Toon posts:

[VPN] Cisco IOS to Checkpoint

Pagina: 1
Acties:

vrijdag 14 november 2008 12:29

Acties:

Verwijderd

Topicstarter
LS.

Ik probeer een VPN tunnel op te zetten tussen 2 lokaties. De checkpointkant is in beheer bij KPN, de Cisco IOS-router in eigen beheer (1841 met advanced IP).

De router heeft 2 ethernet interfaces en 2 DSL interfaces.
Door omstandigheden ben ik genoodzaakt over een van de DSL-interfaces (internetverbinding) alleen een VPN-tunnel op te zetten naar een remote lokatie.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112

---knip-----
!
controller DSL 0/0/0
 mode atm
 line-term cpe
 line-mode 2-wire line-zero
 dsl-mode shdsl symmetric annex B
 line-rate auto
!
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 64800
crypto isakmp key 0 supergeheimekeyhier! address 111.111.111.111
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map VPN-Map-1 10 ipsec-isakmp
 set peer 111.111.111.111
 set transform-set 3DES-SHA
 set pfs group2
 match address Crypto-list
!
!
!
interface FastEthernet0/0
 description LAN
 ip address 172.30.0.254 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/1
 description xxxxxxxxx Monitor Interface
 ip address 10.42.2.66 255.255.255.192
 duplex auto
 speed auto
 no cdp enable
!
interface ATM0/0/0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 no snmp trap link-status
 no atm ilmi-keepalive
 pvc 0/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface ATM0/1/0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 no snmp trap link-status
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 0/33
  encapsulation aal5mux ppp dialer
  dialer pool-member 2
 !
!
interface Dialer0
 description Connected to some SDSL
 ip unnumbered FastEthernet0/0
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp pap sent-username gebruikersnaam@@whatever.nl password 7 456789876545678
!
interface Dialer1
 description Connected to Internet (voor VPN)
 ip address 222.222.222.222 255.255.255.252
 encapsulation ppp
 dialer pool 2
 dialer-group 2
 ppp authentication chap pap callin
 ppp pap sent-username gebruikersnaam@whatever.nl password 7 345678987654
 crypto map VPN-Map-1
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.8.0.0 255.255.0.0 172.30.0.2
ip route 145.7.71.128 255.255.255.240 Dialer1
ip route 172.31.172.0 255.255.255.0 10.42.2.65
ip route 172.31.173.0 255.255.255.0 10.42.2.65
ip route 111.111.111.111 255.255.255.255 Dialer1
!
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended Crypto-list
 permit ip host 10.8.0.15 145.7.71.128 0.0.0.15
!
!
-----knip-----
access-list 1 permit any
dialer-list 1 protocol ip permit
!
!
!
!
----knip----


De DSL-verbinding is up, maar bij het initieren van de tunnel gaat het mis....

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64

*Nov 14 09:12:21.853: ISAKMP (0:0): received packet from 111.111.111.111 dport 500 sport 500 Global (N) NEW SA
*Nov 14 09:12:21.853: ISAKMP: Created a peer struct for 111.111.111.111, peer port 500
*Nov 14 09:12:21.853: ISAKMP: New peer created peer = 0x6403F55C peer_handle = 0x80000005
*Nov 14 09:12:21.853: ISAKMP: Locking peer struct 0x6403F55C, IKE refcount 1 for crypto_isakmp_process_block
*Nov 14 09:12:21.857: ISAKMP: local port 500, remote port 500
*Nov 14 09:12:21.857: insert sa successfully sa = 63C7B4A4
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_R_MM1
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0): processing vendor id payload
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 175 mismatch
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 111.111.111.111
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0): local preshared key found
*Nov 14 09:12:21.857: ISAKMP : Scanning profiles for xauth ...
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy
*Nov 14 09:12:21.857: ISAKMP:      encryption 3DES-CBC
*Nov 14 09:12:21.857: ISAKMP:      hash SHA
*Nov 14 09:12:21.857: ISAKMP:      auth pre-share
*Nov 14 09:12:21.857: ISAKMP:      default group 2
*Nov 14 09:12:21.857: ISAKMP:      life type in seconds
*Nov 14 09:12:21.857: ISAKMP:      life duration (VPI) of  0x0 0x0 0xFD 0x20
*Nov 14 09:12:21.857: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
*Nov 14 09:12:21.857: CryptoEngine0: generating alg parameter for connid 1
*Nov 14 09:12:21.909: CRYPTO_ENGINE: Dh phase 1 status: 0
*Nov 14 09:12:21.913: CRYPTO_ENGINE: Dh phase 1 status: OK
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1): processing vendor id payload
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1): vendor ID seems Unity/DPD but major 175 mismatch
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM1  New State = IKE_R_MM1
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1): sending packet to 111.111.111.111 my_port 500 peer_port 500 (R) MM_SA_SETUP
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Nov 14 09:12:21.913: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM1  New State = IKE_R_MM2
*Nov 14 09:12:21.929: ISAKMP (0:134217729): received packet from 111.111.111.111 dport 500 sport 500 Global (R) MM_SA_SETUP
*Nov 14 09:12:21.929: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Nov 14 09:12:21.929: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM2  New State = IKE_R_MM3
*Nov 14 09:12:21.929: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0
*Nov 14 09:12:21.929: CryptoEngine0: generating alg parameter for connid 0
*Nov 14 09:12:21.997: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID =0
*Nov 14 09:12:21.997: ISAKMP:(0:1:SW:1):found peer pre-shared key matching 111.111.111.111
*Nov 14 09:12:21.997: CryptoEngine0: create ISAKMP SKEYID for conn id 1
*Nov 14 09:12:21.997: ISAKMP:(0:1:SW:1):SKEYID state generated
*Nov 14 09:12:21.997: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Nov 14 09:12:22.001: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM3  New State = IKE_R_MM3
*Nov 14 09:12:22.001: ISAKMP:(0:1:SW:1): sending packet to 111.111.111.111 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Nov 14 09:12:22.001: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Nov 14 09:12:22.001: ISAKMP:(0:1:SW:1):Old State = IKE_R_MM3  New State = IKE_R_MM4
*Nov 14 09:12:22.017: ISAKMP (0:134217729): received packet from 111.111.111.111 dport 500 sport 500 Global (R) MM_KEY_EXCH
*Nov 14 09:12:22.017: ISAKMP: reserved not zero on ID payload!
*Nov 14 09:12:22.017: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 111.111.111.111 failed its sanity check or is malformed
*Nov 14 09:12:22.017: ISAKMP (0:134217729): incrementing error counter on sa, attempt 1 of 5: PAYLOAD_MALFORMED
*Nov 14 09:12:22.017: ISAKMP:(0:1:SW:1): sending packet to 111.111.111.111 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Nov 14 09:12:22.017: ISAKMP (0:134217729): incrementing error counter on sa, attempt 2 of 5: reset_retransmission
*Nov 14 09:12:23.017: ISAKMP:(0:1:SW:1): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Nov 14 09:12:24.021: ISAKMP (0:134217729): received packet from 111.111.111.111 dport 500 sport 500 Global (R) MM_KEY_EXCH
*Nov 14 09:12:24.021: ISAKMP:(0:1:SW:1): phase 1 packet is a duplicate of a previous packet.
*Nov 14 09:12:24.021: ISAKMP:(0:1:SW:1): retransmitting due to retransmit phase1
*Nov 14 09:12:24.021: ISAKMP:(0:1:SW:1): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Nov 14 09:12:26.033: ISAKMP (0:134217729): received packet from 111.111.111.111 dport 500 sport 500 Global (R) MM_KEY_EXCH
*Nov 14 09:12:26.033: ISAKMP:(0:1:SW:1): phase 1 packet is a duplicate of a previous packet.
*Nov 14 09:12:26.033: ISAKMP:(0:1:SW:1): retransmitting due to retransmit phase1
*Nov 14 09:12:26.033: ISAKMP:(0:1:SW:1): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Nov 14 09:12:28.041: ISAKMP (0:134217729): received packet from 111.111.111.111 dport 500 sport 500 Global (R) MM_KEY_EXCH
*Nov 14 09:12:28.041: ISAKMP:(0:1:SW:1): phase 1 packet is a duplicate of a previous packet.
*Nov 14 09:12:28.041: ISAKMP:(0:1:SW:1): retransmitting due to retransmit phase1


Het vreemde is (voor zover ik kan vinden):

ISAKMP: reserved not zero on ID payload!
%CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 111.111.111.111 failed its sanity check or is malformed

Zou duiden op een mismatch in de preshared key... die hebben we inmiddels 3x gechecked en is echt goed...
Als er iemand een idee heeft hoor ik hem graag, in ruil voor hulde en eeuwige roem :D

vrijdag 14 november 2008 13:17

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Je hebt PFS aanstaan, je zou kunnen proberen om dat uit te zetten. Heeft bij mij vaak voor problemen gezorgd.

Vicariously I live while the whole world dies

vrijdag 14 november 2008 13:41

Acties:

Verwijderd

Topicstarter
Vicarious schreef op vrijdag 14 november 2008 @ 13:17:
Je hebt PFS aanstaan, je zou kunnen proberen om dat uit te zetten. Heeft bij mij vaak voor problemen gezorgd.
Dank voor de reactie, maar het is een harde eis vanuit de overliggende partij om juist Perfect Forward Secrecy te gebruiken. Daar ontkomen we dus niet aan ;-)

vrijdag 14 november 2008 13:54

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Dan zou ik zeggen dat het probleem ergens in je encryptie zit. Jij gebruikt voor fase 1 3DES met DH-groep 2 en voor fase 2 3DES-SHA. Is dat aan de andere kant exact hetzelfde ingesteld? En heb je alle encryptie-licenties die nodig zijn aanwezig op dat ding?

Vicariously I live while the whole world dies

vrijdag 14 november 2008 14:12

Acties:

Verwijderd

Topicstarter
Dat is vreemd... ik kan phase 1 WEL instellen met md5

code:
1
2
3
4
5
6

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 64800


maar niet hard met sha1

code:
1
2
3
4
5

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 64800


Hij vreet het commando op de CLI wel gewoon, maar laat de configuratie als bovenstaand staan :|


code:
1
2
3
4
5
6
7
8
9

Cisco 1841 (revision 7.0) with 115712K/15360K bytes of memory.
Processor board ID FHK113118TQ
1 DSL controller
2 FastEthernet interfaces
2 ATM interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)


code:
1
2
3
4

Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version
RELEASE SOFTWARE (fc1)

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

[ Voor 39% gewijzigd door Verwijderd op 14-11-2008 14:13 ]

vrijdag 14 november 2008 15:47

Acties:

Verwijderd

Topicstarter
Inmiddels met geprobeerd met:

md5-3des-pfs-dh2 (phase1)
md5-3des-pfs-dh2 (phase2)

En *exact* hetzelfde probleem :S

zaterdag 15 november 2008 10:00

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 11:03

Predator

Suffers from split brain

Verwijderd schreef op vrijdag 14 november 2008 @ 14:12:
Dat is vreemd... ik kan phase 1 WEL instellen met md5

code:
1
2
3
4
5
6

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 64800


maar niet hard met sha1

code:
1
2
3
4
5

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 64800


Hij vreet het commando op de CLI wel gewoon, maar laat de configuratie als bovenstaand staan :|
Euh, dat is meestal zo als het de default waarde is 8)7 ;)

Er bestaat trouwens een doc bij cisco over VPN's naar Checkpoint NG:
http://www.cisco.com/warp/public/707/ipsec-checkpt.pdf

Jouw probleem is wellicht dat je natuurlijk niet de Checkpoint config kan nakijken.

Het lijkt toch echt dat je ergens een mismatch hebt bij de hash of encryptie.
Ben je zeker van alle info die je van de checkpoint admins gekregen hebt ?

Everybody lies | BFD rocks ! | PC-specs

maandag 17 november 2008 18:41

Acties:

Verwijderd

Topicstarter
Predator schreef op zaterdag 15 november 2008 @ 10:00:
Euh, dat is meestal zo als het de default waarde is 8)7 ;)
Dat had ik initieel ook aangenomen, maar na 9 uur ipsec debuggen ga je aan alles twijfelen ;-)
Er bestaat trouwens een doc bij cisco over VPN's naar Checkpoint NG:
http://www.cisco.com/warp/public/707/ipsec-checkpt.pdf
Deze en vele anderen had ik inmiddels gevonden, maar dank :D
Jouw probleem is wellicht dat je natuurlijk niet de Checkpoint config kan nakijken.
Idd, maar aangezien deze tunnel gemigreerd wordt van een doos die bij een andere partij in beheer is, krijg ik als het goed is en config van de bestaande situatie. De groene rakkers van de voormalige overheidsinstantie waar hij "managed" is hebben helaas een doorlooptijd van 5 werkdagen |:(
Het lijkt toch echt dat je ergens een mismatch hebt bij de hash of encryptie.
Ben je zeker van alle info die je van de checkpoint admins gekregen hebt ?
Mee eens... het lijkt OFWEL een key-probleem, ofwel een een verkeerde DH-groep/PFS/etc. Groene rakkers houden vol dat ze de juiste info geven...

Met een printout van de "oude" config weet ik waarschijnlijk genoeg. Tot dusver dank en ik post iig de oplossing zodra die voorhanden is :*)

maandag 24 november 2008 09:24

Acties:

Verwijderd

Topicstarter
Grbml.....

En de groene rakkers blijken gewoon keihard de verkeerde Preshared Key op te lezen....

Juiste Key en werken als een zonnetje! :X

Thx voor de hulp allen

maandag 24 november 2008 09:35

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Dus toch de key :D Het kan soms zo simpel zijn he ;)

Vicariously I live while the whole world dies

maandag 24 november 2008 10:58

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 11:03

Predator

Suffers from split brain

Factuurtje sturen naar die mannen voor jou verloren uren ? ;)

Alles gaat en staat met correct informatie :)

Troost je, ik heb ook eens een paar dagen gesukkeld met een VPN naar een bank.
Key was juist (ja ja, die is juist, nee nee die klopt gewoon, ...).
Uiteindelijk nieuwe keys gezet aan beide kanten, VPN werkte ...

Tsja :/
Er zijn nu eenmaal een hoop mensen die gewoon hard blijft vasthouden aan wat ze denken zonder ook effectief te gaan controlleren.

[ Voor 66% gewijzigd door Predator op 24-11-2008 11:00 ]

Everybody lies | BFD rocks ! | PC-specs

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq