Z przyjemnością opublikuję konfigurację lub dzienniki w celach informacyjnych, ale mam problemy z uzyskaniem połączenia VPN do zdalnego dostępu na tym samym interfejsie, co moja witryna do witryny IPSEC VPN. Korzystam z dynamicznej mapy kryptograficznej do zdalnego dostępu VPN, ale wygląda na to, że próba wykonania pierwszej fazy kończy się niepowodzeniem. Czy ktokolwiek byłby w stanie podać mi prostą przykładową konfigurację do pracy?
EDYTOWAĆ:
Oto zrzut debugowania po jego niepowodzeniu po wdrożeniu profili ISAKMP zgodnie z sugestią poniżej. Zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, ale upłynie limit czasu. Wygląda na to, że autoryzacja isakmp kończy się niepowodzeniem. Obecnie autoryzacja isakmp jest ustawiona na lokalną listę użytkowników. Czy to wydaje się być dla was problemem?
Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul 3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul 3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul 3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul 3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul 3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul 3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul 3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul 3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul 3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul 3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul 3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA
Jul 3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul 3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul 3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul 3 16:40:48.349:
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul 3 16:40:48.349:
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul 3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul 3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.
Widzę również te błędy podczas debugowania błędów isakmp i ipsec i pobierania dzienników:
Jul 3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul 3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul 3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul 3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
Odpowiedzi:
Kręcenie w ciemności tutaj, ponieważ jest wiele zmiennych, o których nie wspomniałeś. Zaktualizuj pytanie, aby uwzględnić określone technologie, których używasz, konfigurację currnet i występujący błąd. Ale jeśli używasz na przykład DMVPN + EZVPN, prawdopodobnie będziesz musiał użyć kluczy i wielu profili ISAKMP. Skoro wskazałeś na problemy z fazy 1, sprawdziłbym to. Poniższe linki zawierają konfiguracje referencyjne dla DMVPN i EZVPN oraz L2L + EZVPN . Powinieneś być w stanie modyfikować według własnych potrzeb.
Oto odniesienie do profilu ISAKMP na temat czytania w porze lunchu.
źródło
Ten przykład nie będzie do końca dokładny bez sprawdzenia, jaka jest twoja konfiguracja. Jednak oto jak skonfigurowałbym Stronę A. Witryna B byłaby podobna, pomijając zdalne elementy VPN i odwracające części z Witryny A i Strony B. Wszystko w nawiasach musi być wypełnione własnymi informacjami.
Ponadto w tym konkretnym przykładzie zdalna sieć VPN byłaby obsługiwana za pośrednictwem klienta Cisco VPN, a nie klienta AnyConnect. ShrewSoft VPN Client działa również.
źródło
Oto kolejny doskonały zasób dla DMVPN:
https://nwktimes.blogspot.com/search/label/DMVPN
źródło