Toon posts:

Problemen met opbouwen tunnel

Pagina: 1
Acties:

donderdag 21 oktober 2004 17:45

Acties:
  • duderuud
  • Registratie: Mei 2000
  • Laatst online: 12:50

duderuud

Sliden is koel

Topicstarter
Voor een vriend van me moest ik de volgende vraag stellen:

Ik moet voor een klant van ons een IPSEC tunnel bouwen tussen twee kantoren één met een Cisco 827 ADSL router en één met een Watchguard SOHO 6tc. Tot dusver stond er op beide locaties een Cisco 827 en was daar een tunnel tussen, maar omdat er eea verandert in de infrastructuur, moet de tunnel nu naar de Watchguard gaan.
Ik ben zelf al bezig geweest om de Cisco te configureren met een tunnel naar de Watchguard, maar tot dusver heb ik nog geen verkeer door de tunnel gekregen. De statistieken op de Watchguard laten wel wat verkeer zien op de tunnel verbinding en daarom denk ik dat de tunnel op zich wel goed geconfigureerd is, maar dat de routing op de Cisco niet goed is ingesteld. Ik ben dus op zoek naar iemand die mij kan vertellen hoe de Cisco te configureren. Mocht iemand fouten zien in de IPSEC configuratie dan hoor ik dat natuurlijk ook graag.

Ik heb hierbij de huidige configuraties van de Cisco en Watchguard gevoegd. Momenteel is er op de Cisco geen routing ingesteld naar de nieuwe tunnel, maar loopt het verkeer nog via de oude. Namen, keys en IP-adressen zijn natuurlijk fictief.

Cisco configuratie:
----------------------------------------------------------------------
ip subnet-zero
no ip domain-lookup
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
lifetime 500
!
crypto isakmp policy 16
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key aaaaaaaaaa address 111.111.111.111
crypto isakmp key bbbbbbbbbb address 222.222.222.222
!
!
crypto ipsec transform-set aaa ah-md5-hmac esp-des
crypto ipsec transform-set ccc esp-3des esp-sha-hmac
!
crypto map bbb 10 ipsec-isakmp
set peer 111.111.111.111
set transform-set aaa
match address 110
!
crypto map ddd 15 ipsec-isakmp
set peer 222.222.222.222
set security-association lifetime kilobytes 8192
set transform-set ccc
match address 101
!
!
!
!
interface Tunnel0
description Tunnel
ip unnumbered Ethernet0
no keepalive
tunnel source 133.133.133.133
tunnel destination 111.111.111.111
tunnel mode ipip
crypto map bbb
!
interface Ethernet0
ip address 192.168.1.250 255.255.255.0
ip access-group 100 out
ip nat inside
load-interval 30
no keepalive
hold-queue 100 out
!
interface ATM0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
description Cisco 82x PlanetADSL OFFICE
ip address 133.133.133.133 255.255.255.128
ip nat outside
pvc 8/35
class-vc Office
!
!
ip nat inside source list 2 interface ATM0.1 overload
ip nat inside source static 192.168.1.0 0.0.0.255
ip classless
ip route 0.0.0.0 0.0.0.0 112.112.112.112
ip route 192.168.2.0 255.255.255.0 Tunnel0
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 100 deny tcp any any eq smtp
access-list 100 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
line con 0
exec-timeout 0 0
logging synchronous
login local
ip netmask-format decimal
stopbits 1
line vty 0 4
access-class 1 in
exec-timeout 0 0
login local
ip netmask-format decimal
!
scheduler max-task-time 5000
end

----------------------------------------------------------------------

Watchguard configuratie:
----------------------------------------------------------------------
Shared Key: bbbbbbbbbb

Phase 1:
Mode: Main mode
Remote Ip: 133.133.133.133
Local Ip: 222.222.222.222 Type: IP-Address
Remote Ip: 133.133.133.133 Type: IP-Address
Authentication Algorithm: MD5-HMAC
Encryption Algrorithm: 3DES-CBC
Negotiation expiration in kilobytes: 0
Negotiation expiration in hours: 1
Diffie-Helman Group: 2
No IKE Keep Alive messages

Phase 2:
Authentication Algorithm: SHA1-HMAC
Encryption Algrorithm: 3DES-CBC
No Perfect Forward Secrecy
Negotiation expiration in kilobytes: 8192
Negotiation expiration in hours: 1

Local network: 192.168.2.0/24
Remote network: 192.168.1.0/24
----------------------------------------------------------------------

De bestaande tunnel gebruikt ISAKMP policy 1, transform set aaa en crypto map bbb 10. De nieuwe tunnel zou ISAKMP policy 16, tranform set ccc en crypto map ddd 15 moeten gebruiken. Op het moment gaat het verkeer door de oude tunnel en is er geen routing ingesteld voor de nieuwe tunnel. De interne (fictieve) netwerkrange van de Cisco is 192.168.1.0/24 en zijn externe IP is 133.133.133.133. Voor de Watchguard is dit 192.168.2.0/24 en 222.222.222.222.

[ Voor 3% gewijzigd door duderuud op 21-10-2004 17:46 ]

Motor-Forum.nl

donderdag 21 oktober 2004 19:39

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 15-05 19:40

_nethack

We're all MAD here

Apart dat de huidige tunnel wel werkt, aangezien voor het gebruik van een tunnel de NAT configuratie niet klopt. (althans, niet klopt met de manier waarop ik heb geleerd dat het werkt cq ik het in zou richten ;))

Volgens deze config zou het verkeer wat door de tunnel moet namelijk ook worden genat, volgend access-list 1.

Als ik zelf met vpn's werk op deze routers dan krijgt de nat configuratie (ip nat inside source list...) een extended access-list waarin het tunnelverkeer wordt uitgesloten van nat:

ip access-list 120 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list 120 permit ip 192.168.1.0 0.0.0.255 any

Als je het nieuwe vpn wil testen is het misschien ook raadzaam om even een backup van je config te maken en daarna een nieuwe config te maken met alléén de nieuwe tunnel erin. Dit om mogelijk conflicten met de config van de oude tunnel uit te sluiten.

edit:
De NAT config klopt voor de huidige config wellicht wel, omdat je met aparte tunnel interfaces werkt. In de nieuwe config doe je dat niet (hoeft ook niet) en moet je wel die extended access-list voor je NAT gebruiken.

[ Voor 23% gewijzigd door _nethack op 21-10-2004 19:43 ]

Sometimes you just have to sit back, relax, and let the train wreck itself

Reageer