Quelle est la bonne façon de configurer un VPN IPSEC de site à site et un VLAN d'accès distant sur la même interface externe? Cisco 891 ISR

11

Je serais heureux de publier la configuration ou les journaux pour référence, mais j'ai du mal à faire fonctionner mon VPN d'accès à distance sur la même interface que mon site à site VPN IPSEC. J'utilise une carte de chiffrement dynamique pour le VPN d'accès distant, mais il semble qu'il n'essaie pas de faire la première phase. Est-ce que quelqu'un pourrait me donner un exemple de configuration simple à partir duquel travailler?

ÉDITER:

Voici un vidage de débogage qui échoue après avoir implémenté les profils ISAKMP selon la suggestion ci-dessous. Je suis invité à saisir mon nom d'utilisateur et mon mot de passe, mais cela arrive à expiration. Il semble que l'autorisation isakmp échoue. Actuellement, l'autorisation isakmp est simplement définie dans la liste des utilisateurs locaux. Cela vous semble-t-il être le problème?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

Je vois également ces erreurs lorsque je débogue les erreurs isakmp et ipsec et que je tire les journaux:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
Bill Gurling
la source
2
Quelle version majeure d'IOS utilisez-vous? Mieux vaut mentionner cela et taguer avec Cisco-ios-15 ou autre chose.
Craig Constantine
Avez-vous été en mesure de faire fonctionner l'un ou les deux de ces composants de manière indépendante? Je commencerais par là, en m'assurant que la configuration indépendante de chacun est vérifiée avant de les combiner.
Jeremy Stretch
Qu'entendez-vous par un VLAN d'accès à distance? Je comprends que vous essayez de configurer et d'activer un VPN IPSEC en appliquant une carte cryptographique à une interface, mais c'est un VLAN d'accès distant?
jwbensley
Désolé, censé dire VPN, je vais le réparer. Je les ai fait fonctionner tous les deux, mais à ce stade, seul le VPN de site à site fonctionne. ISR exécute la version 15.1 en ce moment.
Bill Gurling
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

6

Prendre une photo dans le noir ici car il y a beaucoup de variables que vous n'avez pas mentionnées. Veuillez mettre à jour la question pour inclure les technologies spécifiques que vous utilisez, votre configuration currnet et l'erreur que vous obtenez. Mais si vous utilisez par exemple DMVPN + EZVPN, vous devrez probablement utiliser des trousseaux de clés et plusieurs profils ISAKMP. Puisque vous signalez des problèmes de phase 1, je vérifierais cela. Les liens suivants donnent des configurations de référence pour DMVPN et EZVPN et L2L + EZVPN . Vous devriez être en mesure de modifier en fonction de vos besoins.

Voici une référence de profil ISAKMP pour une lecture à l'heure du déjeuner.

forgeron
la source
J'ai mis à jour mon message d'origine avec une partie de la journalisation que je vois quand elle craps. À quoi cela ressemble-t-il pour vous? Utilise actuellement des profils isakmp.
Bill Gurling du
1

Sans voir quelle est votre configuration, cet exemple ne sera pas entièrement précis. Cependant, voici comment je configurerais le site A. Le site B serait similaire, moins les éléments VPN distants et inversant les éléments Site A et Site B. Tout ce qui est entre parenthèses doit être rempli avec vos propres informations.

En outre, pour cet exemple particulier, le VPN distant serait via le client VPN Cisco et non le client AnyConnect. Le client VPN ShrewSoft fonctionne également.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
la source
Merci beaucoup, je vais comparer cela à ma configuration et voir où est la panne. Je pense que ma configuration est probablement correcte, mais je n'ai certainement pas les entrées ACL là-dedans, ce qui peut être mon problème. Appréciez la réponse.
Bill Gurling du