Toon posts:

[IPSEC] Site to Site Cisco 877 - Draytek 2710

Pagina: 1
Acties:

woensdag 9 mei 2012 17:16

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Topicstarter
Goedesmiddags...

Ik zit de halve middag nu te googlen en topics door te lezen, maar ik kom er maar niet uit :(

Klant heeft een 2e locatie gekregen waar door de ISP een Draytek 2710 geplaatst is.
deze moet via IPSEC gaan communiceren met de Cisco 877 op de hoofdlocatie.

Ik heb de volgende regels toegevoegd aan de cisco:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

crypto isakmp policy 9
 hash md5
 authentication pre-share
crypto isakmp key key12343 address WANIP DRAYTEK
!
!
crypto ipsec transform-set SETNAME ah-sha-hmac esp-3des esp-md5-hmac
!
crypto map MAPNAME 10 ipsec-isakmp
 set peer WANIP DRAYTEK
 set transform-set SETNAME
 match address 105

interface dialer0
 crypto map MAPNAME

access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.16.0 0.0.0.255


Deze code werkt op een andere klantlocatie prima (naar een Zyxel USG)

de Draytek:
belangrijkste instellingen. Mocht een screenie wenselijk zijn, laat maar weten.

ServerIP / hostname bevat het wan ip van de cisco

Pre-SHared key staat correct ingevuld.
IPSEC Security method staat op High (ESP) DES with Authentication
Advanced knopje geeft me:

IKE Phase1 mode MAIN
ph1 Proposal: DES_MD5_G1
ph2 proposal DES_MD5
Lifetime voor Ph1 en 2 op 86400
PFS disabled
localid = leeg

Doe ik sh crypto isakmp sa krijg ik dit:
code:
1
2
3
4
5
6

IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
x.x.x.x   y.y.y.y     MM_NO_STATE       2072    0 ACTIVE (deleted)
x.x.x.x   y.y.y.y     MM_NO_STATE       2071    0 ACTIVE (deleted)
x.x.x.x   y.y.y.y     MM_NO_STATE       2070    0 ACTIVE (deleted)
x.x.x.x   y.y.y.y     MM_NO_STATE       2069    0 ACTIVE (deleted)


sh crypto ipsec sa
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

interface: Dialer0
    Crypto map tag: MAPNAME, local addr localwan

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.16.0/255.255.255.0/0/0)
   current_peer remotewan port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: localip, remote crypto endpt.: remoteip
     path mtu 1500, ip mtu 1500, ip mtu idb Dialer0
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

interface: Virtual-Access2
    Crypto map tag: MAPNAME, local addr 0.0.0.0

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.16.0/255.255.255.0/0/0)
   current_peer remoteip port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 0.0.0.0, remote crypto endpt.: xxxxxx
     path mtu 1500, ip mtu 1500, ip mtu idb Virtual-Access2
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


en bij sh crypto engine connections active
code:
1
2
3
4

Crypto Engine Connections

   ID Interface  Type  Algorithm           Encrypt  Decrypt IP-Address
 2090 Di0        IKE   MD5+DES                   0        0 x.x.x.x


Debugging aangezet maar ik zie niets voorbij komen.

Ik ben geen cisco ipsec guru en kan m'n weg redelijk vinden. maar dit gaat me net even boven mijn pet.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

woensdag 9 mei 2012 19:08

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Het probleem is denk ik dat je in je Crypto set in je cisco alleen 3DES hebt en de draytek alleen DES lijkt te gebruiken.

Vicariously I live while the whole world dies

woensdag 9 mei 2012 19:12

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Met een debug actie op de Cisco zie je waarschijnlijk wel waar het mis gaat ?

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 9 mei 2012 21:09

Acties:

Verwijderd

Heb je in de Cisco ook een deny regel aangemaakt voor NAT naar de andere lokatie?

woensdag 9 mei 2012 21:35

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op woensdag 09 mei 2012 @ 21:09:
Heb je in de Cisco ook een deny regel aangemaakt voor NAT naar de andere lokatie?
Zonder de NAT moet hij ook in ieder geval de tunnel opzetten. Wellicht krijg je er geen verkeer over, maar de tunnel bouwt wel op.

Vicariously I live while the whole world dies

donderdag 10 mei 2012 10:48

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Topicstarter
Vicarious schreef op woensdag 09 mei 2012 @ 19:08:
Het probleem is denk ik dat je in je Crypto set in je cisco alleen 3DES hebt en de draytek alleen DES lijkt te gebruiken.
Hmm terwijl ik toch ook een DES zag in de connectie. e.e.a. naar DES gezet in draytek, nog steeds geen connectie..
ChaserBoZ_ schreef op woensdag 09 mei 2012 @ 19:12:
Met een debug actie op de Cisco zie je waarschijnlijk wel waar het mis gaat ?
Debugging aangezet, maar zoals in startpost ook al aangegeven dat ik vreemd genoeg niets zie? Zie niks voorbij komen....

Ik loop enorm te prutsen.. :)

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

donderdag 10 mei 2012 10:54

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

RoRoo schreef op donderdag 10 mei 2012 @ 10:48:
[...]

Hmm terwijl ik toch ook een DES zag in de connectie. e.e.a. naar DES gezet in draytek, nog steeds geen connectie..


[...]

Debugging aangezet, maar zoals in startpost ook al aangegeven dat ik vreemd genoeg niets zie? Zie niks voorbij komen....

Ik loop enorm te prutsen.. :)
Dan ziet de firewall geen interessant verkeer voorbij komen. Heb je aangegeven dat verkeer naar 192.168.16.0 door de tunnel heen moet met een ip route 192.168.16.0 255.255.255.0 <next-hop-adres> commando?

Vicariously I live while the whole world dies

donderdag 10 mei 2012 11:13

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Topicstarter
Vicarious schreef op donderdag 10 mei 2012 @ 10:54:
[...]

Dan ziet de firewall geen interessant verkeer voorbij komen. Heb je aangegeven dat verkeer naar 192.168.16.0 door de tunnel heen moet met een ip route 192.168.16.0 255.255.255.0 <next-hop-adres> commando?
Mijn next hop is in principe mijn Cisco toch? volgens mij (please correct me if i'm wrong) doe ik dat icm mijn accesslist en crypto map?
?

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

donderdag 10 mei 2012 12:50

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

RoRoo schreef op donderdag 10 mei 2012 @ 11:13:
[...]

Mijn next hop is in principe mijn Cisco toch? volgens mij (please correct me if i'm wrong) doe ik dat icm mijn accesslist en crypto map?
?
Op je Cisco wel ja, op de apparaten achter je Cisco moet dat wellicht nog (of hebben je servers/werkstations die Cisco 877 als default gateway staan?)

Vicariously I live while the whole world dies

donderdag 10 mei 2012 13:29

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 20-02 14:13

mbaltus

RoRoo schreef op donderdag 10 mei 2012 @ 10:48:
Hmm terwijl ik toch ook een DES zag in de connectie. e.e.a. naar DES gezet in draytek, nog steeds geen connectie..
Maar je Cisco staat op 3DES, dus dan moet de Vigor ook op 3DES staan.
Verder controleren of de Lifetimes identiek staan aan beide kanten voor beide proposals.
Zorg ervoor dat op je Cisco ook PFS uitgeschakeld staat (no set pfs).

Zet verder even debugging aan om meer informatie te krijgen waar het misgaat:
code:
1
2
3

Router# debug crypto verbose
Router# debug crypto isakmp
Router# term monitor

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 10 mei 2012 13:36

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Topicstarter
Vicarious schreef op donderdag 10 mei 2012 @ 12:50:
Op je Cisco wel ja, op de apparaten achter je Cisco moet dat wellicht nog (of hebben je servers/werkstations die Cisco 877 als default gateway staan?)
Yep. Cisco is DG.
mbaltus schreef op donderdag 10 mei 2012 @ 13:29:
Maar je Cisco staat op 3DES, dus dan moet de Vigor ook op 3DES staan.
Verder controleren of de Lifetimes identiek staan aan beide kanten voor beide proposals.
Zorg ervoor dat op je Cisco ook PFS uitgeschakeld staat (no set pfs).

Zet verder even debugging aan om meer informatie te krijgen waar het misgaat:
code:
1
2
3

Router# debug crypto verbose
Router# debug crypto isakmp
Router# term monitor
Nu snap ik m niet meer haha de 1 zegt dat ie op des staat.. ik zie in een sh command 3des staan... :?

wat is nu eigenlijk mijn ph1 en wat is de ph2 binnen de cisco? dan probeer ik de draytek daar gelijk aan te krijgen.

Ik zal alles nog even checken met jouw commands mbaltus.. thanks.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

donderdag 10 mei 2012 14:49

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

RoRoo schreef op donderdag 10 mei 2012 @ 13:36:
[...]


Yep. Cisco is DG.


[...]


Nu snap ik m niet meer haha de 1 zegt dat ie op des staat.. ik zie in een sh command 3des staan... :?

wat is nu eigenlijk mijn ph1 en wat is de ph2 binnen de cisco? dan probeer ik de draytek daar gelijk aan te krijgen.

Ik zal alles nog even checken met jouw commands mbaltus.. thanks.
JE zegt zelf in de openingspost:
code:
1

crypto ipsec transform-set SETNAME ah-sha-hmac esp-3des esp-md5-hmac


en voor de draytek:
code:
1
2
3

IPSEC Security method staat op High (ESP) DES with Authentication
ph1 Proposal: DES_MD5_G1
ph2 proposal DES_MD5


Volgens mij staat je Draytek dus op DES encryptie en je Cisco op 3DES.

ohja, isakmp-deel is phase 1, ipsec deel is phase 2. Zo te zien heb je dus in het isakmp deel (phase 1) helemaal geen encryptie in je Cisco.

[ Voor 8% gewijzigd door Vicarious op 10-05-2012 14:51 ]

Vicariously I live while the whole world dies

vrijdag 18 mei 2012 09:32

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Topicstarter
Communicatie wilde maar niet tot stand komen...
hebben het nu anders opgelost... 8)7
dan maar niet via cisco

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq