Site to site IPSEC 2xCisco 877 - Netwerken

donderdag 8 januari 2009 21:56

Acties:

Verwijderd

Topicstarter

Beste tweakers,

Ik ben nu al 3 avonden aanhet stoeien (shame) om bij mij thuis een site to site ipsec verbinding op te zetten tussen 2 Cisco 877 ADSL POTS routers. De tunnel komt netjes up en je ziet ook daadwerkelijk dat er verkeer overheen WIL, maar ik krijg geen reactie aan de andere kant.

Hierbij de 2 configs:

code:

Router1#sh run
Building configuration...

Current configuration : 2598 bytes
!
! Last configuration change at 21:45:31 gmt Thu Jan 8 2009 by admin
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router1
!
boot-start-marker
boot system flash c870-advipservicesk9-mz.124-22.T.bin
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
clock timezone gmt 1
!
!
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.0 192.168.10.10
!
ip dhcp pool Router1
   network 192.168.10.0 255.255.255.0
   dns-server 195.18.114.5 
   default-router 192.168.10.1 
   lease 3
!
!
ip cef
ip domain name dmn01.local
ip name-server 195.18.114.5
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username admin privilege 15 password 7 xxxxxxxxxxx
! 
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco123 address xxxxxxxxxxx
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto map mymap 1 ipsec-isakmp 
 description ****** Link to Router2 ******
 set peer xxxxxxxxxxx
 set security-association lifetime seconds 86400
 set transform-set myset 
 set pfs group2
 match address 100
!
archive
 log config
  hidekeys
!
!
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 ip address negotiated
 no ip unreachables
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp pap sent-username xxxxxxxxxxx password 7 xxxxxxxxxxx
 crypto map mymap
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxxxxxxxxxx
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map nonat interface Dialer0 overload
!
access-list 100 remark ****** Link to Router2 ******
access-list 100 permit ip 192.168.10.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 101 remark ****** NAT ACL ******
access-list 101 deny   ip 192.168.10.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
!
!
!
!
route-map nonat permit 10
 match ip address 101
!
!
control-plane
!
!
line con 0
 logging synchronous
 login local
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 120 0
 logging synchronous
 login local
 transport input ssh
 transport output ssh
!
scheduler max-task-time 5000
ntp server 145.24.129.6
end

code:

Router2#sh run
Building configuration...

Current configuration : 2643 bytes
!
! Last configuration change at 21:21:56 gmt Thu Jan 8 2009 by admin
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router2
!
boot-start-marker
boot system flash c870-advipservicesk9-mz.124-22.T.bin
boot-end-marker
!
logging message-counter syslog
no logging buffered
!
no aaa new-model
clock timezone gmt 1
!
!         
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.10.0 172.16.10.10
!
ip dhcp pool Router2
   network 172.16.10.0 255.255.255.0
   dns-server 195.18.114.5 
   default-router 172.16.10.1 
   lease 3
!
!
ip cef
ip domain name dmn01.local
ip name-server 195.18.114.5
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!         
username admin privilege 15 password 7 xxxxxxxxxxx
! 
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco123 address xxxxxxxxxxx
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto map mymap 2 ipsec-isakmp 
 description ****** Link to Router1 ******
 set peer xxxxxxxxxxx
 set security-association lifetime seconds 86400
 set transform-set myset 
 set pfs group2
 match address 100
!
archive
 log config
  hidekeys
!
!
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 172.16.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 ip address negotiated
 no ip unreachables
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp pap sent-username user0@alice.nl password 7 xxxxxxxxxxx
 crypto map mymap
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
ip http authentication local
no ip http secure-server
!
!
ip nat inside source route-map nonat interface Dialer0 overload
!         
access-list 100 remark ****** Link to Router1 ******
access-list 100 permit ip 172.16.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 remark ****** NAT ACL ******
access-list 101 deny   ip 172.16.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 172.16.10.0 0.0.0.255 any
!
!
!
!
route-map nonat permit 10
 match ip address 101
!
!
control-plane
!
!
line con 0
 logging synchronous
 login local
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 120 0
 logging synchronous
 login local
 transport input ssh
 transport output ssh
!
scheduler max-task-time 5000
ntp server 85.17.201.68
end

Wie o wie kan mij uit m'n lijden verlossen

?

donderdag 8 januari 2009 22:07

Acties:

Gillie

Als ik er goed naar kijk, lijkt het in de access-list 100 te zitten. Wat je doet is voor A naar B en B naar A. Alleen voor IPsec werkt dat niet zo.

Die moeten volgens mij voor beide routers exact hetzelfde zijn. Dus van A naar B.

vrijdag 9 januari 2009 00:04

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Mist hij niet gewoon een route naar de andere kant? Hoe weet de router nu dat hij verkeer voor het destination netwerk via de tunnel moet sturen?

Vicariously I live while the whole world dies

maandag 12 januari 2009 19:24

Acties:

Verwijderd

De route hoeft niet apart opgegeven te worden voor verkeer aan de andere kant van de tunnel. Deze is
bij de router bekend vanuit de IPSec definitie. Je doet tenslotte een match via de route-map.

Verder zien de ACL's er ook goed uit. Het klopt dat beide ACL's hetzelfde moeten zijn, maar dit heeft
betrekking op de netwerken die je toestaat. De richting is gewoon van A naar B en van B naar A. Anders
krijg je daar nooit een match op, aangezien de source adressen aan kant B niet bestaan wanneer je
een permit op "source (networkA mask) naar destination (networkB mask)" doet.

Zet achter de volgende regel:

crypto isakmp key cisco123 address xxxxxxxxxxx no-xauth

en probeer het nogmaals s.v.p.

Verder wil je misschien overwegen om als hash SHA te gebruiken ipv MD5 op de ISAKMP policy en
transform set.

[ Voor 7% gewijzigd door Verwijderd op 12-01-2009 19:28 ]