Jaki jest właściwy sposób skonfigurowania witryny do lokacji IPSEC VPN i sieci VLAN dostępu zdalnego na tym samym interfejsie zewnętrznym? Cisco 891 ISR

11

Z przyjemnością opublikuję konfigurację lub dzienniki w celach informacyjnych, ale mam problemy z uzyskaniem połączenia VPN do zdalnego dostępu na tym samym interfejsie, co moja witryna do witryny IPSEC VPN. Korzystam z dynamicznej mapy kryptograficznej do zdalnego dostępu VPN, ale wygląda na to, że próba wykonania pierwszej fazy kończy się niepowodzeniem. Czy ktokolwiek byłby w stanie podać mi prostą przykładową konfigurację do pracy?

EDYTOWAĆ:

Oto zrzut debugowania po jego niepowodzeniu po wdrożeniu profili ISAKMP zgodnie z sugestią poniżej. Zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, ale upłynie limit czasu. Wygląda na to, że autoryzacja isakmp kończy się niepowodzeniem. Obecnie autoryzacja isakmp jest ustawiona na lokalną listę użytkowników. Czy to wydaje się być dla was problemem?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Widzę również te błędy podczas debugowania błędów isakmp i ipsec i pobierania dzienników:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
Bill Gurling
źródło
2
Jakie główne wydanie IOS używasz? Najlepiej o tym wspomnieć i oznaczyć tagiem cisco-ios-15 lub czymkolwiek.
Craig Constantine
Czy udało Ci się sprawić, aby któryś z tych składników działał niezależnie niezależnie? Zacznę od tego, upewniając się, że niezależna konfiguracja dla każdego jest zweryfikowana przed ich połączeniem.
Jeremy Stretch,
Co rozumiesz przez sieć VLAN dostępu zdalnego? Rozumiem, że próbujesz skonfigurować i włączyć VPN IPSEC poprzez zastosowanie mapy kryptograficznej do interfejsu, ale to jest VLAN dostępu zdalnego?
jwbensley
Przepraszam, mam powiedzieć VPN, naprawię to. Oba działały, ale w tym momencie działa tylko witryna VPN typu lokacja. ISR działa teraz w wersji 15.1.
Bill Gurling,
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

6

Kręcenie w ciemności tutaj, ponieważ jest wiele zmiennych, o których nie wspomniałeś. Zaktualizuj pytanie, aby uwzględnić określone technologie, których używasz, konfigurację currnet i występujący błąd. Ale jeśli używasz na przykład DMVPN + EZVPN, prawdopodobnie będziesz musiał użyć kluczy i wielu profili ISAKMP. Skoro wskazałeś na problemy z fazy 1, sprawdziłbym to. Poniższe linki zawierają konfiguracje referencyjne dla DMVPN i EZVPN oraz L2L + EZVPN . Powinieneś być w stanie modyfikować według własnych potrzeb.

Oto odniesienie do profilu ISAKMP na temat czytania w porze lunchu.

smithian
źródło
Zaktualizowałem swój pierwotny post, dodając niektóre dane logowania, które widzę, gdy się psują. Gdzie to wygląda dla ciebie? Obecnie używam profili isakmp.
Bill Gurling
1

Ten przykład nie będzie do końca dokładny bez sprawdzenia, jaka jest twoja konfiguracja. Jednak oto jak skonfigurowałbym Stronę A. Witryna B byłaby podobna, pomijając zdalne elementy VPN i odwracające części z Witryny A i Strony B. Wszystko w nawiasach musi być wypełnione własnymi informacjami.

Ponadto w tym konkretnym przykładzie zdalna sieć VPN byłaby obsługiwana za pośrednictwem klienta Cisco VPN, a nie klienta AnyConnect. ShrewSoft VPN Client działa również.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
źródło
Dzięki wielkie, porównam to do mojej konfiguracji i zobaczę, gdzie jest awaria. Myślę, że moja konfiguracja jest prawdopodobnie w większości prawidłowa, ale zdecydowanie nie mam tam wpisów ACL, więc może to być mój problem. Doceń odpowiedź.
Bill Gurling