[Cisco] Encrypted tunnel probs

Pagina: 1
Acties:
  • 213 views sinds 30-01-2008
  • Reageer

  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Hoi, heel gek probleem hier.. Ik zit momenteel met twee Cisco SOHO routers waartussen een tunnel is opgezet en de route-regels zijn opgenomen.

Dit werkt. Beide routers kunnen elkaars LAN-IP pingen. Het pingen naar de systemen erachter is echter iets anders:

- Eerste keer een ping naar een systeem op het andere netwerk geeft 20% response.
- De overige keren: 0% response. Na pak hem beet een 10 minuten, krijg ik weer één ping voor elkaar ofzo..


Config Router A (Planet -> MxStream)
-----
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname <hostname>
!
enable secret 5 <password>
!
ip subnet-zero
ip name-server 195.121.1.34
ip name-server 195.121.1.66
ip dhcp excluded-address 192.168.20.1 192.168.20.50
!
ip dhcp pool CLIENT
import all
network 192.168.20.0 255.255.255.0
default-router 192.168.20.20
dns-server 192.168.10.10 195.121.1.66 195.121.1.34
lease 0 2
!
!
no aaa new-model
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de key> address aaa.bbb.ccc.ddd
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
!
!
!
interface Tunnel0
ip address 192.168.169.253 255.255.255.0
tunnel source Dialer0
tunnel destination aaa.bbb.ccc.ddd
crypto map cm-cryptomap
!
interface Ethernet0
ip address 192.168.20.20 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 0 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
crypto map cm-cryptomap
!
interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <username> password 7 <password>
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.20.10 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.20.20 23 interface Dialer0 23
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
ip route 192.168.10.0 255.255.255.0 Tunnel0 permanent
no ip http server
no ip http secure-server
!
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit tcp host <beheerip_1> any eq telnet
access-list 102 permit tcp host <beheerip_2> any eq telnet
access-list 102 deny tcp any any eq telnet
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
password 7 <password>
login
!
scheduler max-task-time 5000
!
!
end


Config Router B (Demon -> BBNed)
-----
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname <hostname>
!
enable secret 5 <password>
!
ip subnet-zero
!
!
no aaa new-model
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de key> address aaa.bbb.ccc.ddd
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address BVI1
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
!
bridge irb
!
!
interface Tunnel0
ip address 192.168.169.254 255.255.255.0
tunnel source BVI1
tunnel destination aaa.bbb.ccc.ddd
crypto map cm-cryptomap
!
interface Ethernet0
ip address 192.168.10.23 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
dsl operating-mode auto
crypto map cm-cryptomap
bridge-group 1
!
interface BVI1
ip address dhcp client-id Ethernet0
ip access-group 102 in
ip nat outside
!
ip nat inside source list 101 interface BVI1 overload
ip nat inside source static tcp 192.168.10.11 3389 interface BVI1 3399
ip nat inside source static tcp 192.168.10.11 8008 interface BVI1 8008
ip nat inside source static tcp 192.168.10.10 8010 interface BVI1 8010
ip nat inside source static tcp 192.168.10.10 25 interface BVI1 25
ip nat inside source static tcp 192.168.10.10 110 interface BVI1 110
ip nat inside source static tcp 192.168.10.10 1723 interface BVI1 1723
ip nat inside source static tcp 192.168.10.10 3389 interface BVI1 3389
ip nat inside source static tcp 192.168.10.23 23 interface BVI1 23
ip classless
ip route 0.0.0.0 0.0.0.0 BVI1 permanent
ip route 156.48.0.0 255.255.0.0 192.168.10.22
ip route 192.168.20.0 255.255.255.0 Tunnel0 permanent
no ip http server
no ip http secure-server
!
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit tcp host <beheerip_1> any eq telnet
access-list 102 permit tcp host <beheerip_2> any eq telnet
access-list 102 deny tcp any any eq telnet
access-list 102 permit tcp host <beheerip_1> any eq 3389
access-list 102 permit tcp host <beheerip_2> any eq 3389
access-list 102 deny tcp any any eq 3389
access-list 102 permit ip any any
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
password 7 <password>
login
!
no scheduler max-task-time
!
end

[ Voor 3% gewijzigd door Zoetjuh op 05-05-2004 16:40 . Reden: Security update :D ]


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

wat is het nut van de BVI interface precies op router B. Het gaat ergens fout met NAT denk ik.

  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
TrailBlazer schreef op 05 mei 2004 @ 15:37:
wat is het nut van de BVI interface precies op router B. Het gaat ergens fout met NAT denk ik.
Nouja, BBNed werkte met bridging. Op deze manier wordt het LAN-MAC adres van de router op de bridge geplaatst zodat dit MAC adres aan het IP gekoppeld kan worden binnen de database van de provider. Deze BVI, als outside NAT, lijkt me dus wel nuttig... overigens, dit BVI-verhaal is een standaard BBNed/BabyXL config-iets.

  • Whizzer
  • Registratie: November 2000
  • Laatst online: 20-02 09:57

Whizzer

Flappie!

Waarom heb je een Tunnel0 interface met daaraan je crypto map??? Daar verwacht ik dat je probleem zit. Ik denk dat je Tunnel interface onderuit gaat en daardoor ook je crypto map..

Plak de crypto map maar eens op de externe interface (BVI & Dialer0) van de routers en probeer het dan nog maar eens...

Ik ben geweldig.. en bescheiden! En dat siert me...


  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

2 vraagjes:

Is het de bedoeling dat enkel "internet" gebruikt wordt voor de VPN tunnel; gebruik je verder het "internet" niet ?

Zo ja, dan zou ik geen nat gebruiken als ik jou was, want NAT + IPsec = KUT cq. erg lastig. Zorg ervoor dat er geen overlappende ip reeksen gebruikt worden op beide lokaties.

Wil je op één of beide lokaties wel internetten?

Dan moet je de access-listen beter definieren. Zorg ervoor dat tunnel/VPN verkeer niet wordt ge-nat. Zorg er ook voor dat alleen het juiste verkeer wordt getunneld. Je hebt namelijk nu: access-list 100 permit any any. Dat gaat natuurlijk niet goed ! Zorg ook hier ervoor dat er geen overlappende ip reeksen gebruikt worden op beide lokaties.

De oplossing met "int Tunnel0" is een zeer goede en gebruiksvriendelijke oplossing op twee minor details na. Je krijgt namelijk iets meer overhead, omdat je twee keer tunnelt (iptunnel + ipsec) en je kunt alleen werken met IPsec nat-traversal ! Alle andere IPsec gaat faud.

[ Voor 21% gewijzigd door Adze op 05-05-2004 17:13 ]


  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Whizzer schreef op 05 mei 2004 @ 16:54:
Waarom heb je een Tunnel0 interface met daaraan je crypto map??? Daar verwacht ik dat je probleem zit. Ik denk dat je Tunnel interface onderuit gaat en daardoor ook je crypto map..

Plak de crypto map maar eens op de externe interface (BVI & Dialer0) van de routers en probeer het dan nog maar eens...
Hmm, je zit inderdaad flink in de buurt.. Voor de zekerheid net ff de cryptomap van de Tunnel afgehaald en dan loopt het inderdaad wel door..

Maar wanneer ik de cryptomap op me BVI en Dialer loslaat (twijfel nu nl heel ff); klapt m'n ADSL er dan niet uit (of wordt die map *alleen* gebruikt voor data naar het opgegeven address)

  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

Probeer dit eens:

Config Router A (Planet -> MxStream)
-----
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname <hostname>
!
enable secret 5 <password>
!
ip subnet-zero
ip name-server 195.121.1.34
ip name-server 195.121.1.66
ip dhcp excluded-address 192.168.20.1 192.168.20.50
!
ip dhcp pool CLIENT
import all
network 192.168.20.0 255.255.255.0
default-router 192.168.20.20
dns-server 192.168.10.10 195.121.1.66 195.121.1.34
lease 0 2
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de key> address aaa.bbb.ccc.ddd
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address Dialer0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
!
!
!
!
interface Ethernet0
ip address 192.168.20.20 255.255.255.0
ip nat inside
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 0 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <username> password 7 <password>
crypto map cm-cryptomap
!
ip nat inside source list 101 interface Dialer0 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
no ip http secure-server
!
access-list 100 permit ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any 192.168.0.0 0.0.255.255
!
access-list 101 deny ip any 10.0.0.0 0.255.255.255
access-list 101 deny ip any 127.0.0.0 0.255.255.255
access-list 101 deny ip any 169.0.0.0 0.255.255.255
access-list 101 deny ip any 172.16.0.0 0.15.255.255
access-list 101 deny ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip any 224.0.0 15.255.255.255
access-list 101 permit ip any any
!
dialer-list 1 protocol ip permit
!
line con 0
line vty 0 4
exec-timeout 10 0
password 7 <password>
login
!
scheduler max-task-time 5000
!
!
end


Config Router B (Demon -> BBNed)
-----
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname <hostname>
!
enable secret 5 <password>
!
ip subnet-zero
!
!
no aaa new-model
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de key> address aaa.bbb.ccc.ddd
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address BVI1
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
!
bridge irb
!
!
interface Ethernet0
ip address 192.168.10.23 255.255.255.0
ip nat inside
!
interface ATM0
no ip address
no ip mroute-cache
atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface BVI1
ip address dhcp client-id Ethernet0
ip nat outside
crypto map cm-cryptomap
!
ip nat inside source list 101 interface BVI1 overload
!
ip classless
!
ip route 0.0.0.0 0.0.0.0 BVI1 permanent
ip route 156.48.0.0 255.255.0.0 192.168.10.22
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any 192.168.0.0 0.0.255.255
!
access-list 101 deny ip any 10.0.0.0 0.255.255.255
access-list 101 deny ip any 127.0.0.0 0.255.255.255
access-list 101 deny ip any 169.0.0.0 0.255.255.255
access-list 101 deny ip any 172.16.0.0 0.15.255.255
access-list 101 deny ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip any 224.0.0 15.255.255.255
access-list 101 permit ip any any
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
line aux 0
line vty 0 4
exec-timeout 10 0
password 7 <password>
login
!
no scheduler max-task-time
!
end


LET OP: Ga pas met access-list 102 aan de slag (die telnet verkeer blokkeert) als alles werkt zoals je wilt. Dit voorkomt veel stress!

[ Voor 5% gewijzigd door Adze op 05-05-2004 19:59 ]


  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
@Adze15021979

:| en dan? Als ik de config goed begrijp, dan mis ik routering/tunneling tussen beide netwerken... ? Verder zie ik alleen een aanscherping op de ACLs?

@Whizzer

Wanneer ik de crypto op de tunnel verwijder; neem ik aan dat het verkeer over de tunnel niet meer gecryptod wordt? of zou ik de map wel op de tunnel moeten zetten, maar aanpassen zodat dest. en source de IPs van de tunnel aannemen?

@ beide

"crypto map cm-cryptomap" op de BVI en Dialer0 lijken jullie het met elkaar eens te zijn.. dan neem ik aan dat de map echt alleen crypto'd tussen beide IPs? :)

[ Voor 96% gewijzigd door Zoetjuh op 05-05-2004 17:41 ]


  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

Alles wat matched aan access-list 100 zal gestuurd worden naar: aaa.bbb.ccc.ddd. Kijk maar in de config:

crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
match address 100
!
Interface BVI1
crypto map cm-cryptomap
!
access-list 100 permit ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any 192.168.0.0 0.0.255.255

  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Adze15021979 schreef op 05 mei 2004 @ 17:40:
Alles wat matched aan access-list 100 zal gestuurd worden naar: aaa.bbb.ccc.ddd. Kijk maar in de config:

crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
match address 100
!
Interface BVI1
crypto map cm-cryptomap
!
access-list 100 permit ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any 192.168.0.0 0.0.255.255
De ACL100 is toch alleen welke packets encrypted moeten worden en niet waar het heen moet en verzorgt toch verder geen routing?

  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

Zoetjuh schreef op 05 mei 2004 @ 17:44:
[...]


De ACL100 is toch alleen welke packets encrypted moeten worden en niet waar het heen moet en verzorgt toch verder geen routing?
Klopt, maar het ge-"matched" verkeer zal in een tunnel worden ingepakt met destination adress aaa.bbb.ccc.ddd. Deze zal op zijn beurt weer door de regels

ip route 0.0.0.0 0.0.0.0 BVI1 permanent of
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

weggestuurd worden.

  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

Zoetjuh schreef op 05 mei 2004 @ 17:35:
"crypto map cm-cryptomap" op de BVI en Dialer0 lijken jullie het met elkaar eens te zijn.. dan neem ik aan dat de map echt alleen crypto'd tussen beide IPs? :)
Yup !

  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Thanks! Ga ik vannacht even werk van maken..

  • Whizzer
  • Registratie: November 2000
  • Laatst online: 20-02 09:57

Whizzer

Flappie!

Zoetjuh schreef op 05 mei 2004 @ 17:35:
@Whizzer

Wanneer ik de crypto op de tunnel verwijder; neem ik aan dat het verkeer over de tunnel niet meer gecryptod wordt? of zou ik de map wel op de tunnel moeten zetten, maar aanpassen zodat dest. en source de IPs van de tunnel aannemen?
Die tunnel die je gebakken hebt doet GRE tunneling.. weinig boeiends... Dus in je initiële setup tunnel je GRE over je internet verbinding en daarover ging je weer tunnelen volgens je transform set... Die tunnel heeft dus in deze setup gewoon geen functie en is eerder een lastig struikelbrok dan een handige opzet. Je encryptie domein begint pas op de interface waar de cryptomap op zit.
@ beide

"crypto map cm-cryptomap" op de BVI en Dialer0 lijken jullie het met elkaar eens te zijn.. dan neem ik aan dat de map echt alleen crypto'd tussen beide IPs? :)
Er wordt alleen ge-encrypt wat er volgens je acl gedefinieerd staat, in dit geval gaat dus AL je verkeer plain over je dialer interface, BEHALVE wat in acl 100 staat. Dat wordt door de encryptie tunnel gepropt naar de overkant. In je initiële setup was dat dus alles (access-list 100 permit ip any any), maar onze Adzenogwat had er al wat anders van gemaakt... Ik had het echter nog wat anders gedaan, namelijk als volgt:

Router A:
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

Router B:
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

gespiegeld dus!

Met deze setup wordt alleen het verkeer wat voor het LAN aan de andere kant van de tunnel bedoeld is door de tunnel encrypted, de rest gaat plain het internet op... Maargoed, dan komt anti-spoofing en nat pas...

Ik heb in mijn voorgestelde acl's even netwerk 156.48.0.0 255.255.0.0 weggelaten omdat ik niet zeker weet of dit in- of extern is en hoe je dat het liefst benaderd...

Ik ben geweldig.. en bescheiden! En dat siert me...


  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Zit me tegen geloof ik :'( ... wil namelijk nog niet. Heb nu dus naast m'n standaard "ip route 0.0.0.0 0.0.0" het volgende; maar pingen naar hosts aan de andere zijde lukt helaas nog niet:

------------------
MxStream-router (192.168.20.x):
------------------
...
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de_shared_key> address aaa.bbb.ccc.ddd no-xauth
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address Dialer0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
...
interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
...
crypto map cm-cryptomap
!
ip nat inside source list 101 interface Dialer0 overload
...
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 any
...
access-list 102 permit ip any any
...


------------------
BBNed-router (192.168.10.x):
------------------
...
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de_shared_key> address eee.fff.ggg.hhh no-xauth
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address BVI1
crypto map cm-cryptomap 1 ipsec-isakmp
set peer eee.fff.ggg.hhh
set transform-set cm-transformset-1
match address 100
!
...
interface BVI1
ip address dhcp client-id Ethernet0
ip access-group 102 in
ip nat outside
crypto map cm-cryptomap
!
ip nat inside source list 101 interface BVI1 overload
...
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
...
access-list 102 permit ip any any
...

  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

Nou is het dus tijd voor show en debug commando's !

Je config lijkt me in orde, maar een vergissing zie ik gauw over het hoofd. Kun je wel gewoon inetten? Komt de crypto tunnel op? Kun je het real ip-adres aan de overkant pingen? Is de authenticatie in orde?

Eventueel als je het vertrouwt wil ik ook wel even inloggen in je cisco doosjes om te troubleshooten, maar probeer het zelf eerst nog maar even...

Groeten Jeroen.

  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Adze15021979 schreef op 15 mei 2004 @ 11:37:
Nou is het dus tijd voor show en debug commando's !

Je config lijkt me in orde, maar een vergissing zie ik gauw over het hoofd. Kun je wel gewoon inetten? Komt de crypto tunnel op? Kun je het real ip-adres aan de overkant pingen? Is de authenticatie in orde?

Eventueel als je het vertrouwt wil ik ook wel even inloggen in je cisco doosjes om te troubleshooten, maar probeer het zelf eerst nog maar even...

Groeten Jeroen.
Hoi Jeroen, ja internetten lukt gewoon (dankzij die ACL 100); maar even kijken.. wat krijg ik aan debugs..

...(hiervoor een aantal succesvolle dingen)...
21:49:58: ISAKMP (0:1): Node 661691458, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
21:49:58: ISAKMP (0:1): Old State = IKE_QM_I_QM1 New State = IKE_QM_PHASE2_COMPLETE
21:49:58: IPSEC(key_engine): got a queue event with 4 kei messages
21:49:58: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= aaa.bbb.ccc.ddd, remote= eee.fff.ggg.hhh,
local_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.20.0/255.255.255.0/0/0 (type=4),
protocol= AH, transform= ah-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0x77244B7E(1998867326), conn_id= 2000, keysize= 0, flags= 0x2
21:49:58: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= aaa.bbb.ccc.ddd, remote= eee.fff.ggg.hhh,
local_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.20.0/255.255.255.0/0/0 (type=4),
protocol= AH, transform= ah-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0xC5AEFBB8(3316579256), conn_id= 2001, keysize= 0, flags= 0xA

...(en dan dus nog drie van die IPSEC(init_sas) meldingen voor eee.fff.ggg.hhh)...

21:49:58: IPSEC(kei_proxy): head = cm-cryptomap, map->ivrf = , kei->ivrf =
21:49:58: IPSEC(mtree_add_ident): src 192.168.10.0, dest 192.168.20.0, dest_port
0

21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= aaa.bbb.ccc.ddd, sa_prot= 51,
sa_spi= 0x77244B7E(1998867326),
sa_trans= ah-md5-hmac , sa_conn_id= 2000
21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= eee.fff.ggg.hhh, sa_prot= 51,
sa_spi= 0xC5AEFBB8(3316579256),
sa_trans= ah-md5-hmac , sa_conn_id= 2001
21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= aaa.bbb.ccc.ddd, sa_prot= 50,
sa_spi= 0xD3880F85(3548909445),
sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2002
21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= eee.fff.ggg.hhh, sa_prot= 50,
sa_spi= 0xF12D37D9(4046272473),
sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2003
21:50:48: ISAKMP (0:1): purging node 661691458

En dan sja, kan ik dus helaas nog niet pingen...
Hoop dat jij hier iets meer van snapt dan ik :)
Vroeg me verder ook af welke shows je graag wilde zien.

  • Adze
  • Registratie: Juli 2001
  • Laatst online: 13:58

Adze

CCNP !

Zoetjuh schreef op 15 mei 2004 @ 15:36:
[...]
Vroeg me verder ook af welke shows je graag wilde zien.
show crypto ipsec transform-set

show crypto map [interface interface | tag map-name]

show crypto ipsec sa [map map-name | address | identity] [detail]

show crypto dynamic-map [tag map-name]

show crypto ipsec security-association lifetime

show crypto isakmp policy

show crypto isakmp sa

show crypto map

Voor meer info: http://www.cisco.com/en/U...pter09186a00800ca7b1.html

Let wel op dat als je hosts achter de VPN tunnel wilt pingen vanaf de router, dan moet je extended ping gebruiken met een source ip-adres van je interface van je lokale LAN.

[ Voor 19% gewijzigd door Adze op 15-05-2004 17:54 ]


  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024
Adze15021979 schreef op 15 mei 2004 @ 17:33:
[...]
Let wel op dat als je hosts achter de VPN tunnel wilt pingen vanaf de router, dan moet je extended ping gebruiken met een source ip-adres van je interface van je lokale LAN.
Zoetjuh and Stupid..... pfff,
------
SOHO97_OFFICE#ping ip 192.168.20.20 source eth0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.23
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/52 ms
---

Mijn dank is groot _/-\o_
Pagina: 1