¿Cuál es la forma correcta de configurar una VPN IPSEC de sitio a sitio y una VLAN de acceso remoto en la misma interfaz externa? Cisco 891 ISR

11

Me encantaría publicar la configuración o los registros como referencia, pero tengo problemas para que mi VPN de acceso remoto funcione en la misma interfaz que mi VPN IPSEC de sitio a sitio. Estoy usando un mapa criptográfico dinámico para la VPN de acceso remoto, pero parece que está fallando al intentar hacer la fase uno. ¿Alguien podría darme una configuración de ejemplo simple para trabajar?

EDITAR:

Aquí hay un volcado de depuración que falla después de implementar los perfiles ISAKMP según la sugerencia a continuación. Se me solicita el nombre de usuario y la contraseña, pero luego se agota el tiempo de espera. Parece que la autorización de isakmp está fallando. Actualmente, la autorización de isakmp se establece en la lista de usuarios locales. ¿Eso parece ser el problema para ustedes?

Jul  3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul  3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul  3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul  3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul  3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul  3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul  3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul  3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul  3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul  3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA

Jul  3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul  3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul  3 16:40:48.349: 
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul  3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul  3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.

También veo estos errores cuando depuro errores de isakmp e ipsec y extraigo los registros:

Jul  3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul  3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul  3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul  3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
Bill Gurling
fuente
2
¿Qué versión principal de IOS estás ejecutando? Es mejor mencionar eso y etiquetar con cisco-ios-15 o lo que sea.
Craig Constantine
¿Ha podido hacer que uno o ambos componentes funcionen correctamente de forma independiente? Comenzaría allí, asegurándome de que se verifique la configuración independiente para cada uno antes de combinarlos.
Jeremy Stretch
¿Qué quiere decir con una VLAN de acceso remoto? Entiendo que está tratando de configurar y habilitar una VPN IPSEC aplicando un mapa criptográfico a una interfaz, pero eso es una VLAN de acceso remoto.
jwbensley
Lo siento, se supone que debo decir VPN, lo arreglaré. Los tenía a ambos funcionando, pero en este punto solo funciona la VPN de sitio a sitio. ISR está ejecutando 15.1 en este momento.
Bill Gurling
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

6

Tomar una foto en la oscuridad aquí porque hay muchas variables que no mencionaste. Actualice la pregunta para incluir las tecnologías específicas que está utilizando, su configuración de currnet y el error que está recibiendo. Pero si está utilizando, por ejemplo, DMVPN + EZVPN, probablemente tendrá que usar llaveros y múltiples perfiles ISAKMP. Como señala los problemas de la fase 1, comprobaría eso. Los siguientes enlaces proporcionan configuraciones de referencia para DMVPN y EZVPN y L2L + EZVPN . Debería poder modificar para satisfacer sus necesidades.

Aquí hay una referencia del perfil ISAKMP para leer a la hora del almuerzo.

smithian
fuente
He actualizado mi publicación original con algunos de los registros que veo cuando falla. ¿Dónde te parece el desglose? Actualmente usando los perfiles de isakmp.
Bill Gurling
1

Sin ver cuál es su configuración, este ejemplo no será del todo exacto. Sin embargo, así es como configuraría el sitio A. El sitio B sería similar, menos las piezas remotas de VPN y la inversión de las piezas del sitio A y del sitio B. Cualquier cosa entre paréntesis debe completarse con su propia información.

Además, para este ejemplo en particular, la VPN remota sería a través del Cliente Cisco VPN y no el Cliente AnyConnect. ShrewSoft VPN Client también funciona.

ip local pool pool-remote-access 10.250.0.1 10.250.0.254

crypto logging ezvpn
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2

crypto isakmp key <pre-shared-site-to-site-key-here> address <site-b-ip>   no-xauth

!
crypto isakmp client configuration group Remote-Users-Group
 key <pre-shared-key-for-vpn-users>
 dns <internal-domain-dns-ip>
 domain <internal-domain-fqdn>
 pool pool-remote-access
 acl acl-remote-access
 split-dns <internal-domain-fqdn>
crypto isakmp profile Remote-Users-Profile
   description Remote VPN Clients
   match identity group Remote-Users-Group
   client authentication list <inset-aaa-group-for-remote-user-authentication>
   isakmp authorization list <inset-aaa-group-for-remote-user-authorization>
   client configuration address respond
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
crypto ipsec df-bit clear
!
!
!
crypto dynamic-map dynamic-vpn-map 1
 set transform-set esp-aes-sha 
 set isakmp-profile Remote-Users-Profile
 reverse-route
 qos pre-classify
!
!
crypto map vpn-map-all 1 ipsec-isakmp 
 description VPN to Site-B
 set peer <site-b-IP>
 set transform-set esp-aes-sha 
 match address acl-vpn-site-b
crypto map vpn-map-all 65535 ipsec-isakmp dynamic dynamic-vpn-map 

ip access-list extended acl-remote-access
 permit ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255

ip access-list extended acl-vpn-site-b
 permit ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255


interface <outside-interface>
 crypto map vpn-map-all

! These ports need to be open on the outside interface 
! permit udp any host <public-ip-of-outside-interface> eq non500-isakmp
! permit udp any host <public-ip-of-outside-interface> eq isakmp
! permit esp any host <public-ip-of-outside-interface>
! permit ahp any host <public-ip-of-outside-interface>

!
!If doing NAT... need to block VPN-VPN connections from being NAT'd
!The following is an example setup - not definitive
!



ip access-list extended acl-block-vpn
 deny   ip <site-a-subnet> 0.0.0.255 <site-b-subnet> 0.0.0.255  !Site-B
 deny   ip <site-a-subnet> 0.0.0.255 10.250.0.0 0.0.0.255       !Remote users 
 permit ip <site-a-subnet> 0.0.0.255 any

route-map rm-block-vpn-on-nat permit 1
 match ip address acl-block-vpn

ip nat inside source route-map rm-block-vpn-on-nat interface <overloaded-interface> overload
some_guy_long_gone
fuente
Muchas gracias, compararé esto con mi configuración y veré dónde está el desglose. Creo que mi configuración probablemente sea correcta, pero definitivamente no tengo las entradas de ACL allí, por lo que ese puede ser mi problema. Agradezco la respuesta.
Bill Gurling