Qual é a maneira correta de configurar uma VPN IPSEC de site a site e uma VLAN de acesso remoto na mesma interface externa? Cisco 891 ISR

Ficaria feliz em publicar a configuração ou os logs como referência, mas estou tendo problemas para fazer com que minha VPN de acesso remoto funcione na mesma interface que meu site para o site IPSEC VPN. Estou usando um mapa de criptografia dinâmico para o acesso remoto à VPN, mas parece que está falhando ao tentar fazer a fase um. Alguém seria capaz de me dar um exemplo simples de configuração para trabalhar?

EDITAR:

Aqui está um despejo de depuração que falha após a implementação de perfis ISAKMP por sugestão abaixo. É solicitado o nome de usuário e a senha, mas o tempo limite é excedido. Parece que a autorização do isakmp está falhando. Atualmente, a autorização do isakmp é apenas definida para a lista de usuários locais. Isso parece ser o problema para vocês?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Também vejo esses erros quando depuro erros isakmp e ipsec e retiro os logs:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.

cisco vpn cisco-ios-15 cisco-isr ipsec Bill Gurling
fonte

Qual versão principal do IOS você está executando? É melhor mencionar isso e marcar com Cisco-iOS-15 ou o que for.

Craig Constantine

Você conseguiu que um desses componentes funcione corretamente de forma independente? Eu começaria por aí, certificando-se de que a configuração independente de cada uma seja verificada antes de combiná-las.

Jeremy Stretch

O que você quer dizer com VLAN de acesso remoto? Entendo que você está tentando configurar e ativar uma VPN IPSEC aplicando um mapa criptográfico a uma interface, mas essa é uma VLAN de acesso remoto?

Jwbensley #

Desculpe, devo dizer VPN, eu vou consertar. Eu tinha os dois funcionando, mas neste momento apenas a VPN site a site está funcionando. O ISR está executando o 15.1 no momento.

Bill Gurling

Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.

Ron Maupin

Respostas:

Tirar uma foto no escuro aqui porque há muitas variáveis que você não mencionou. Atualize a pergunta para incluir as tecnologias específicas que você está usando, sua configuração do currnet e o erro que está recebendo. Mas se você estiver usando, por exemplo, DMVPN + EZVPN, provavelmente precisará usar porta-chaves e vários perfis ISAKMP. Como você aponta para as questões da fase 1, eu verificaria isso. Os links a seguir fornecem configurações de referência para DMVPN e EZVPN e L2L + EZVPN . Você deve poder modificar para atender às suas necessidades.

Aqui está uma referência do perfil ISAKMP para algumas leituras na hora do almoço.

ferreiro
fonte

Eu atualizei minha postagem original com alguns dos registros que vejo quando eles surgem. Onde parece que está o colapso? Atualmente usando perfis isakmp.

Bill Gurling

Sem ver qual é a sua configuração, este exemplo não será totalmente preciso. No entanto, aqui está como eu configuraria o Site A. O Site B seria semelhante, menos as partes remotas da VPN e as partes do site A e do site B. Qualquer coisa entre parênteses precisa ser preenchida com suas próprias informações.

Além disso, para este exemplo específico, a VPN remota seria através do Cisco VPN Client e não do AnyConnect Client. O ShrewSoft VPN Client também funciona.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload

some_guy_long_gone
fonte

Muito obrigado, vou comparar isso com a minha configuração e ver onde está o colapso. Acho que minha configuração provavelmente está correta, mas definitivamente não tenho as entradas da ACL, portanto esse pode ser o meu problema. Aprecie a resposta.

Bill Gurling

Aqui está outro excelente recurso para DMVPN:

https://nwktimes.blogspot.com/search/label/DMVPN

Stuggi
fonte