Tunel L2TP/IPSec "ESP input: Match acl failed"

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Tunel L2TP/IPSec "ESP input: Match acl failed"

#1

#1 Post autor: mhuba »

Witam
Mam pytanie odnośnie konfiguracji tunelu L2TP/IPSec na routerze 3Com 5012.
Wiem że jest dedykowana sekcja na platformy non-Cisco, ale 3Com to prawie Cisco więc próbuje ;)

Konfiguruje dostęp VPN dla klienta L2TP/IPSec wbudowanego w Windows, koncentratorem jest wspomniany powyżej router 3Com 5012.

Pomyślnie udaje się wynegocjować fazy 1 i 2 ale problem jest w acl która wskazuje co ma być szyfrowane a co nie na co wskazywać może informacja "ESP input: Match acl failed"

Kod: Zaznacz cały

*0.1130537 ******** IPSEC/8/DBG:--- Receive IPSec(ESP) packet ---
*0.1130538 ******** IPSEC/8/DBG:Src:x.x.x.x Dst:y.y.y.y SPI:3644446818(0xd939d862)
*0.1130539 ******** IPSEC/8/DBG:New ESP(RFC2406) Enc Alg:3DES Auth Alg:HMAC-MD5-96
*0.1130542 ******** IPSEC/8/DBG:Replay Checking Enabled! SN:3
*0.1130543 ******** IPSEC/8/DBG:ESP new input: Authentication succeed!
*0.1130543 ******** IPSEC/8/DBG:IPSEC Task: Decryption succeed!
*0.1130544 ******** IPSEC/8/DBG:IPSEC task: Transport mode.
*0.1130545 ******** IPSEC/8/DBG:ESP input: Match acl failed
*0.1132998 ******** IPSEC/8/DBG:Deleting SA...

ACL (3999) opiera się na portach na których pracuje tunel L2TP czyli UDP 1701

Kod: Zaznacz cały

acl number 3999
 rule 5 permit udp destination-port eq 1701
 rule 10 permit udp source-port eq 1701
Widać że trafia tylko ruch przychodzący do routera z zewnątrz, natomiast cały czas jest 0 trafień w regułę 10.

Kod: Zaznacz cały

Advanced ACL  3999, 2 rules
Acl's step is 1
 rule 5 permit udp destination-port eq 1701 (5 times matched) 
 rule 10 permit udp source-port eq 1701 (0 times matched)
Czy szanowni forumowicze mają pomysł jak może wyglądać poprawna ACL.
Czy prawdą jest że podczas negocjacji reguły ACL po obu stronach muszą być zgodne ?
Po stronie Windowsa wrzucam w tunel wszystko. Próbowałem również ustawić taką regułę na routerze "permit all" poza tym że się odciąłem to reszta bez zmian.
Oczywiście problem może być bardziej złożony.

Proszę o pomoc i z góry dziękuje.

Konfiguracja:

Kod: Zaznacz cały

 l2tp enable
#
 local-server nas-ip 127.0.0.1 key 3com
#
 ike local-name lns
#
 firewall enable
 firewall default deny
#
 nat address-group 1 x.x.x.x
 nat address-group 2 y.y.y.y
 nat address-group 3 z.z.z.z
#
 web set-package force flash:/http.zip
#
radius scheme system
#
domain system
 ip pool 1 10.20.30.10 10.20.30.100
#
local-user vpn_user
 password simple ******
 service-type ppp
#
ike proposal 1
 encryption-algorithm 3des-cbc
 dh group2
 authentication-algorithm md5
#
ike peer vpn
 exchange-mode aggressive
 pre-shared-key 123
 id-type name
 remote-name vpn_user
 nat traversal
#
ipsec proposal vpn
 encapsulation-mode transport
 esp encryption-algorithm 3des
#
ipsec policy-template template 1
 security acl 3999
 ike-peer vpn
 proposal vpn
#
ipsec policy vpn 1 isakmp template template
#
acl number 3999
 rule 5 permit udp destination-port eq 1701
 rule 10 permit udp source-port eq 1701
#
interface Virtual-Template1
 ppp authentication-mode chap
 ip address 10.20.30.1 255.255.255.0
 remote address pool 1
#
interface Aux0
 async mode flow
#
interface Serial0/0
 clock DTECLK1
 link-protocol fr
 fr lmi type ansi
#
interface Serial0/0.1 p2p
 fr dlci 99
 ip address x.x.x.x x.x.x.x
 nat outbound 2012 address-group 2
 nat outbound 2011 address-group 3
 nat outbound 2010 address-group 1
 ipsec 
#
interface NULL0
#
l2tp-group 1
 undo tunnel authentication
 mandatory-lcp
 allow l2tp virtual-template 1
#
 ip route-static 0.0.0.0 0.0.0.0 Serial 0/0.1 preference 60
 ip route-static 10.20.30.0 255.255.255.0 Virtual-Template 1 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
 authentication-mode scheme
#
return
Na górę
Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

Re: Tunel L2TP/IPSec "ESP input: Match acl failed"

#2

#2 Post autor: gryglas »

L2TP to nie tylko port udp 1701 ;P
Musisz przepuścić dodatkowe porty w tym IP 50 ( ESP ) http://www.isaserver.org/img/upl/vpnkit ... ilters.htm
Co do ACLki , tak po obu stronach musi byc taka sam ( odbicie lustrzane )
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
Na górę
mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Tunel L2TP/IPSec "ESP input: Match acl failed"

#3

#3 Post autor: mhuba »

Co do ACLki , tak po obu stronach musi byc taka sam ( odbicie lustrzane )
Pytanie: musi czy może być ?

Obiło mi się o uszy że przy różnych acl tunel się nie zestawi.
W moim przypadku mam

Kod: Zaznacz cały

[*****]display ike sa
    total phase-1 SAs:  1
    connection-id  peer            flag        phase   doi
  ----------------------------------------------------------
     10            *************   RD            2     IPSEC 
     9             *************   RD            1     IPSEC 

  flag meaning
  RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
Windows domyślnie wrzuca w tunel wszystko, czyli permit all.
Oczywiście dzięki IP Security Policies w Windows można to sobie zmienić, choć wolałbym pozostawić klienta na ustawieniach domyślnych.

Wg. rfc2661 L2TP potrzebuje tylko UDP 1701, pozostałe porty niezbędne są przy IPSec. Oczywiście nigdzie ich nie blokuje.
Na górę
ODPOWIEDZ

Wróć do „Security”