Проблема с установкой IPSec туннеля

Опубликовано 2019-3-28 17:21:35 1669 0 1 0

Топология сети

1

Описание проблемы

Между маршрутизаторами был настроен IPSec туннель, но у пользователей из сети 101.1.1.0 нет доступа в сеть 202.1.1.0 и наоборот.

Файлы конфигурации

AR1

pki realm default
  enrollment self-signed
#
ssl policy default_policy type server
  pki-realm default
#
acl number 3000
  rule 5 permit ip source 101.1.1.0 0.0.0.255 destination 202.1.1.0 0.0.0.255
acl number 3333
  rule 5 permit ip source 101.1.1.0 0.0.0.255
  rule 10 permit ip destination 202.1.1.0 0.0.0.255
#
ipsec proposal 1
  esp authentication-algorithm sha2-256
  esp encryption-algorithm 3des
#
ike proposal 1
  encryption-algorithm 3des-cbc
  dh group2
  authentication-algorithm sha1
  prf hmac-sha2-256
#
ike peer p1 v1
  pre-shared-key cipher %^%#1"4j#17n2'.c\"3q3#g4NGy|1\9Rj%Y{5Y)r$o>$%^%#
  ike-proposal 1
  remote-address 172.168.1.2
#
ipsec policy p1 10 isakmp
  security acl 3000
  ike-peer p1
  proposal 1
#
interface GigabitEthernet0/0/2
  ip address 192.168.1.2 255.255.255.0
  nat outbound 3333
  ipsec policy p1
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 172.168.1.0 255.255.255.0 192.168.1.1
ip route-static 202.1.1.0 255.255.255.0 192.168.1.1

AR2

acl number 3333
 rule 5 permit ip source 202.1.0.0 0.0.3.255 destination 101.1.1.0 0.0.0.255
#
ipsec proposal 1
  esp authentication-algorithm sha2-256
  esp encryption-algorithm 3des
#
ike proposal 1
  encryption-algorithm des-cbc
  dh group2
  authentication-algorithm sha1
  prf hmac-sha2-256
#
ike peer p1 v1
  pre-shared-key cipher %^%#Xb=f+J<Up&;zprO9<Ik5s6EOIQoPDV~{U)*.bw:J%^%#
  ike-proposal 1
  remote-address 192.168.1.2
#
ipsec policy p1 10 isakmp
  security acl 3333
  ike-peer p1
  proposal 1
#
interface Vlanif999
  description MANAGEMENT
  ip address 192.168.80.3 255.255.224.0
#
interface GigabitEthernet0/0/0
  description NE40E
  ip address 172.16.1.6 255.255.255.252
#
interface GigabitEthernet0/0/1
  description USG1
  ip address 172.168.1.2 255.255.255.0
  ipsec policy p1
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 172.1.0.0 255.255.0.0 192.168.64.1 description MANAGEMENT
ip route-static 192.168.1.0 255.255.255.0 172.168.1.1
ip route-static 192.168.10.0 255.255.255.0 192.168.64.1 description MANAGEMENT

Процесс устранения проблемы

Проверим статус IPSec. Как видим, не проходит даже первая фаза.

[R2U21-AR3200] display ike sa
          Conn-ID          Peer        VPN         Flag(s)        Phase
------------------------------------------------------------------------------------------------------
             175              0.0.0.0         0                               1

После проверки параметров, была обнаружена ошибка в настройке ike шифрования.

AR1
     #
     ike proposal 1
       encryption-algorithm 3des-cbc

AR2
     #
     ike proposal 1
       encryption-algorithm des-cbc

После изменения настроек ike, снова проверим статус IPSec. Теперь первая фаза проходит, но есть проблема на второй.

[R2U21-AR3200] display ike sa
          Conn-ID          Peer             VPN          Flag(s)        Phase
-----------------------------------------------------------------------------------------------
             190            192.168.1.2       0                                   2
             185            192.168.1.2       0               RD               1

Проверим настройки esp и aclОказалось, что была допущена ошибка при настройке acl. они должны быть зеркальны.

AR1
     #
     acl number 3000
       rule 5 permit ip source 101.1.1.0 0.0.0.255 destination 202.1.1.0 0.0.0.255 

AR2
     #
     acl number 3333
       rule 5 permit ip source 202.1.0.0 0.0.3.255 destination 101.1.1.0 0.0.0.255

После изменения acl правила, вторая фаза проходит. И теперь IPSec туннель был установлен.

[R2U21-AR3200] display ike sa
          Conn-ID           Peer               VPN           Flag(s)                   Phase
-----------------------------------------------------------------------------------------------
              240           192.168.1.2          0              RD | ST                    2
              185           192.168.1.2          0              RD                           1

Теперь попробуем пингануть удаленную сеть с AR1. Пинги не проходят. Проверим таблицу маршрутизации.

[R2U21-AR3200] display ip routing-table 101.1.1.1
Route     Flags:   R    –    relay,    D   –   download   to   fib
-----------------------------------------------------------------------------------------------
Routing     Table :  Public
Summary Count :  1
Destination/Mask    Proto    Pre   Cost    Flags     NextHop      Interface

         0.0.0.0/0         Static    60    0         RD         10.220.6.1   GigabitEthernet0/0/2

Как видим, на AR2 не хватает машрута до сети 101.1.1.0 . Добавим его командой ip route-static 101.1.1.0 255.255.255.0 172.168.1.1

После добавления необходимого маршрута, проблема была устранена:

2

При настройке IPSec туннеля необходимо помнить о следующих нюансах:

§ Если не проходит первая фаза, то необходимо проверить настройки ike шифрования.

§ Если не проходит вторая фаза, то необходимо проверить настройки esp и acl.

§ Если туннель был установлен, но трафик не ходит, то необходимо проверить настройки acl и nat на соответствующих интерфейсах, а также таблицу маршрутизации.

§ Также, если туннель устанавливается между устройствами разных производителей, либо установлены разные версии прошивок, то может возникнуть проблема при использовании sha2 в качестве метода шифрования, в этом случае поможет команда ipsec authentication sha2 compatible enable.

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Быстрый ответ Вверх