Tôi khá chắc chắn rằng tôi biết câu trả lời cho điều này nhưng tôi không biết làm thế nào để thực hiện nó.
Đang cố gắng thiết lập ipsec vpn từ Cisco 2811 sang hộp linux chạy openswan. Cho đến nay tôi có thể tăng giai đoạn 1 lên nhưng giai đoạn 2 đang gặp vấn đề. 100% là một vấn đề cấu hình.
Những gì tôi đang cố gắng làm là đẩy web và một số lưu lượng truy cập khác ra khỏi vpn bằng cách sử dụng kết nối internet ở đầu bên kia làm cổng vào mạng. Tôi đang gặp lỗi về tiền điện tử. Đây là thiết lập. 1.1.1.1 là Cisco. Địa chỉ 2.2.2.2 là máy chủ linux chỉ có một nic duy nhất.
192.168.xx / 24 ----- 1.1.1.1 - INTERNET 2.2.2.2 ---- >>> Internet
Tôi hiểu tại sao nó không thể tạo thành đường hầm giai đoạn 2, nó không thể đồng ý trên bản đồ. Nhưng tôi không biết bản đồ nên là gì trong trường hợp này.
Tôi đã thử nghiệm nó chỉ với ICMP.
Tôi đã loại trừ ICMP khỏi NAT:
ip access-list extended NAT
deny icmp 192.168.30.0 0.0.0.255 any
Sau đó, "lưu lượng truy cập thú vị" cho vpn là:
access-list 153 permit icmp 192.168.30.0 0.0.0.255 any
Về phía openswan tôi đang sử dụng:
left=2.2.2.2
right=1.1.1.1
rightsubnet=192.168.30.3/24
Vâng, cisco ngay lập tức bắt đầu ném ra:
2d11h: map_db_find_best did not find matching map
2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
2d11h: ISAKMP:(0:26:SW:1): IPSec policy invalidated proposal
2d11h: ISAKMP:(0:26:SW:1): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)
Tôi biết những gì tôi muốn nó làm nhưng tôi không biết làm thế nào để thiết lập nó. Nếu đây chỉ là một mạng con nội bộ đơn giản đến mạng con nội bộ vpn thì không vấn đề gì.
Bất kỳ hướng nào ở đây sẽ thực sự hữu ích.
Cấu hình bộ định tuyến:
version 12.4
service timestamps debug uptime
service timestamps log datetime
service password-encryption
!
hostname Hex-2811
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-24.T5.bin
boot-end-marker
!
no logging buffered
aaa new-model
!
!
!
aaa session-id common
clock timezone EST -5
clock summer-time EDT recurring
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name hexhome.int
ip name-server 192.168.30.8
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
ipv6 unicast-routing
crypto isakmp policy 1
encr aes 192
authentication pre-share
group 5
lifetime 43200
crypto isakmp key ********** address 2.2.2.2
!
!
crypto ipsec transform-set IOFSET2 esp-aes 192 esp-sha-hmac
!
!
crypto map IOFVPN 1 ipsec-isakmp
description Isle Of Man
set peer 2.2.2.2
set transform-set IOFSET2
match address 153
!
!
!
!
interface FastEthernet0/0
description Internal 192 Network
ip address 192.168.30.1 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex full
speed 100
!
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 174.59.28.1
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.30.45 3001
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map POLICY-NAT interface FastEthernet0/1 overload
ip access-list extended NAT
deny icmp 192.168.30.0 0.0.0.255 any
permit ip any any
access-list 153 permit icmp 192.168.30.0 0.0.0.255 any
route-map POLICY-NAT permit 10
match ip address NAT
!
CẬP NHẬT: Đã sửa lỗi ACL: danh sách truy cập 153 cho phép ip 192.168.30.0 0.0.0.255 máy chủ 2.2.2.2 và đường hầm xuất hiện ngay và tôi có thể ping qua như mong đợi.
Đang cố gắng để có lưu lượng truy cập web thông qua .. Định tuyến chính sách không hoạt động. Tôi đã thêm
route-map VPN_WEB permit 1
match ip address 155
set ip next-hop 2.2.2.2
access-list 155 permit tcp any any eq www
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
ip policy route-map VPN_WEB
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN
Tôi có thể thấy trận đấu bản đồ tuyến đường trên lưu lượng truy cập www nhưng nó không được truyền qua đường hầm.