Hallo ,
Ik heb een cisco877w aangeschaft, na wat handige tips hier gevonden op GOT werkt ie nu en fungeert als router voor het interne netwerk hier. dit gaat allemaal prima.Maar nu wil ik graag ook een vpn naar mijn werk. Op ons werk staat een Netgear FVS 338. En voordat ik de cisco had, had ik thuis een netgear FVS 318 thuis staan die met de volgende instellingen een vpn maakte naar mijn werk.met deze config kon ik vanuit mijn thuis-netwerk 192.168.1.0 overal bij het 10.38.21.0 netwerk van mijn werk
IKE Policies netgear FVS318:
mode aggressive
IKE SA Parameters
Encryption Algorithm :3DES
Authentication Algorithm : SHA-1
Authentication Method: pre shared key: xxxxxxxx
Diffie-Hellman (DH) Group :group 2 (1024bit)
SA Life Time: 86400 secs
VPN Policies
Remote VPN Endpoint Address Type: IPADDRESS xxx.xxx.xxx.xxx
SA Life Time:28800 secs
IPSec PFS enable , PFS Key Group: GROUP2 (1024bit)
local ip network 192.168.1.0 255.255.255.0
remote ip network 10.38.21.0 255.255.255.0
ESP Configuration
Enable Encryption Encryption Algorithm: 3DES
Enable Authentication Authentication Algorithm SHA-1
Helaas met de cisco 877 lukt het niet, phase 1 gaat goed, maar als ik debugging aanzet krijg ik fouten
een stukje log:
En nu zit ik een beetje vast, phase 2 SA policy not acceptable! ?
wie heeft een idee wat ik allemaal verkeerd heb staan kan het aan de access list liggen of de routering ?
Ik begrijp ook niet hoe ik 2 verschillende lifetimes in de cisco kan krijgen zoals de netgear had.
Wie kan me een eindje op weg helpen??
hieronder mijn config
Ik heb een cisco877w aangeschaft, na wat handige tips hier gevonden op GOT werkt ie nu en fungeert als router voor het interne netwerk hier. dit gaat allemaal prima.Maar nu wil ik graag ook een vpn naar mijn werk. Op ons werk staat een Netgear FVS 338. En voordat ik de cisco had, had ik thuis een netgear FVS 318 thuis staan die met de volgende instellingen een vpn maakte naar mijn werk.met deze config kon ik vanuit mijn thuis-netwerk 192.168.1.0 overal bij het 10.38.21.0 netwerk van mijn werk
IKE Policies netgear FVS318:
mode aggressive
IKE SA Parameters
Encryption Algorithm :3DES
Authentication Algorithm : SHA-1
Authentication Method: pre shared key: xxxxxxxx
Diffie-Hellman (DH) Group :group 2 (1024bit)
SA Life Time: 86400 secs
VPN Policies
Remote VPN Endpoint Address Type: IPADDRESS xxx.xxx.xxx.xxx
SA Life Time:28800 secs
IPSec PFS enable , PFS Key Group: GROUP2 (1024bit)
local ip network 192.168.1.0 255.255.255.0
remote ip network 10.38.21.0 255.255.255.0
ESP Configuration
Enable Encryption Encryption Algorithm: 3DES
Enable Authentication Authentication Algorithm SHA-1
Helaas met de cisco 877 lukt het niet, phase 1 gaat goed, maar als ik debugging aanzet krijg ik fouten
een stukje log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| Feb 19 20:28:37.643: ISAKMP:(2001):Checking IPSec proposal 1
Feb 19 20:28:37.643: ISAKMP: transform 1, ESP_3DES
Feb 19 20:28:37.643: ISAKMP: attributes in transform:
Feb 19 20:28:37.643: ISAKMP: SA life type in seconds
Feb 19 20:28:37.643: ISAKMP: SA life duration (VPI) of 0x0 0x1 0x51 0x80
Feb 19 20:28:37.643: ISAKMP: encaps is 1 (Tunnel)
Feb 19 20:28:37.643: ISAKMP: authenticator is HMAC-SHA
Feb 19 20:28:37.643: ISAKMP: group is 2
Feb 19 20:28:37.643: ISAKMP:(2001):atts are acceptable.
Feb 19 20:28:37.643: ISAKMP:(2001): IPSec policy invalidated proposal with error 32
Feb 19 20:28:37.643: ISAKMP:(2001): phase 2 SA policy not acceptable! (local 83.98.236.104 remote 83.80.87.59)
Feb 19 20:28:37.643: ISAKMP: set new node -333194258 to QM_IDLE
Feb 19 20:28:37.643: ISAKMP:(2001):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 2229002992, message ID = -333194258
Feb 19 20:28:37.643: ISAKMP:(2001): sending packet to xxx.xxx.xxx.xxx my_port 500 peer_port 500 (R) QM_IDLE
Feb 19 20:28:37.643: ISAKMP:(2001):Sending an IKE IPv4 Packet.
Feb 19 20:28:37.647: ISAKMP:(2001):purging node -333194258
Feb 19 20:28:37.647: ISAKMP:(2001):deleting node -782773919 error TRUE reason "QM rejected"
Feb 19 20:28:37.647: ISAKMP:(2001):Node -782773919, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Feb 19 20:28:37.647: ISAKMP:(2001):Old State = IKE_QM_READY New State = IKE_QM_READY
Feb 19 20:28:47.707: ISAKMP (2001): received packet from 83.80.87.59 dport 500 sport 500 Global (R) QM_IDLE
Feb 19 20:28:47.707: ISAKMP:(2001): phase 2 packet is a duplicate of a previous packet |
En nu zit ik een beetje vast, phase 2 SA policy not acceptable! ?
wie heeft een idee wat ik allemaal verkeerd heb staan kan het aan de access list liggen of de routering ?
Ik begrijp ook niet hoe ik 2 verschillende lifetimes in de cisco kan krijgen zoals de netgear had.
Wie kan me een eindje op weg helpen??
hieronder mijn config
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
| show running-config
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco877
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-920417308
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-920417308
revocation-check none
rsakeypair TP-self-signed-920417308
!
!
crypto pki certificate chain TP-self-signed-920417308
certificate self-signed 01
-knip-
quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.20
ip dhcp excluded-address 192.168.1.22
ip dhcp excluded-address 192.168.1.80
ip dhcp excluded-address 192.168.1.11
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool DHCP
network 192.168.1.0 255.255.255.0
dns-server 83.98.255.11 83.98.255.20
default-router 192.168.1.1
lease 0 0 15
!
!
ip cef
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
username januzz privilege 15 password 0 xxxxxx
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxxxx address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set werk esp-3des esp-sha-hmac
!
crypto map mapname 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set security-association lifetime seconds 28800
set transform-set werk
match address 101
!
archive
log config
hidekeys
!
!
!
bridge irb
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
bridge-group 1
bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface BVI1
mac-address 0013.35ab.1237
ip address dhcp
ip nat outside
ip virtual-reassembly
crypto map mapname
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
!
ip nat inside source list 1 interface BVI1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 permit ip 0.0.0.0 255.255.255.0 0.0.0.0 255.255.255.0
access-list 101 permit ip 192.168.1.0 0.0.0.255 10.38.21.0 0.0.0.255
access-list 101 permit ip 0.0.0.0 255.255.255.0 0.0.0.0 255.255.255.0
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address 001d.d5c9.fb16 discard
!
line con 0
no modem enable
line aux 0
line vty 0 4
login local
!
scheduler max-task-time 5000
end |