Toon posts:

site-to-site VPN tussen cisco routers

Pagina: 1
Acties:

Onderwerpen

Cisco Vpn

zaterdag 20 maart 2010 14:01

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik probeer een site-to-site VPN tussen een cisco 877 en een cisco 831 te configureren echter het werkt totaal niet. Als ik de debugging aanzet dan gebeurt er na het pingen ook niets. De enige manier om enige vorm van debugging op mijn scherm te krijgen is als ik met peer discovery werk.

Mijn isakmp en ipsec configuraties zien er ok uit, ze ze exact gelijk en de netwerkadressen zijn gespiegeld dus dat ziet er ook ok uit. Het moet een klein foutje zijn denk ik maar met grote gevolgen :-)

Ik werk met dynamische IP's en ik gebruik ddns via DynDNS om updates te krijgen zodat ik met mijn dynamische ip's kan werken. Bij de debugging van mijn ddns update zie ik dat alles werkt dus daar kan het niet aan liggen.

Dit is de config file van de 877: (ik heb de Firewall-ACL en de cbac firewall eruit gelaten op beide routers)

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HAL9000
!
boot-start-marker
boot-end-marker
!
enable secret 5 <blabla>
!
no aaa new-model
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.5
!
ip dhcp pool BUITENNETWERK
network 10.10.10.0 255.255.255.0
domain-name buitenomgeving.com
dns-server 195.130.131.5 4.2.2.1
default-router 10.10.10.1 255.255.255.0
!
!
ip name-server 4.2.2.1
ip ssh version 2
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall icmp
ip inspect name Firewall cuseeme
ip inspect name Firewall rcmd
ip inspect name Firewall http
ip inspect name Firewall tftp
ip inspect name Firewall ftp
ip inspect name Firewall realaudio
ip inspect name Firewall h323
ip inspect name Firewall ddns-v3
ip inspect name Firewall dns
ip ddns update method DynDNS
HTTP
add http://xxxxx:xxxxx.dyndns.org/nic/up...dojo.com&myip=
interval maximum 1 0 0 0
!
!
multilink bundle-name authenticated
!
!
!
!
username <blabla> privilege 15 secret 5 <blabla>
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key testsleutel address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set SET1 esp-3des esp-md5-hmac
!
crypto dynamic-map 877-VPN 1
set peer <blabla>
set transform-set SET1
set pfs group2
match address VPN-ACL
!
!
crypto map VPN 1 ipsec-isakmp dynamic 877-VPN discover
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.252
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 4
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map geen-NAT-LAN
!
interface Vlan4
description WAN interface via DHCP van ISP
ip ddns update hostname cisco1.dnsdojo.com
ip ddns update DynDNS host members.dyndns.org
ip address dhcp
ip access-group Firewall-ACL in
ip nat outside
ip virtual-reassembly
crypto map VPN
!
!
!
no ip http server
no ip http secure-server
ip nat inside source route-map geen-NAT interface Vlan4 overload
!
ip access-list extended NAT
deny ip 10.10.10.0 0.0.0.255 172.16.0.0 0.0.0.255
permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended VPN-ACL
permit ip 10.10.10.0 0.0.0.255 172.16.0.0 0.0.0.255
ip access-list extended geen-NAT-LAN-ACL
permit ip 10.10.10.0 0.0.0.255 172.16.0.0 0.0.0.255
!
!
!
!
route-map geen-NAT-LAN permit 10
match ip address geen-NAT-LAN
set interface Loopback0
!
route-map geen-NAT permit 10
match ip address NAT
!
!
control-plane
!
!
line con 0
exec-timeout 300 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 300 0
login local
transport input ssh
!
scheduler max-task-time 5000
end


Dit is de config file van de 831:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ROUTER2
!
boot-start-marker
boot-end-marker
!
enable secret 5 <blabla>
!
no aaa new-model
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.0.1 172.16.0.5
!
ip dhcp pool NETWERK
network 172.16.0.0 255.255.255.0
domain-name testomgeving.com
default-router 172.16.0.1 255.255.255.0
dns-server 195.130.131.5 4.2.2.1
lease 0 12
!
!
ip cef
ip name-server 195.130.131.5
ip name-server 4.2.2.1
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall icmp
ip inspect name Firewall cuseeme
ip inspect name Firewall rcmd
ip inspect name Firewall http
ip inspect name Firewall tftp
ip inspect name Firewall ftp
ip inspect name Firewall realaudio
ip inspect name Firewall h323
ip inspect name Firewall ddns-v3
ip inspect name Firewall dns
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip ddns update method DynDNS
HTTP
add http://xxxxx:xxxxx@members.dyndns.or...dojo.com&myip=
interval maximum 1 0 0 0
!
!
!
!
username <blabla> privilege 15 secret 5 <blabla>
!
!
ip ssh version 2
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key testsleutel address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set SET1 esp-3des esp-md5-hmac
!
crypto dynamic-map 831-VPN 1
set peer <blabla>
set transform-set SET1
set pfs group2
match address VPN-ACL
!
!
crypto map VPN 1 ipsec-isakmp dynamic 831-VPN discover
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.252
!
interface Ethernet0
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map geen-NAT-LAN
!
interface Ethernet1
ip ddns update hostname cisco2.dnsdojo.com
ip ddns update DynDNS host members.dyndns.org
ip address dhcp
ip access-group Firewall-ACL in
ip nat outside
ip virtual-reassembly
duplex auto
crypto map VPN
!
interface Ethernet2
no ip address
shutdown
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
ip nat inside source route-map geen-NAT interface Ethernet1 overload
!
!
ip access-list extended NAT
deny ip 172.16.0.0 0.0.0.255 10.10.10.0 0.0.0.255
permit ip 172.16.0.0 0.0.0.255 any
ip access-list exd VPN-ACL
permit ip 172.16.0.0 0.0.0.255 10.10.10.0 0.0.0.255
ip access-list extended geen-NAT-LAN-ACL
permit ip 172.16.0.0 0.0.0.255 10.10.10.0 0.0.0.255
!
route-map geen-NAT-LAN permit 10
match ip address geen-NAT-LAN-ACL
set default interface Loopback0
!
route-map geen-NAT permit 10
match ip address NAT
!
!
!
control-plane
!
!
line con 0
exec-timeout 300 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 300 0
password juno
login local
transport input ssh
!
scheduler max-task-time 5000
end

Dit is de debugging dat ik krijg op de 877 na poging tot pingen naar de host op de 831:
Het valt me op dat deze outbound is en bij transform staat NONE??

Mar 20 11:42:11.071: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 10.10.10.7, remote= 172.16.0.2,
local_proxy= 10.10.10.0/255.255.255.0/0/0 (type=4),
remote_proxy= <blabla>/255.255.255.255/0/0 (type=1),
protocol= ESP, transform= NONE (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 dest=Vlan4 <blabla>
Mar 20 11:42:11.071: ISAKMP: GOT A PEER DISCOVERY MESSAGE FROM THE SA MANAGER!!!
Mar 20 11:42:11.071: src = 10.10.10.7 to 172.16.0.2
Mar 20 11:42:11.071: proxy source is 10.10.10.0/255.255.255.0 and my address (not used now) is <blabla>
Mar 20 11:42:11.071: ISAKMP:(0): SA request profile is (NULL)
Mar 20 11:42:11.071: ISAKMP: Created a peer struct for 172.16.0.2, peer port 500
Mar 20 11:42:11.071: ISAKMP: New peer created peer = 0x83CB28D8 peer_handle = 0x80000008
Mar 20 11:42:11.071: ISAKMP: Locking peer struct 0x83CB28D8, refcount 1 for isakmp_initiator
Mar 20 11:42:11.071: ISAKMP: local port 500, remote port 500
Mar 20 11:42:11.071: ISAKMP: set new node 0 to QM_IDLE
Mar 20 11:42:11.071: insert sa successfully sa = 83F80CA4
Mar 20 11:42:11.071: ISAKMP:(0):SA is doing unknown authentication!
Mar 20 11:42:11.071: ISAKMP (0:0): ID payload
next-payload : 5
type : 1
address : <blabla>
protocol : 17
port : 500
length : 12
Mar 20 11:42:11.075: ISAKMP:(0):Total payload length: 12
Mar 20 11:42:11.075: 1st ID is <blabla>
Mar 20 11:42:11.075: 2nd ID is 10.10.10.0 255.255.255.0
Mar 20 11:42:11.075: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_TED_REQ
Mar 20 11:42:11.075: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_TED_RESP

Mar 20 11:42:11.075: ISAKMP:(0): beginning peer discovery exchange
Mar 20 11:42:11.075: ISAKMP:(0): sending packet to 172.16.0.2 my_port 500 peer_port 500 (I) PEER_DISCOVERY via Vlan4:<blabla>
Mar 20 11:43:26.071: ISAKMP: quick mode timer expired.
Mar 20 11:43:26.071: ISAKMP:(0):src 10.10.10.7 dst 172.16.0.2, SA is not authenticated
Mar 20 11:43:26.071: ISAKMP:(0)eer does not do paranoid keepalives.

Mar 20 11:43:26.071: ISAKMP:(0):deleting SA reason "QM_TIMER expired" state (I) PEER_DISCOVERY (peer 172.16.0.2)
Mar 20 11:43:26.071: ISAKMP:(0):deleting SA reason "QM_TIMER expired" state (I) PEER_DISCOVERY (peer 172.16.0.2)
Mar 20 11:43:26.071: ISAKMP: Unlocking peer struct 0x83CB28D8 for isadb_mark_sa_deleted(), count 0
Mar 20 11:43:26.071: ISAKMP: Deleting peer node by peer_reap for 172.16.0.2: 83CB28D8
Mar 20 11:43:26.071: ISAKMP:(0):deleting node 0 error FALSE reason "IKE deleted"
Mar 20 11:43:26.071: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Mar 20 11:43:26.071: ISAKMP:(0):Old State = IKE_I_TED_RESP New State = IKE_DEST_SA

Mar 20 11:43:26.071: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 20 11:44:16.071: ISAKMP:(0)urging node 0
Mar 20 11:44:26.071: ISAKMP:(0)urging SA., sa=83F80CA4, delme=83F80CA4

Tenslotte nog de debugging op de 831 wanneer ik ping naar de host op de 877:
het valt me op dat deze hier inbound is en dat de transform-set hier wel gespecifiëerd staat.

Mar 20 11:37:55.203: IPSEC(tunnel discover request): ,
(key eng. msg.) INBOUND local= 172.16.0.2, remote= 10.10.10.7,
local_proxy= 172.16.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= <blabla>/255.255.255.255/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4003 dest=Ethernet1 <blabla>
Mar 20 11:37:55.207: ISAKMP: received ke message (1/1)
Mar 20 11:37:55.207: ISAKMP: GOT A PEER DISCOVERY MESSAGE FROM THE SA MANAGER!!!
Mar 20 11:37:55.207: src = 172.16.0.2 to 10.10.10.7, protocol 3, transform 3, hmac 1
Mar 20 11:37:55.207: proxy source is 172.16.0.0/255.255.255.0 and my address (not used now) is <blabla>
Mar 20 11:37:55.207: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
Mar 20 11:37:55.207: ISAKMP: Created a peer struct for 10.10.10.7, peer port 500
Mar 20 11:37:55.211: ISAKMP: New peer created peer = 0x82237AAC peer_handle = 0x80000008
Mar 20 11:37:55.211: ISAKMP: Locking peer struct 0x82237AAC, IKE refcount 1 for isakmp_initiator
Mar 20 11:37:55.211: ISAKMP: local port 500, remote port 500
Mar 20 11:37:55.211: ISAKMP: set new node 0 to QM_IDLE
Mar 20 11:37:55.211: insert sa successfully sa = 8201104C
Mar 20 11:37:55.211: ISAKMP:(0:0:N/A:0):SA is doing unknown authentication!
Mar 20 11:37:55.215: ISAKMP (0:0): ID payload
next-payload : 5
type : 1
address : <blabla>
protocol : 17
port : 500
length : 12
Mar 20 11:37:55.215: ISAKMP:(0:0:N/A:0):Total payload length: 12
Mar 20 11:37:55.215: 1st ID is <blabla>
Mar 20 11:37:55.215: 2nd ID is 172.16.0.0/255.255.255.0
Mar 20 11:37:55.215: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_TED_REQ
Mar 20 11:37:55.215: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I_TED_RESP

Mar 20 11:37:55.219: ISAKMP:(0:0:N/A:0): beginning peer discovery exchange
Mar 20 11:37:55.219: ISAKMP:(0:0:N/A:0): sending packet to 10.10.10.7 my_port 500 peer_port 500 (I) PEER_DISCOVERY via Ethernet1:<blabla>
Mar 20 11:39:10.211: ISAKMP: quick mode timer expired.
Mar 20 11:39:10.211: ISAKMP:(0:0:N/A:0):src 172.16.0.2 dst 10.10.10.7, SA is not authenticated
Mar 20 11:39:10.211: ISAKMP:(0:0:N/A:0)eer does not do paranoid keepalives.

Mar 20 11:39:10.211: ISAKMP:(0:0:N/A:0):deleting SA reason "QM_TIMER expired" state (I) PEER_DISCOVERY (peer 10.10.10.7)
Mar 20 11:39:10.211: ISAKMP:(0:0:N/A:0):Can't decrement IKE Call Admisstion Control stat outgoing_active since it's already 0.
Mar 20 11:39:10.215: ISAKMP:(0:0:N/A:0):deleting SA reason "QM_TIMER expired" state (I) PEER_DISCOVERY (peer 10.10.10.7)
Mar 20 11:39:10.215: ISAKMP: Unlocking IKE struct 0x82237AAC for isadb_mark_sa_deleted(), count 0
Mar 20 11:39:10.215: ISAKMP: Deleting peer node by peer_reap for 10.10.10.7: 82237AAC
Mar 20 11:39:10.215: ISAKMP:(0:0:N/A:0):deleting node 0 error FALSE reason "IKE deleted"
Mar 20 11:39:10.219: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Mar 20 11:39:10.219: ISAKMP:(0:0:N/A:0):Old State = IKE_I_TED_RESP New State = IKE_DEST_SA

Mar 20 11:39:10.219: IPSEC(key_engine): got a queue event with 1 kei messages
Mar 20 11:40:00.215: ISAKMP:(0:0:N/A:0)urging node 0

Ik hoop dat iemand mij hierbij kan helpen want ik weet het echt niet meer.

vriendelijke groeten

Modbreak:Ik heb heb nog even wat usernames, hashes en IP's eruit gehaald

[ Voor 0% gewijzigd door FatalError op 20-03-2010 22:48 ]

zaterdag 20 maart 2010 22:34

Acties:
  • 0 Henk 'm!
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Misschien handig om je password hashes even weg te halen? De hele wereld heeft nu je publieke ip's en je password hashes.. Een kwestie van brute forcen en men heeft je passwords. Niet makkelijk, maar als iemand maar hard genoeg wil..

Ik kan je ook zo 123 niet helpen, ik zit een beetje te staren naar je config en naar mijn eigen configs (ik heb alleen asa's), maar ik zie niet veel vreemds.. Die errors in je log zeggen me ook niet veel.

[ Voor 6% gewijzigd door axis op 20-03-2010 22:35 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

zondag 21 maart 2010 07:10

Acties:
  • 0 Henk 'm!
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Volgens mij gaat dit niet werken i.c.m. NAT, of zul je speciale maatregelen moeten treffen daarvoor. DMVPN b.v.

Ik zou beginnen met de config zoveel mogelijk te versimpelen. Alles wat niet echt nodig is eruit wippen, zoals de ip inspect regels. Verwijder ook alles wat met NAT te maken heeft.

Daarnaast eens kunnen testen of je een s2s tunnel kunt bouwen op een lokaal netwerkje, dus zonder het internet er tussen. Ja, dat heeft weinig nut, maar het is alleen voor fout isolatie.

zondag 21 maart 2010 10:15

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb reeds geprobeerd om zonder NAT te werken maar het verandert er niets aan. Ik zal eens die inspect regels verwijderen maar dat zal waarschijnlijk ook niet helpen aangezien ze nergens worden toegepast.

Ik zal het eens proberen op een lokaal netwerk, ik laat nog weten hoe het gegaan is.

Wat me ook net is opgevallen bij beide debuggings zijn de WAN ip's, in mijn voorbeeld eindigt de ene op 199 en de andere op 207, echter in de onderste regel, bij destination eindigen ze beide op 1.
Dat is toch eigenaardig? of zou dit te maken hebben met het feit dat ze op dezelfde modem zitten?

Mar 20 11:42:11.071: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 10.10.10.7, remote= 172.16.0.2,
local_proxy= 10.10.10.0/255.255.255.0/0/0 (type=4),
remote_proxy= xx.xx.xx.199/255.255.255.255/0/0 (type=1),
protocol= ESP, transform= NONE (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 dest=Vlan4 xx.xx.xx.1

Mar 20 11:37:55.203: IPSEC(tunnel discover request): ,
(key eng. msg.) INBOUND local= 172.16.0.2, remote= 10.10.10.7,
local_proxy= 172.16.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= xx.xx.xx.207/255.255.255.255/0/0 (type=1),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4003 dest=Ethernet1 xx.xx.xx.1

[ Voor 65% gewijzigd door Verwijderd op 21-03-2010 10:39 ]

dinsdag 23 maart 2010 17:33

Acties:
  • 0 Henk 'm!
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 10-09 10:42

Barreljan

...Zoom-Zoom...

Ik snap ook even niet waarom je een dynamic map gebruikt? Maargoed er zal wel een theorie achter zitten. Dat je externe IP adressen van je remote_proxy in dezelfde reeks zitten dat alleen het laatste octet anders is mag niet uitmaken. Dat heb ik namelijk ook nu in de onder geschetste situatie. Hence, mn ouders zitten 5 ip adressen lager in hetzelfde subnet :P

Misschien even voor de debug een keer proberen met de firewall van je ethernet1 verwijderd? Ik heb ook een acl op de fa4 staan maar daarin heb ik wel wat rules opgenomen om isakmp/ipsec toe te laten van mn ouders af.


Hier dus een idee hoe ik het opbouw tussen mn verbinding thuis en die bij mn ouders. Hierbij gebruik ik NAT voor het normale Internet en er zit dus in de 101 acl een deny statement om het verkeer NIET te natten als het voor de tunnel bestemd is. Dit op een iets andere manier dan de routemaps die je gebruikt maar wellicht handig :

(C871 tegen over een andere C871)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key vpnm3tl0cat13 address 1.1.2.1
!
!
crypto ipsec transform-set TRANSFORMSET esp-3des esp-md5-hmac
!
crypto map CMAP_1 1 ipsec-isakmp
 description Tunnel to bla
 set peer 1.1.2.1
 set transform-set TRANSFORMSET
 match address 102

interface FastEthernet4
 description Internet
 ip address 1.1.1.2 255.255.255.0
 crypto map CMAP_1
!
interface Vlan1
 description to-LAN
 ip address 192.168.1.254 255.255.255.0

ip nat inside source list 101 interface FastEthernet4 overload

access-list 101 remark --  NAT Access List --
access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 remark --  VPN IPSec Access List --
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255


De andere zijde is omgekeerd eigenlijk:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key vpnm3tl0cat13 address 1.1.2.1
!
!
crypto ipsec transform-set TRANSFORMSET esp-3des esp-md5-hmac
!
crypto map CMAP_1 1 ipsec-isakmp
 description Tunnel to 
 set peer 1.1.2.1
 set transform-set TRANSFORMSET
 match address 102

interface FastEthernet4
 description Internet
 ip address 1.1.2.1 255.255.255.0
 crypto map CMAP_1
!
interface Vlan1
 description to-LAN
 ip address 192.168.0.254 255.255.255.0

ip nat inside source list 101 interface FastEthernet4 overload

access-list 101 remark --  NAT Access List --
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 remark --  VPN IPSec Access List --
access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255



de IP adressen op de Fa4 en de PSK heb ik even fictief gemaakt.

[ Voor 3% gewijzigd door Barreljan op 23-03-2010 17:36 ]

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

donderdag 25 maart 2010 09:19

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ok door die dynamic map te verwijderen werkt de debugging nu wel echter zit ik nu met een ander probleem: Blijkbaar hebben de local en remote peer hetzelfde adres.

IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
xx.xxx.xxx.87 xx.xxx.xxx.87 MM_NO_STATE 0 0 ACTIVE (deleted)

Terwijl als ik naar de wan interface op mijn andere router ga zie ik dat deze wel degelijk xx.xxx.xxx.83 is.

Ik heb buiten het verwijderen van die dynamic crypto map niets gewijzigd aan de configuratie. Die route-maps heb ik ook verwijderd.

Iemand een idee?

donderdag 25 maart 2010 13:47

Acties:
  • 0 Henk 'm!
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Welke ISP en wat voor een abbonementen heb je eigenlijk.

Kun je eigenlijk wel pingen van het ene publieke adres naar het andere publieke ip adres? Er staat me iets bij dat direct verkeer tussen mensen in hetzelfde IP subnet niet mogelijk zou zijn (bij kabel providers).

Verder kan ik alleen maar suggereren om in een lab of studie opstelling eens een basic VPN tunneltje te bouwen tussen 2 netwerkjes. Of voor mijn part eerst een GRE tunnel om het jezelf wat gemakkelijker te maken.

donderdag 25 maart 2010 15:14

Acties:
  • 0 Henk 'm!
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 10-09 10:42

Barreljan

...Zoom-Zoom...

In tot hoeverre heb je wat nu verwijderd of toegevoegd?

Misschien weer even een kopie van de beide config's (zonder password etc)

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

donderdag 25 maart 2010 18:48

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb de oplossing gevonden. Ik had de peers andersom ingesteld in de crypto map. Ik had dat constant over het hoofd gezien. Vandaar dat de local en remote peer dezelfde waren bij het debuggen. Een erg stomme fout van mij. Maar ja, zo leren we bij hé.
De configuratie is in elk geval veel simpeler nu zonder die route maps.
Alleszins bedankt iedereen voor de moeite.

Vriendelijke groeten,
Lazykiller
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq