[Cisco] Encrypted tunnel probs

Hoi, heel gek probleem hier.. Ik zit momenteel met twee Cisco SOHO routers waartussen een tunnel is opgezet en de route-regels zijn opgenomen.

Dit werkt. Beide routers kunnen elkaars LAN-IP pingen. Het pingen naar de systemen erachter is echter iets anders:

- Eerste keer een ping naar een systeem op het andere netwerk geeft 20% response.
- De overige keren: 0% response. Na pak hem beet een 10 minuten, krijg ik weer één ping voor elkaar ofzo..


Config Router A (Planet -> MxStream)
-----
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname <hostname>
!
enable secret 5 <password>
!
ip subnet-zero
ip name-server 195.121.1.34
ip name-server 195.121.1.66
ip dhcp excluded-address 192.168.20.1 192.168.20.50
!
ip dhcp pool CLIENT
import all
network 192.168.20.0 255.255.255.0
default-router 192.168.20.20
dns-server 192.168.10.10 195.121.1.66 195.121.1.34
lease 0 2
!
!
no aaa new-model
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de key> address aaa.bbb.ccc.ddd
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
!
!
!
interface Tunnel0
ip address 192.168.169.253 255.255.255.0
tunnel source Dialer0
tunnel destination aaa.bbb.ccc.ddd
crypto map cm-cryptomap
!
interface Ethernet0
ip address 192.168.20.20 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 0 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
crypto map cm-cryptomap
!
interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <username> password 7 <password>
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.20.10 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.20.20 23 interface Dialer0 23
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
ip route 192.168.10.0 255.255.255.0 Tunnel0 permanent
no ip http server
no ip http secure-server
!
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit tcp host <beheerip_1> any eq telnet
access-list 102 permit tcp host <beheerip_2> any eq telnet
access-list 102 deny tcp any any eq telnet
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
password 7 <password>
login
!
scheduler max-task-time 5000
!
!
end


Config Router B (Demon -> BBNed)
-----
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname <hostname>
!
enable secret 5 <password>
!
ip subnet-zero
!
!
no aaa new-model
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de key> address aaa.bbb.ccc.ddd
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address BVI1
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
!
bridge irb
!
!
interface Tunnel0
ip address 192.168.169.254 255.255.255.0
tunnel source BVI1
tunnel destination aaa.bbb.ccc.ddd
crypto map cm-cryptomap
!
interface Ethernet0
ip address 192.168.10.23 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
dsl operating-mode auto
crypto map cm-cryptomap
bridge-group 1
!
interface BVI1
ip address dhcp client-id Ethernet0
ip access-group 102 in
ip nat outside
!
ip nat inside source list 101 interface BVI1 overload
ip nat inside source static tcp 192.168.10.11 3389 interface BVI1 3399
ip nat inside source static tcp 192.168.10.11 8008 interface BVI1 8008
ip nat inside source static tcp 192.168.10.10 8010 interface BVI1 8010
ip nat inside source static tcp 192.168.10.10 25 interface BVI1 25
ip nat inside source static tcp 192.168.10.10 110 interface BVI1 110
ip nat inside source static tcp 192.168.10.10 1723 interface BVI1 1723
ip nat inside source static tcp 192.168.10.10 3389 interface BVI1 3389
ip nat inside source static tcp 192.168.10.23 23 interface BVI1 23
ip classless
ip route 0.0.0.0 0.0.0.0 BVI1 permanent
ip route 156.48.0.0 255.255.0.0 192.168.10.22
ip route 192.168.20.0 255.255.255.0 Tunnel0 permanent
no ip http server
no ip http secure-server
!
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit tcp host <beheerip_1> any eq telnet
access-list 102 permit tcp host <beheerip_2> any eq telnet
access-list 102 deny tcp any any eq telnet
access-list 102 permit tcp host <beheerip_1> any eq 3389
access-list 102 permit tcp host <beheerip_2> any eq 3389
access-list 102 deny tcp any any eq 3389
access-list 102 permit ip any any
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
password 7 <password>
login
!
no scheduler max-task-time
!
end

[ Voor 3% gewijzigd door Zoetjuh op 05-05-2004 16:40 . Reden: Security update :D ]

TrailBlazer schreef op 05 mei 2004 @ 15:37:
wat is het nut van de BVI interface precies op router B. Het gaat ergens fout met NAT denk ik.

Nouja, BBNed werkte met bridging. Op deze manier wordt het LAN-MAC adres van de router op de bridge geplaatst zodat dit MAC adres aan het IP gekoppeld kan worden binnen de database van de provider. Deze BVI, als outside NAT, lijkt me dus wel nuttig... overigens, dit BVI-verhaal is een standaard BBNed/BabyXL config-iets.

Whizzer schreef op 05 mei 2004 @ 16:54:
Waarom heb je een Tunnel0 interface met daaraan je crypto map??? Daar verwacht ik dat je probleem zit. Ik denk dat je Tunnel interface onderuit gaat en daardoor ook je crypto map..

Plak de crypto map maar eens op de externe interface (BVI & Dialer0) van de routers en probeer het dan nog maar eens...

Hmm, je zit inderdaad flink in de buurt.. Voor de zekerheid net ff de cryptomap van de Tunnel afgehaald en dan loopt het inderdaad wel door..

Maar wanneer ik de cryptomap op me BVI en Dialer loslaat (twijfel nu nl heel ff); klapt m'n ADSL er dan niet uit (of wordt die map *alleen* gebruikt voor data naar het opgegeven address)

@Adze15021979

en dan? Als ik de config goed begrijp, dan mis ik routering/tunneling tussen beide netwerken... ? Verder zie ik alleen een aanscherping op de ACLs?

@Whizzer

Wanneer ik de crypto op de tunnel verwijder; neem ik aan dat het verkeer over de tunnel niet meer gecryptod wordt? of zou ik de map wel op de tunnel moeten zetten, maar aanpassen zodat dest. en source de IPs van de tunnel aannemen?

@ beide

"crypto map cm-cryptomap" op de BVI en Dialer0 lijken jullie het met elkaar eens te zijn.. dan neem ik aan dat de map echt alleen crypto'd tussen beide IPs?

[ Voor 96% gewijzigd door Zoetjuh op 05-05-2004 17:41 ]

Adze15021979 schreef op 05 mei 2004 @ 17:40:
Alles wat matched aan access-list 100 zal gestuurd worden naar: aaa.bbb.ccc.ddd. Kijk maar in de config:

crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
match address 100
!
Interface BVI1
crypto map cm-cryptomap
!
access-list 100 permit ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any 172.16.0.0 0.15.255.255
access-list 100 permit ip any 192.168.0.0 0.0.255.255

De ACL100 is toch alleen welke packets encrypted moeten worden en niet waar het heen moet en verzorgt toch verder geen routing?

Thanks! Ga ik vannacht even werk van maken..

Zit me tegen geloof ik ... wil namelijk nog niet. Heb nu dus naast m'n standaard "ip route 0.0.0.0 0.0.0" het volgende; maar pingen naar hosts aan de andere zijde lukt helaas nog niet:

------------------
MxStream-router (192.168.20.x):
------------------
...
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de_shared_key> address aaa.bbb.ccc.ddd no-xauth
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address Dialer0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer aaa.bbb.ccc.ddd
set transform-set cm-transformset-1
match address 100
!
...
interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
...
crypto map cm-cryptomap
!
ip nat inside source list 101 interface Dialer0 overload
...
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 any
...
access-list 102 permit ip any any
...


------------------
BBNed-router (192.168.10.x):
------------------
...
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 <de_shared_key> address eee.fff.ggg.hhh no-xauth
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address BVI1
crypto map cm-cryptomap 1 ipsec-isakmp
set peer eee.fff.ggg.hhh
set transform-set cm-transformset-1
match address 100
!
...
interface BVI1
ip address dhcp client-id Ethernet0
ip access-group 102 in
ip nat outside
crypto map cm-cryptomap
!
ip nat inside source list 101 interface BVI1 overload
...
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
...
access-list 102 permit ip any any
...

Adze15021979 schreef op 15 mei 2004 @ 11:37:
Nou is het dus tijd voor show en debug commando's !

Je config lijkt me in orde, maar een vergissing zie ik gauw over het hoofd. Kun je wel gewoon inetten? Komt de crypto tunnel op? Kun je het real ip-adres aan de overkant pingen? Is de authenticatie in orde?

Eventueel als je het vertrouwt wil ik ook wel even inloggen in je cisco doosjes om te troubleshooten, maar probeer het zelf eerst nog maar even...

Groeten Jeroen.

Hoi Jeroen, ja internetten lukt gewoon (dankzij die ACL 100); maar even kijken.. wat krijg ik aan debugs..

...(hiervoor een aantal succesvolle dingen)...
21:49:58: ISAKMP (0:1): Node 661691458, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
21:49:58: ISAKMP (0:1): Old State = IKE_QM_I_QM1 New State = IKE_QM_PHASE2_COMPLETE
21:49:58: IPSEC(key_engine): got a queue event with 4 kei messages
21:49:58: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= aaa.bbb.ccc.ddd, remote= eee.fff.ggg.hhh,
local_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.20.0/255.255.255.0/0/0 (type=4),
protocol= AH, transform= ah-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0x77244B7E(1998867326), conn_id= 2000, keysize= 0, flags= 0x2
21:49:58: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= aaa.bbb.ccc.ddd, remote= eee.fff.ggg.hhh,
local_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.20.0/255.255.255.0/0/0 (type=4),
protocol= AH, transform= ah-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0xC5AEFBB8(3316579256), conn_id= 2001, keysize= 0, flags= 0xA

...(en dan dus nog drie van die IPSEC(init_sas) meldingen voor eee.fff.ggg.hhh)...

21:49:58: IPSEC(kei_proxy): head = cm-cryptomap, map->ivrf = , kei->ivrf =
21:49:58: IPSEC(mtree_add_ident): src 192.168.10.0, dest 192.168.20.0, dest_port
0

21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= aaa.bbb.ccc.ddd, sa_prot= 51,
sa_spi= 0x77244B7E(1998867326),
sa_trans= ah-md5-hmac , sa_conn_id= 2000
21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= eee.fff.ggg.hhh, sa_prot= 51,
sa_spi= 0xC5AEFBB8(3316579256),
sa_trans= ah-md5-hmac , sa_conn_id= 2001
21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= aaa.bbb.ccc.ddd, sa_prot= 50,
sa_spi= 0xD3880F85(3548909445),
sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2002
21:49:58: IPSEC(create_sa): sa created,
(sa) sa_dest= eee.fff.ggg.hhh, sa_prot= 50,
sa_spi= 0xF12D37D9(4046272473),
sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2003
21:50:48: ISAKMP (0:1): purging node 661691458

En dan sja, kan ik dus helaas nog niet pingen...
Hoop dat jij hier iets meer van snapt dan ik
Vroeg me verder ook af welke shows je graag wilde zien.

Adze15021979 schreef op 15 mei 2004 @ 17:33:
[...]
Let wel op dat als je hosts achter de VPN tunnel wilt pingen vanaf de router, dan moet je extended ping gebruiken met een source ip-adres van je interface van je lokale LAN.

Zoetjuh and Stupid..... pfff,
------
SOHO97_OFFICE#ping ip 192.168.20.20 source eth0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.20, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.23
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/43/52 ms
---

Mijn dank is groot