Mam pytanie odnośnie konfiguracji tunelu L2TP/IPSec na routerze 3Com 5012.
Wiem że jest dedykowana sekcja na platformy non-Cisco, ale 3Com to prawie Cisco więc próbuje
![Wink ;)](./images/smilies/icon_wink.gif)
Konfiguruje dostęp VPN dla klienta L2TP/IPSec wbudowanego w Windows, koncentratorem jest wspomniany powyżej router 3Com 5012.
Pomyślnie udaje się wynegocjować fazy 1 i 2 ale problem jest w acl która wskazuje co ma być szyfrowane a co nie na co wskazywać może informacja "ESP input: Match acl failed"
Kod: Zaznacz cały
*0.1130537 ******** IPSEC/8/DBG:--- Receive IPSec(ESP) packet ---
*0.1130538 ******** IPSEC/8/DBG:Src:x.x.x.x Dst:y.y.y.y SPI:3644446818(0xd939d862)
*0.1130539 ******** IPSEC/8/DBG:New ESP(RFC2406) Enc Alg:3DES Auth Alg:HMAC-MD5-96
*0.1130542 ******** IPSEC/8/DBG:Replay Checking Enabled! SN:3
*0.1130543 ******** IPSEC/8/DBG:ESP new input: Authentication succeed!
*0.1130543 ******** IPSEC/8/DBG:IPSEC Task: Decryption succeed!
*0.1130544 ******** IPSEC/8/DBG:IPSEC task: Transport mode.
*0.1130545 ******** IPSEC/8/DBG:ESP input: Match acl failed
*0.1132998 ******** IPSEC/8/DBG:Deleting SA...
ACL (3999) opiera się na portach na których pracuje tunel L2TP czyli UDP 1701
Kod: Zaznacz cały
acl number 3999
rule 5 permit udp destination-port eq 1701
rule 10 permit udp source-port eq 1701
Kod: Zaznacz cały
Advanced ACL 3999, 2 rules
Acl's step is 1
rule 5 permit udp destination-port eq 1701 (5 times matched)
rule 10 permit udp source-port eq 1701 (0 times matched)
Czy prawdą jest że podczas negocjacji reguły ACL po obu stronach muszą być zgodne ?
Po stronie Windowsa wrzucam w tunel wszystko. Próbowałem również ustawić taką regułę na routerze "permit all" poza tym że się odciąłem to reszta bez zmian.
Oczywiście problem może być bardziej złożony.
Proszę o pomoc i z góry dziękuje.
Konfiguracja:
Kod: Zaznacz cały
l2tp enable
#
local-server nas-ip 127.0.0.1 key 3com
#
ike local-name lns
#
firewall enable
firewall default deny
#
nat address-group 1 x.x.x.x
nat address-group 2 y.y.y.y
nat address-group 3 z.z.z.z
#
web set-package force flash:/http.zip
#
radius scheme system
#
domain system
ip pool 1 10.20.30.10 10.20.30.100
#
local-user vpn_user
password simple ******
service-type ppp
#
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
#
ike peer vpn
exchange-mode aggressive
pre-shared-key 123
id-type name
remote-name vpn_user
nat traversal
#
ipsec proposal vpn
encapsulation-mode transport
esp encryption-algorithm 3des
#
ipsec policy-template template 1
security acl 3999
ike-peer vpn
proposal vpn
#
ipsec policy vpn 1 isakmp template template
#
acl number 3999
rule 5 permit udp destination-port eq 1701
rule 10 permit udp source-port eq 1701
#
interface Virtual-Template1
ppp authentication-mode chap
ip address 10.20.30.1 255.255.255.0
remote address pool 1
#
interface Aux0
async mode flow
#
interface Serial0/0
clock DTECLK1
link-protocol fr
fr lmi type ansi
#
interface Serial0/0.1 p2p
fr dlci 99
ip address x.x.x.x x.x.x.x
nat outbound 2012 address-group 2
nat outbound 2011 address-group 3
nat outbound 2010 address-group 1
ipsec
#
interface NULL0
#
l2tp-group 1
undo tunnel authentication
mandatory-lcp
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 Serial 0/0.1 preference 60
ip route-static 10.20.30.0 255.255.255.0 Virtual-Template 1 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return