Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.75/4: Рейтинг темы: голосов - 4, средняя оценка - 4.75
guard_2007
0 / 0 / 0
Регистрация: 07.12.2014
Сообщений: 118
1

IPSec site to site не поднимается туннель в GNS3

20.01.2019, 19:15. Просмотров 829. Ответов 4
Метки нет (Все метки)

Добрый день уважаемы форумчане, столнулся с такой проблемкой. Дали задание по учебе поднять IPSec


Настроил все согласно методичке, пинги двух маршрутизаторов между собой проходят прекрасно, но после ввода show cry ses статус сессия отображается как DOWN. Инициализацию пинга делал чтобы трафик пошел в бестолку. Подскажите в чем может быть проблема. Прошу сильно не ругать в циске новичек

R1
Lisp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
Current configuration : 2617 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default group tacacs+ local
aaa authentication ppp default group tacacs+ local
aaa authorization exec default group tacacs+
aaa authorization network default group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
!
!
aaa session-id common
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username aaa secret 5 $1$BQsU$FycLD7whwOiODQAjaI7Ik1
username bbb secret 5 $1$B7T.$AecGR1Ug9kmuidnmpDqqM.
username ccc secret 5 $1$aEgu$iGtWmuM2O6ngXRG/mhg/W.
username ddd secret 5 $1$Jpqr$sub.iErcoDOBw7gmTj5jb1
archive
 log config
  hidekeys
!
!
crypto isakmp policy 1
 encr 3des
 authentication rsa-encr
crypto isakmp key PASSWORD address 2.2.2.2
!
!
crypto ipsec transform-set 1 esp-3des esp-sha-hmac
!
crypto map MAP1 1 ipsec-isakmp
 set peer 2.2.2.2
 set transform-set 1
 match address 101
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface FastEthernet0/0
 ip address 178.158.15.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 2.2.2.1 255.255.255.0
 clock rate 2000000
 crypto map MAP1
!
interface FastEthernet0/1
 ip address 190.125.65.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial0/1
 no ip address
 shutdown
 clock rate 2000000
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet3/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
router eigrp 1
 network 2.2.2.0 0.0.0.255
 network 178.158.15.0 0.0.0.255
 network 190.125.65.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip route 164.123.15.0 255.255.255.0 2.2.2.2
!
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip 178.158.15.0 0.0.0.255 164.123.15.0 0.0.0.255
access-list 101 permit ip 190.125.65.0 0.0.0.255 164.123.15.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
!
tacacs-server host 178.158.15.2 single-connection
tacacs-server directed-request
tacacs-server key blablabla
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
!
!
end


R2
Lisp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
Current configuration : 1980 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
crypto isakmp policy 1
 encr 3des
 authentication rsa-encr
 group 2
crypto isakmp key PASSWORD address 2.2.2.1
!
!
crypto ipsec transform-set 1 esp-3des esp-sha-hmac
!
crypto map MAP2 1 ipsec-isakmp
 set peer 2.2.2.1
 set transform-set 1
 match address 101
!
!
!
ip tcp synwait-time 5
!
!
!
!
interface FastEthernet0/0
 ip address 164.123.15.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 clock rate 2000000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 no ip address
 shutdown
 clock rate 2000000
!
interface Serial1/0
 ip address 2.2.2.2 255.255.255.0
 serial restart-delay 0
 crypto map MAP2
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
router eigrp 1
 network 2.2.2.0 0.0.0.255
 network 164.123.15.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip route 178.158.15.0 255.255.255.0 2.2.2.1
ip route 190.125.65.0 255.255.255.0 2.2.2.1
!
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip 164.123.15.0 0.0.0.255 178.158.15.0 0.0.0.255
access-list 101 permit ip 164.123.15.0 0.0.0.255 190.125.65.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end

Состояние сессии

Interface: Serial0/0
Session status: DOWN
Peer: 2.2.2.2 port 500
IPSEC FLOW: permit ip 178.158.15.0/255.255.255.0 164.123.15.0/255.255.255.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 190.125.65.0/255.255.255.0 164.123.15.0/255.255.255.0
Active SAs: 0, origin: crypto map
0
Миниатюры
IPSec site to site не поднимается туннель в GNS3  
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
20.01.2019, 19:15
Ответы с готовыми решениями:

Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series
Доброго времени суток. Есть филиал на котором установлена Cisco 881 и есть удаленная точка на...

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же...

Пересекающиеся сети туннеля site-to-site между Cisco ASA и TMG
Всем добрый день! Необходимо реализовать следующую схему. Есть главный и удаленный офис, связь...

Не могу создать vpn site to site на cisco asa 5506-x
Ребята нужна помощь в создании vpn на firewall cisco asa 5506-x, в гугле нет ничего обэтом,...

Troubleshooting Site to site VNP между маршрутизатором и ASA
В течении недели разбирал тему VPN S2S.И наткнулся на одну примечательную схему. Построил что-то...

4
guard_2007
0 / 0 / 0
Регистрация: 07.12.2014
Сообщений: 118
20.01.2019, 20:56  [ТС] 2
UPD

Если иницилизировать трафик с хостов до по трейсу он обрывается на граничных маршрутизаторах

Добавлено через 33 минуты
Lisp
1
2
3
4
5
6
7
8
9
trace to 164.123.15.2, 8 hops max, press Ctrl+C to stop
 1   190.125.65.1   9.000 ms  10.001 ms  9.001 ms
 2     *  *  *
 3     *  *  *
 4     *  *  *
 5     *  *  *
 6     *  *  *
 7     *  *  *
 8     *  *  *
0
Korax
Эксперт по компьютерным сетям
591 / 314 / 74
Регистрация: 20.04.2014
Сообщений: 857
20.01.2019, 21:32 3
isakmp diffie-hallman группы не совпадают как будто?

Если так, все порвется на первой фазе.

show crypto isakmp sa
show crypto isakmp pol

что кажет?

еще сериал-интерфейс на картинке и в конфиге на втором не совпадают. Там все верно?
0
guard_2007
0 / 0 / 0
Регистрация: 07.12.2014
Сообщений: 118
21.01.2019, 00:21  [ТС] 4
Группы я поправил все совпадает, в конфиге все верно просто настройка не совсем точно по картинке но сама топология сохраняется разные только интерфейсы. Конфиг еще раз переписал для надежности. По пингу все теже результаты

Lisp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
 
IPv6 Crypto ISAKMP SA
 
 
 
R1#show crypto isakmp pol
 
Global IKE policy
Protection suite of priority 1
        encryption algorithm:   Three key triple DES
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Encryption
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               10000 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Добавлено через 1 минуту
Вот еще забыл таблицу маршрутизации показать


Lisp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
 
Gateway of last resort is not set
 
     2.0.0.0/24 is subnetted, 1 subnets
C       2.2.2.0 is directly connected, Serial0/0
     190.125.0.0/24 is subnetted, 1 subnets
C       190.125.65.0 is directly connected, FastEthernet0/1
     178.158.0.0/24 is subnetted, 1 subnets
C       178.158.15.0 is directly connected, FastEthernet0/0
     164.123.0.0/24 is subnetted, 1 subnets
S       164.123.15.0 [1/0] via 2.2.2.2
Добавлено через 1 час 38 минут
Спустя час экспериментов убрал асли для шифрования пинг пошел. Какая то странная ситуация по асл я вроде ничего не напутал в синтаксисе
0
Korax
Эксперт по компьютерным сетям
591 / 314 / 74
Регистрация: 20.04.2014
Сообщений: 857
21.01.2019, 14:04 5
Лучший ответ Сообщение было отмечено guard_2007 как решение

Решение

Итак, у меня заработало.

Конфиги:
R1:
Кликните здесь для просмотра всего текста
Код
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!         
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive   
 log config
  hidekeys
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key PASSWORD address 2.2.2.2
!
!
crypto ipsec transform-set 1 esp-3des esp-sha-hmac 
!
crypto map MAP1 1 ipsec-isakmp 
 set peer 2.2.2.2
 set transform-set 1 
 match address 101
!
!
!
ip tcp synwait-time 5
!
!         
!
!
interface FastEthernet0/0
 ip address 178.158.15.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 190.125.65.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/0
 ip address 2.2.2.1 255.255.255.0
 serial restart-delay 0
 clock rate 2016000
 crypto map MAP1
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!         
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
router eigrp 1
 network 2.2.2.0 0.0.0.255
 network 178.158.15.0 0.0.0.255
 network 190.125.65.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip 178.158.15.0 0.0.0.255 164.123.15.0 0.0.0.255
access-list 101 permit ip 190.125.65.0 0.0.0.255 164.123.15.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end


R2:
Кликните здесь для просмотра всего текста
Код
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
!         
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
archive   
 log config
  hidekeys
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key PASSWORD address 2.2.2.1
!
!
crypto ipsec transform-set 1 esp-3des esp-sha-hmac 
!
crypto map MAP2 1 ipsec-isakmp 
 set peer 2.2.2.1
 set transform-set 1 
 match address 101
!
!
!
ip tcp synwait-time 5
!
!         
!
!
interface FastEthernet0/0
 ip address 164.123.15.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial1/0
 ip address 2.2.2.2 255.255.255.0
 serial restart-delay 0
 crypto map MAP2
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!         
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
router eigrp 1
 network 2.2.2.0 0.0.0.255
 network 164.123.15.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip 164.123.15.0 0.0.0.255 178.158.15.0 0.0.0.255
access-list 101 permit ip 164.123.15.0 0.0.0.255 190.125.65.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end


Были проблемы:
1. Не совпадение ISAKMP политик. Диффи-Хелмана группы не совпадали
2. Не корректные ISAKMP политики. Пароль был задан, а тип аутентификации рre-share не выбран.
3. eigrp настроен - статические маршруты были лишние.

Остальное - нормально.

IPSec site to site не поднимается туннель в GNS3
2
21.01.2019, 14:04
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
21.01.2019, 14:04

Доступ в интернет через Site-to-Site VPN?
Доброго времени суток всем! Меня интересует один вопросик.. есть основной офис и удаленный офис....

Cisco ASA, отваливается Site-to-Site VPN
Добрый день. Предыстория: На бранч офисе был установлен роутер D-link, который держал Site-to-Site...

Cisco ASA, 2 site-to-site vpn
Здравствуйте! У меня вопросик.. А можно ли будет сделать так, чтобы между двумя ASA держалось 2...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru