The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемы с IPSec тунелем."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Проблемы с IPSec тунелем."  +/
Сообщение от tashmen (ok) on 07-Июн-10, 14:01 
Есть конфигурация- 1 маршрутизатор 2801 подключен к 2 маршрутизаторам 7204
конфиги 7204 однотипные, но при этом на 2801 тунель с 1 7204 поднимается со 2-м нет
Второй туннель должен подниматься при отключении интерфейса смотрящего на 1-й 7204.

В логах выдает ошибку
%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 172.28.0.5

Вот конфиги 2801

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto map VPNmap 1 ipsec-isakmp
set peer 172.28.0.1
set transform-set T1
match address 100
crypto map VPNmap 2 ipsec-isakmp
set peer 172.28.0.5
set transform-set T1
match address 100
!
interface Serial0/2/0:1
description ## to Site 1 ##
ip address 172.28.0.2 255.255.255.252
ip virtual-reassembly
encapsulation ppp
crypto map VPNmap
!
interface Serial0/2/1:1
description ## to Site 2 ##
ip address 172.28.0.6 255.255.255.252
ip virtual-reassembly
encapsulation ppp
ip ospf cost 80
crypto map VPNmap
!
access-list 100 remark IPSec_map
access-list 100 permit ip 172.28.1.0 0.0.0.255 any


7204 с которым тунель нормально поднимается

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
crypto map VPNmap 13 ipsec-isakmp
set peer 172.28.0.2
set transform-set T1
match address 113
interface Serial2/2:1
description ## to Site 13 ##
ip address 172.28.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
crypto map VPNmap
ip rtp priority 5000 6000 500
access-list 113 permit ip any 172.28.1.0 0.0.0.255

7204 с проблемами
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
crypto map VPNmap 13 ipsec-isakmp
set peer 172.28.0.6
set transform-set T1
match address 113
interface Serial2/2:1
description ## to Site 13 ##
ip address 172.28.0.5 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
crypto map VPNmap
ip rtp priority 5000 6000 500
access-list 113 permit ip any 172.28.1.0 0.0.0.255

Дебаг выдает вот что
279482: Jun  7 15:01:05 UZB: ISAKMP (0:134217747): received packet from 172.28.0.5 dport 500 sport 500 Global (R) QM_IDLE      
279483: Jun  7 15:01:05 UZB: ISAKMP: set new node 1197570411 to QM_IDLE      
279484: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1): processing HASH payload. message ID = 1197570411
279485: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1): processing SA payload. message ID = 1197570411
279486: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):Checking IPSec proposal 1
279487: Jun  7 15:01:05 UZB: ISAKMP: transform 1, ESP_3DES
279488: Jun  7 15:01:05 UZB: ISAKMP:   attributes in transform:
279489: Jun  7 15:01:05 UZB: ISAKMP:      encaps is 1 (Tunnel)
279490: Jun  7 15:01:05 UZB: ISAKMP:      SA life type in seconds
279491: Jun  7 15:01:05 UZB: ISAKMP:      SA life duration (basic) of 3600
279492: Jun  7 15:01:05 UZB: ISAKMP:      SA life type in kilobytes
279493: Jun  7 15:01:05 UZB: ISAKMP:      SA life duration (VPI) of  0x0 0x46 0x50 0x0
279494: Jun  7 15:01:05 UZB: ISAKMP:      authenticator is HMAC-SHA
279495: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):atts are acceptable.
279496: Jun  7 15:01:05 UZB: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 172.28.0.6, remote= 172.28.0.5,
    local_proxy= 172.28.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
279497: Jun  7 15:01:05 UZB: Crypto mapdb : proxy_match
        src addr     : 172.28.1.0
        dst addr     : 0.0.0.0
        protocol     : 0
        src port     : 0
        dst port     : 0
279498: Jun  7 15:01:05 UZB: IPSEC(validate_transform_proposal): peer address 172.28.0.5 not found
279499: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1): IPSec policy invalidated proposal
279500: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1): phase 2 SA policy not acceptable! (local 172.28.0.6 remote 172.28.0.5)
279501: Jun  7 15:01:05 UZB: ISAKMP: set new node 76220685 to QM_IDLE      
279502: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
        spi 1662823704, message ID = 76220685
279503: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1): sending packet to 172.28.0.5 my_port 500 peer_port 500 (R) QM_IDLE      
279504: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):purging node 76220685
279505: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):deleting node 1197570411 error TRUE reason "QM rejected"
279506: Jun  7 15:01:05 UZB: ISAKMP (0:134217747): Unknown Input IKE_MESG_FROM_PEER, IKE_QM_EXCH:  for node 1197570411: state = IKE_QM_READY
279507: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):Node 1197570411, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
279508: Jun  7 15:01:05 UZB: ISAKMP:(0:19:SW:1):Old State = IKE_QM_READY  New State = IKE_QM_READY
S13-R1#
279509: Jun  7 15:01:05 UZB: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 172.28.0.5    
S13-R1#

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблемы с IPSec тунелем."  +/
Сообщение от sh_ email(ok) on 07-Июн-10, 18:46 
А интерфейсы пингают друг друга? Софты на 72-ых одинаковые?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Проблемы с IPSec тунелем."  +/
Сообщение от tashmen (ok) on 07-Июн-10, 20:15 
>А интерфейсы пингают друг друга? Софты на 72-ых одинаковые?

Пинги между интерфейсами ходят. Софт одинаковый.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Проблемы с IPSec тунелем."  +/
Сообщение от uasash email(ok) on 07-Июн-10, 22:11 
так попробуй access-list 100 permit ip 172.28.1.0 0.0.255.255 any

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Проблемы с IPSec тунелем."  +/
Сообщение от tashmen (ok) on 08-Июн-10, 11:09 
> так попробуй access-list 100 permit ip 172.28.1.0 0.0.255.255 any

Зачем у меня уже есть:
access-list 100 permit ip 172.28.1.0 0.0.0.255 any

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Проблемы с IPSec тунелем."  +/
Сообщение от uasash (ok) on 08-Июн-10, 12:06 
>> так попробуй access-list 100 permit ip 172.28.1.0 0.0.255.255 any
>
>Зачем у меня уже есть:
> access-list 100 permit ip 172.28.1.0 0.0.0.255 any

это правило для 172.28.1.0/24 а вам нужно еще 172.28.0.5
279482: Jun  7 15:01:05 UZB: ISAKMP (0:134217747): received packet from 172.28.0.5 dport 500 sport 500 Global (R) QM_IDLE


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Проблемы с IPSec тунелем."  +/
Сообщение от tashmen (ok) on 08-Июн-10, 15:18 
>это правило для 172.28.1.0/24 а вам нужно еще 172.28.0.5
>279482: Jun  7 15:01:05 UZB: ISAKMP (0:134217747): received packet from 172.28.0.5
>dport 500 sport 500 Global (R) QM_IDLE

Не нужно, потому что тунеллироваться должен только трафик 172.28.1.0/24

Кроме того первый туннель с 172.28.0.1 все нормально работает с текущим аксесс-листом.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Проблемы с IPSec тунелем."  +/
Сообщение от tashmen (ok) on 08-Июн-10, 15:53 
Кстати выяснил такую вещь если на 2801 удалить 1 криптомап

crypto map VPNmap 1 ipsec-isakmp

то схема работает, второй туннель нормально поднимается.

Т.е. получается, что второй туннель не поднимается из-за первого криптомапа

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Проблемы с IPSec тунелем."  +/
Сообщение от uasash (ok) on 08-Июн-10, 17:07 
>Кстати выяснил такую вещь если на 2801 удалить 1 криптомап
>
>crypto map VPNmap 1 ipsec-isakmp
>
>то схема работает, второй туннель нормально поднимается.
>
>Т.е. получается, что второй туннель не поднимается из-за первого криптомапа

У меня сделано так
gre туннель и к нему ipsec
на cryptomap только одно соединение, но вроде как для одного cryptomap можно задать несколько peer, или я неправ, может у тебя конфликт в названиях (у меня как то было). Попробуй изменить название второго cryptomap на VPNmap2 (без пробела)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Проблемы с IPSec тунелем."  +/
Сообщение от tashmen (ok) on 09-Июн-10, 09:50 
В общем разобрался- проблема была в том, что
cryptomap VPNmap 1
cryptomap VPNmap 2

это один и тот же криптомап, только с разными порядковыми номерами.

Решил проблему так:
Создал второй криптомап и повесил его на второй интерфейс, после этого все заработало.
итоговый конфиг стал таким
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto map VPNmap 1 ipsec-isakmp
set peer 172.28.0.1
set transform-set T1
match address 100
!
crypto map VPNmap1 1 ipsec-isakmp
set peer 172.28.0.5
set transform-set T1
match address 100

interface Serial0/2/0:1
description ## to Site 1 ##
ip address 172.28.0.2 255.255.255.252
ip virtual-reassembly
encapsulation ppp
crypto map VPNmap
!
interface Serial0/2/1:1
description ## to Site 2 ##
ip address 172.28.0.6 255.255.255.252
ip virtual-reassembly
encapsulation ppp
ip ospf cost 80
crypto map VPNmap1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру