[Cisco] Geen data over IPSec tunnel - Netwerken

donderdag 23 november 2006 11:21

Acties:

Topicstarter

Hoi alleen,

Ik heb een probleem waar ik niet zomaar uit kom. Vreemd genoeg heb ik met de volgende config wel een IPSec tunnel die werkt:

code:

WV#sh cr ipsec sa

interface: Ethernet1
    Crypto map tag: cm-cryptomap, local addr 194.45.xx.xx8

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer 194.120.xx.xx6 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

     local crypto endpt.: 194.45.xxx.xx8, remote crypto endpt.: 194.120.xxx.xx6
     path mtu 1500, ip mtu 1500, ip mtu idb Ethernet1
     current outbound spi: 0xC316B31D(3273044765)

     inbound esp sas:
      spi: 0x4330365B(1127233115)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: 1, crypto map: cm-cryptomap
        sa timing: remaining key lifetime (k/sec): (4498282/991)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:
      spi: 0x1E5D5FAC(509435820)
        transform: ah-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: 1, crypto map: cm-cryptomap
        sa timing: remaining key lifetime (k/sec): (4498282/991)
        replay detection support: Y
        Status: ACTIVE

     inbound pcp sas:

     outbound esp sas:
      spi: 0xC316B31D(3273044765)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: 2, crypto map: cm-cryptomap
        sa timing: remaining key lifetime (k/sec): (4498280/991)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:
      spi: 0xDE03DF69(3724795753)
        transform: ah-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2002, flow_id: 2, crypto map: cm-cryptomap
        sa timing: remaining key lifetime (k/sec): (4498280/991)
        replay detection support: Y
        Status: ACTIVE

     outbound pcp sas:

WV#sh cr isa sa
dst             src             state          conn-id slot status
194.120.xxx.xx6 194.45.xxx.xx8   QM_IDLE              1    0 ACTIVE

Maar om een of andere reden loopt er dus geen data overheen. Ter info, beide Cisco Broadbandrouters (SB101) zitten achter een KPN VoIP doos (No-NAT); ofwel:

LAN <-> SB101 <-> KPN-doos <-> Internet <-> KPN-doos <-> SB101 <-> LAN

Configje van één van twee; de andere heeft uiteraard omgekeerde ACLs:

code:

Current configuration: 2439 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname WV
!
boot-start-marker
boot-end-marker
!
enable secret <vertel ik niet>
!
no aaa new-model
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.2.0 192.168.2.49
!
ip dhcp pool CLIENT
   import all
   network 192.168.2.0 255.255.255.0
   default-router 192.168.2.1
   dns-server 192.168.2.1
   lease 0 2
!
!
ip name-server 194.151.228.18
ip name-server 192.168.1.10
ip name-server 194.151.228.34
!
!
!
!
!
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key <vertel ik niet> address 194.120.xxx.xx6
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address Ethernet1
crypto map cm-cryptomap 1 ipsec-isakmp
 set peer 194.120.xxx.xx6
 set transform-set cm-transformset-1
 match address 101
!
!
!
interface Ethernet0
 description LAN-INTERFACE
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 hold-queue 100 out
!
interface Ethernet1
 description WAN-INTERFACE
 ip address 194.45.xxx.xx8 255.255.255.248
 ip access-group 102 in
 ip nat outside
 duplex auto
 crypto map cm-cryptomap
 hold-queue 100 out
!
ip route 0.0.0.0 0.0.0.0 194.45.xxx.xx7 permanent
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source route-map natRoute interface Ethernet1 overload
ip nat inside source static tcp 192.168.2.1 23 194.45.xxx.xx8 23 route-map natRoute extendable
!
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 permit ip any any
access-list 103 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 103 permit ip any any
dialer-list 1 protocol ip permit
route-map natRoute permit 10
 match ip address 103
!
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport output all
 stopbits 1
line aux 0
 transport output all
line vty 0 4
 exec-timeout 120 0
 password <vertel ik niet>
 login
 transport input all
 transport output all
!
scheduler max-task-time 5000
end

Kan iemand mij hier misschien mee helpen?

donderdag 23 november 2006 11:53

Acties:

wallywally

Ik ben niet zo heel goed in het lezen van cisco-scripts maar ik zie alleen iets over UDP poort 500, weet je zeker dat protocolnummers 50 en 51 openstaan? Vaak als deze dicht staan word de sessie wel opgezet maar krijg je geen verkeer eroverheen.

[ Voor 23% gewijzigd door wallywally op 23-11-2006 11:53 ]

donderdag 23 november 2006 12:00

Acties:

Sparkiee

Heb je de juiste poorten openstaan.
Anders kijk eens op deze link voor wat meer uitleg en troubelshooting

donderdag 23 november 2006 12:13

Acties:

Zoetjuh

Topicstarter

Sparkiee schreef op donderdag 23 november 2006 @ 12:00:
Heb je de juiste poorten openstaan.
Anders kijk eens op deze link voor wat meer uitleg en troubelshooting

Hoi Sparkiee, het gaat hier om een VPN tunnel tunnel twee Cisco's; heeft in dit geval dus geen betrekking op Windows.

Overigens, wanneer ik vanaf de router waarvan ik de config heb gepost probeer te pingen naar de andere kant, dan krijg ik dit:

code:

WV#ping 192.168.1.1 source eth0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.2.1
.....
Success rate is 0 percent (0/5)

@wallywally; ik geloof dat alles open staat (toch?). Ik heb vaker met een vergelijkbare setup router-router VPNs opgezet, maar dit waren altijd Cisco DSL routers.

donderdag 23 november 2006 13:03

Acties:

wallywally

Zoetjuh schreef op donderdag 23 november 2006 @ 12:13:

@wallywally; ik geloof dat alles open staat (toch?). Ik heb vaker met een vergelijkbare setup router-router VPNs opgezet, maar dit waren altijd Cisco DSL routers.

Ja ik ken scripts van cisco niet zo goed om te zien of dat open staat of niet en of dat standaard is weet ik ook niet. Wat ik wel weet is dat ik met ander type routers problemen heb ervaren dat de lijn wel opbouwt maar er geen verkeer overheen gaat als deze protocollen niet open staan maar de poort wel.

donderdag 23 november 2006 13:16

Acties:

TrailBlazer

Karnemelk FTW

hoe weet je router waar die het verkeer voor de remote site heen wil sturen. Dat stuur je nu naar het internet vind je het gek dat het niet aankomt.
De volgende hop (internet) heeft geen idee waar 192.168.1.0 zit. Je hele config zal op de schop moeten. Wat je het beste kan doen is een GRE tunnel tussen die twee routers opzetten. In je ACL voor ipsec zetten dat je al het GRE verkeer tussen de twee endpoints wil encrypten. Je maakt dan aan beide kanten een staic voor de ethernet segmenten over de GRE tunnel

donderdag 23 november 2006 13:22

Acties:

Zoetjuh

Topicstarter

TrailBlazer schreef op donderdag 23 november 2006 @ 13:16:
hoe weet je router waar die het verkeer voor de remote site heen wil sturen. Dat stuur je nu naar het internet vind je het gek dat het niet aankomt.
De volgende hop (internet) heeft geen idee waar 192.168.1.0 zit. Je hele config zal op de schop moeten. Wat je het beste kan doen is een GRE tunnel tussen die twee routers opzetten. In je ACL voor ipsec zetten dat je al het GRE verkeer tussen de twee endpoints wil encrypten. Je maakt dan aan beide kanten een staic voor de ethernet segmenten over de GRE tunnel

Hij heeft toch een IPSec tunnel kunnen opbouwen? En de beide segmenten voor beide locaties zijn toch bekend? Is het dan niet dat al het verkeer dat over eth1 wordt gegooid EN voldoet aan de voorwaarden van de crypto-map naar de genoemde peer in de crypto-map wordt gestuurd (een bekende en benaderbare host)? Anthans, dat is hoe ik begreep dat het in elkaar zit

donderdag 23 november 2006 13:44

Acties:

TrailBlazer

Karnemelk FTW

nee zo werkt het dus niet. Wat je nu ziet is wat er over deze ipsec relatie geencrypt wordt en niet hoe er gerouteerd wordt. IPSec is ook geen tunnel he maar een relatie
http://www.cisco.com/en/U...ple09186a0080094bff.shtml

is wel een goede guide niet helemaal jouw situatie maar geeft wel een aardig beeld

deze is beter
http://www.cisco.com/en/U...ple09186a00800946b8.shtml

[ Voor 49% gewijzigd door TrailBlazer op 23-11-2006 13:48 ]

donderdag 23 november 2006 14:13

Acties:

Zoetjuh

Topicstarter

Mijn dank is groot, ik ga er direct mee aan de slag!

Update: Dat wat het; na het toevoegen van de tunnel en de route werkte het inderdaad $_/-\o_$

[ Voor 48% gewijzigd door Zoetjuh op 23-11-2006 15:10 ]

vrijdag 24 november 2006 07:19

Acties:

TrailBlazer

Karnemelk FTW

dit is echt de standaard methode om het te doen je alles wat je over die tunnel heen routeert wordt geencrypted. Immers het komt binnen en IP packet van GRE en die encryp je (als het goed is)