Топология сети
Описание проблемы
Между маршрутизаторами был настроен IPSec туннель, но у пользователей из сети 101.1.1.0 нет доступа в сеть 202.1.1.0 и наоборот.
Файлы конфигурации
AR1
pki realm default
enrollment self-signed
#
ssl policy default_policy type server
pki-realm default
#
acl number 3000
rule 5 permit ip source 101.1.1.0 0.0.0.255 destination 202.1.1.0 0.0.0.255
acl number 3333
rule 5 permit ip source 101.1.1.0 0.0.0.255
rule 10 permit ip destination 202.1.1.0 0.0.0.255
#
ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm sha1
prf hmac-sha2-256
#
ike peer p1 v1
pre-shared-key cipher %^%#1"4j#17n2'.c\"3q3#g4NGy|1\9Rj%Y{5Y)r$o>$%^%#
ike-proposal 1
remote-address 172.168.1.2
#
ipsec policy p1 10 isakmp
security acl 3000
ike-peer p1
proposal 1
#
interface GigabitEthernet0/0/2
ip address 192.168.1.2 255.255.255.0
nat outbound 3333
ipsec policy p1
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 172.168.1.0 255.255.255.0 192.168.1.1
ip route-static 202.1.1.0 255.255.255.0 192.168.1.1
AR2
acl number 3333
rule 5 permit ip source 202.1.0.0 0.0.3.255 destination 101.1.1.0 0.0.0.255
#
ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm des-cbc
dh group2
authentication-algorithm sha1
prf hmac-sha2-256
#
ike peer p1 v1
pre-shared-key cipher %^%#Xb=f+J<Up&;zprO9<Ik5s6EOIQoPDV~{U)*.bw:J%^%#
ike-proposal 1
remote-address 192.168.1.2
#
ipsec policy p1 10 isakmp
security acl 3333
ike-peer p1
proposal 1
#
interface Vlanif999
description MANAGEMENT
ip address 192.168.80.3 255.255.224.0
#
interface GigabitEthernet0/0/0
description NE40E
ip address 172.16.1.6 255.255.255.252
#
interface GigabitEthernet0/0/1
description USG1
ip address 172.168.1.2 255.255.255.0
ipsec policy p1
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 172.1.0.0 255.255.0.0 192.168.64.1 description MANAGEMENT
ip route-static 192.168.1.0 255.255.255.0 172.168.1.1
ip route-static 192.168.10.0 255.255.255.0 192.168.64.1 description MANAGEMENT
Процесс устранения проблемы
Проверим статус IPSec. Как видим, не проходит даже первая фаза.
[R2U21-AR3200] display ike sa
Conn-ID Peer VPN Flag(s) Phase
------------------------------------------------------------------------------------------------------
175 0.0.0.0 0 1
После проверки параметров, была обнаружена ошибка в настройке ike шифрования.
AR1
#
ike proposal 1
encryption-algorithm 3des-cbc
AR2
#
ike proposal 1
encryption-algorithm des-cbc
После изменения настроек ike, снова проверим статус IPSec. Теперь первая фаза проходит, но есть проблема на второй.
[R2U21-AR3200] display ike sa
Conn-ID Peer VPN Flag(s) Phase
-----------------------------------------------------------------------------------------------
190 192.168.1.2 0 2
185 192.168.1.2 0 RD 1
Проверим настройки esp и acl. Оказалось, что была допущена ошибка при настройке acl. они должны быть зеркальны.
AR1
#
acl number 3000
rule 5 permit ip source 101.1.1.0 0.0.0.255 destination 202.1.1.0 0.0.0.255
AR2
#
acl number 3333
rule 5 permit ip source 202.1.0.0 0.0.3.255 destination 101.1.1.0 0.0.0.255
После изменения acl правила, вторая фаза проходит. И теперь IPSec туннель был установлен.
[R2U21-AR3200] display ike sa
Conn-ID Peer VPN Flag(s) Phase
-----------------------------------------------------------------------------------------------
240 192.168.1.2 0 RD | ST 2
185 192.168.1.2 0 RD 1
Теперь попробуем пингануть удаленную сеть с AR1. Пинги не проходят. Проверим таблицу маршрутизации.
[R2U21-AR3200] display ip routing-table 101.1.1.1
Route Flags: R – relay, D – download to fib
-----------------------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 10.220.6.1 GigabitEthernet0/0/2
Как видим, на AR2 не хватает машрута до сети 101.1.1.0 . Добавим его командой ip route-static 101.1.1.0 255.255.255.0 172.168.1.1
После добавления необходимого маршрута, проблема была устранена:
При настройке IPSec туннеля необходимо помнить о следующих нюансах:
§ Если не проходит первая фаза, то необходимо проверить настройки ike шифрования.
§ Если не проходит вторая фаза, то необходимо проверить настройки esp и acl.
§ Если туннель был установлен, но трафик не ходит, то необходимо проверить настройки acl и nat на соответствующих интерфейсах, а также таблицу маршрутизации.
§ Также, если туннель устанавливается между устройствами разных производителей, либо установлены разные версии прошивок, то может возникнуть проблема при использовании sha2 в качестве метода шифрования, в этом случае поможет команда ipsec authentication sha2 compatible enable.
