor

Tôi đã thay đổi acl ban đầu của:

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

Đến:

access-list 153 permit icmp 192.168.30.0 0.0.0.255 2.2.2.2 0.0.0.0

Ngay khi điều đó được thay đổi, các bản đồ khớp ở cả hai đầu và các đường hầm xuất hiện. Tôi đã thêm eth0: 0 ở phía openswan với một địa chỉ trong phạm vi 192.168.10.0 thay đổi acl thành

access-list 153 permit 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

Đường hầm đi lên ngay, điều này chỉ làm cho một số thứ dễ dàng hơn một chút, bây giờ nếu theo mô hình "lan-to-lan" tiêu chuẩn.

— Người chỉnh sửa
nguồn