Cisco 877 Site2Site naar Zyxel USG geen verkeer over tunnel

dinsdag 6 september 2011 11:27

Acties:

Certified Prutser

Topicstarter

Smogges!

Ik ben gevraagd om een Cisco 877 in te stellen voor een site to site VPN naar een site waar een USG 100 van Zyxel staat..

Nu kom ik een heel end en zie ik dat ie verbonden is. Maar er gaat geen verkeer overheen.

nu zie ik in de USG een melding NO_Proposal_Chosen

maar alles lijkt gelijk te zijn:

[cisco config]

code:

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 1
crypto isakmp key test123456 address <WAN IP TARGET>
!
crypto ipsec transform-set 3DESSHA esp-3des esp-sha-hmac
!
crypto ipsec profile IPSEC-VPN
 set transform-set 3DESSHA
!
!
!
crypto map WORKVPN 20 ipsec-isakmp
 set peer <WAN IP TARGET>
 set transform-set 3DESSHA
 match address 110

interface Tunnel0
 description --- IPSec Tunnel to Office ---
 no ip address
 load-interval 30
 tunnel source Vlan2
 tunnel destination <WAN IP TARGET>
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-VPN

interface FastEthernet3
 switchport access vlan 2
!
interface Vlan2
 description WAN TEST
 ip address <MY WAN> 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 <Internet Gateway>
ip route 10.0.0.0 255.255.255.0 Tunnel0
!
access-list 102 deny   ip 10.11.12.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 permit ip 10.11.12.0 0.0.0.255 any
access-list 110 permit ip 10.11.12.0 0.0.0.255 10.0.0.0 0.0.0.255

Op de USG heb ik:
Phase 1:
Shared key = test123456
SA-Lifetime 86400
Negotiation mode: Main
Proposal: 3DES SHA1
DH: 1
NAT Traversal: UIT
DPD: UIT

Phase 2:
Local en remote policies op de juiste netwerkadressen
SA Lifetime: 86400
Active protocol: ESP
Encapsulation: Tunnel
Proposal: 3DES SHA1
PFS: None

het lijkt mij te kloppen.. Andere IPSEC connecties naar de USG werken naar behoren.
Maar de melding lijkt te zeggen dat er mogelijk encryptie instellingen niet goed staan.. maar ik kan het effe niet meer zien..

Debug output

code:

#show crypto ipsec sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr MY WAN

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer REMOTE WAN port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: MY WAN, remote crypto endpt.: REMOTE WAN
     path mtu 1500, ip mtu 1500, ip mtu idb Vlan2
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:
     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.11.12.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)
   current_peer REMOTE WAN port 500
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: MY WAN, remote crypto endpt.: REMOTE WAN
     path mtu 1500, ip mtu 1500, ip mtu idb Vlan2

     current outbound spi: 0xF051592E(4031863086)

     inbound esp sas:
      spi: 0xF7178CA1(4145515681)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 19, flow_id: Motorola SEC 1.0:19, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4538703/755)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF051592E(4031863086)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 20, flow_id: Motorola SEC 1.0:20, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4538703/755)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:


#show crypto engine connection active
Crypto Engine Connections

   ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
   19 Vl2        IPsec 3DES+SHA                  0        0 MY WAN
   20 Vl2        IPsec 3DES+SHA                  0        0 MY WAN
 2011 Vl2        IKE   SHA+3DES                  0        0 MY WAN

#debug crypto isakmp
Crypto ISAKMP debugging is on

#debug crypto ipsec
Crypto IPSEC debugging is on

Iemand misschien wat tips?? Of een slimme vraag?

[ Voor 42% gewijzigd door RoRoo op 06-09-2011 12:07 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 6 september 2011 18:11

Acties:

RoRoo

Certified Prutser

Topicstarter

Bij gebrek aan intelligente antwoorden....

Zelf opgelost

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 6 september 2011 18:20

Acties:

lier

MikroTik nerd

RoRoo schreef op dinsdag 06 september 2011 @ 18:11:
Zelf opgelost

Ehm...fijn voor je!!
Ennuh...hoe heb je het gedaan??

Eerst het probleem, dan de oplossing

zondag 11 september 2011 23:57

Acties:

PeterEs

Ben ook wel benieuwd! Heb het zelf een jaartje geleden geprobeerd met een 876 en een zywall usg 100 maar niet voor elkaar gekregen. Toen maar anders opgelost

maandag 12 september 2011 11:19

Acties:

RoRoo

Certified Prutser

Topicstarter

PeterEs schreef op zondag 11 september 2011 @ 23:57:
Ben ook wel benieuwd! Heb het zelf een jaartje geleden geprobeerd met een 876 en een zywall usg 100 maar niet voor elkaar gekregen. Toen maar anders opgelost

kompie

code:

crypto isakmp policy 9
 hash md5
 authentication pre-share
crypto isakmp key <PreSharedKey> address <WANIP TARGET>
!
!
crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac
!
crypto map MAPNAME 10 ipsec-isakmp
 set peer <WANIP TARGET>
 set transform-set SETNAME
 match address 105
!
interface Dialer1
 crypto map MAPNAME
!
access-list 102 deny   ip <Locaal Intern Subnet> 0.0.0.255 <Remote Intern Subnet> 0.0.0.255
access-list 102 permit ip <Locaal Intern Subnet> 0.0.0.255 any
access-list 105 permit ip <Locaal Intern Subnet> 0.0.0.255 <Remote Intern Subnet> 0.0.0.255

En op de USG

Phase 1
SA-LT: 86400
Negotiation: MAIN
Proposal: DES/MD5
DH: 1
NAT-T Aan

Phase 2
SA-LT: 86400
Active Protocol: ESP
Encapsulation: Tunnel
Proposal: 3DES/MD5

PFS: none

Vreemde is wel dat ik vanaf de Cisco niet naar het remote subnet kan pingen, maar vanaf een werkstation wel. Heeft me even van het pad af gebracht.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

maandag 12 september 2011 11:42

Acties:

PeterEs

Thanks, daar hebben we wat aan!

maandag 12 september 2011 23:49

Acties:

Verwijderd

[b]RoRoo schreef op maandag 12 september 2011 @ 11:19:
Vreemde is wel dat ik vanaf de Cisco niet naar het remote subnet kan pingen, maar vanaf een werkstation wel. Heeft me even van het pad af gebracht.

Probeer eens een ping 1.2.3.4 source interface xyz?

dinsdag 30 juni 2015 11:53

Acties:

bjornberfelo

Ik heb een Zywall USHG 20 en heb de instellingen precies zo, alleen krijg ik een foutmelding op de cisco.
*Jun 29 21:01:36: ISAKMP (1001): received packet from 192.168.1.50 dport 500 sport 500 Global (R) QM_IDLE
*Jun 29 21:01:36: ISAKMP: set new node 964994508 to QM_IDLE
*Jun 29 21:01:36: ISAKMP:(1001): processing HASH payload. message ID = 964994508
*Jun 29 21:01:36: ISAKMP:(1001): processing SA payload. message ID = 964994508
*Jun 29 21:01:36: ISAKMP:(1001):Checking IPSec proposal 0
*Jun 29 21:01:36: ISAKMP: transform 1, ESP_3DES
*Jun 29 21:01:36: ISAKMP: attributes in transform:
*Jun 29 21:01:36: ISAKMP: authenticator is HMAC-MD5
*Jun 29 21:01:36: ISAKMP: SA life type in seconds
*Jun 29 21:01:36: ISAKMP: SA life duration (VPI) of 0x0 0x1 0x51 0x80
*Jun 29 21:01:36: ISAKMP: encaps is 1 (Tunnel)
*Jun 29 21:01:36: ISAKMP:(1001):atts are acceptable.
*Jun 29 21:01:36: ISAKMP:(1001): IPSec policy invalidated proposal with error 32
*Jun 29 21:01:36: ISAKMP:(1001): phase 2 SA policy not acceptable! (local 192.168.1.19 remote 192.168.1.50)
*Jun 29 21:01:36: ISAKMP: set new node -882557398 to QM_IDLE
*Jun 29 21:01:36: ISAKMP:(1001):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 3521670784, message ID = 3412409898

dinsdag 30 juni 2015 14:35

Acties:

mbaltus

Post je configs eens.
En verder:
> phase 2 SA policy not acceptable! (local 192.168.1.19 remote 192.168.1.50)
local en remote adres ligt in hetzelfde netwerk?

The trouble with doing something right the first time is that nobody appreciates how difficult it is

dinsdag 30 juni 2015 15:58

Acties:

bjornberfelo

Ja dat klopt, omdat ik een cisco (192.168.1.27) en Zywall USG 20 (192.168.1.50) beide intern heb staan om het te testen.

Bij deze de config

Building configuration...

Current configuration : 4482 bytes
!
! Last configuration change at 20:58:11 Berlin Mon Jun 29 2015 by bjorn
version 15.3
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Berfelo
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$CdsP$MUxeUbj2vtCTWrOD/QMib.
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
aaa authorization auth-proxy default local
!
!
!
!
!
aaa session-id common
wan mode ethernet
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
!
!
!
ip dhcp excluded-address 172.16.16.0 172.16.16.19
!
ip dhcp pool hotspotpool
network 172.16.16.0 255.255.255.0
default-router 172.16.16.254
domain-name Berfelo.local
dns-server 213.51.129.37 213.51.144.37
lease 7
!
ip dhcp pool internNW
network 10.0.1.0 255.255.255.0
default-router 10.0.1.254
domain-name Berfelo.local
dns-server 213.51.129.37 213.51.144.37
lease 7
!
!
!
no ip domain lookup
ip domain name Berfelo.local
ip name-server 213.51.129.37
ip cef
no ipv6 cef
!
!
vpdn enable
vpdn tunnel authorization network default
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
archive
log config
hidekeys
!
no spanning-tree vlan 1
no spanning-tree vlan 911
vtp domain tester
vtp mode transparent
username Bjorn privilege 15 secret 5 $1$dr7M$ajwF.gOxt5cSspnRKJX8T0
!
!
controller VDSL 0
shutdown
!
vlan 911
!
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 1
crypto isakmp key Test_VPN address 192.168.1.50 no-xauth
!
!
crypto ipsec transform-set Zywall_Enschede esp-3des esp-md5-hmac
mode tunnel
crypto ipsec df-bit clear
!
!
!
crypto map Netwerk_Enschede 10 ipsec-isakmp
set peer 192.168.1.50
set transform-set Zywall_Enschede
match address VPN_Enschede
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
switchport mode trunk
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface GigabitEthernet0
description ** Uplink HOTSPOT **
switchport access vlan 911
no ip address
!
interface GigabitEthernet1
description ** Berfelo Netwerk **
no ip address
!
interface GigabitEthernet2
description ** Internet uplink **
ip address dhcp
ip nat outside
no ip virtual-reassembly in
duplex auto
speed auto
ntp disable
no cdp enable
crypto map Netwerk_Enschede
!
interface Virtual-Template1
ip unnumbered Vlan1
peer default ip address pool DIAL-IN
no keepalive
ppp encrypt mppe auto passive stateful
ppp authentication ms-chap-v2
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface Vlan1
description Berfelo vlan
ip address 10.0.1.254 255.255.255.0
no ip redirects
ip nat inside
no ip virtual-reassembly in
no autostate
!
interface Vlan911
description ** Hotspot vlan 911 **
ip address 172.16.16.254 255.255.255.0
ip access-group HOTSPOT in
ip nat inside
no ip virtual-reassembly in
no autostate
!
ip local pool DIAL-IN 10.0.1.161 10.0.1.199
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list NAT interface GigabitEthernet2 overload
ip route 0.0.0.0 0.0.0.0 dhcp
!
ip access-list extended HOTSPOT
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
ip access-list extended NAT
permit ip 172.16.16.0 0.0.0.255 any
deny ip 10.0.1.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 any
ip access-list extended VPN_Enschede
permit ip 10.0.1.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
route-map NAT permit 10
match ip address NAT
!
!
!
!
banner motd ^C
*************************************
* Unauthorized access prohibited
*
* 7000-7555GN Berfelo
* Hengelo
* Config versie: 1.0.18.20150608
*************************************^C
!
line con 0
exec-timeout 5 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line 2
no activation-character
no exec
transport preferred none
transport input all
stopbits 1
line vty 0 4
access-class MANAGEMENT in
transport input ssh
!
scheduler max-task-time 5000
scheduler allocate 60000 1000
ntp update-calendar
ntp server 0.nl.pool.ntp.org prefer source GigabitEthernet2
!
end

Onderwerpen