Remote connection VPN

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Green
rookie
rookie
Posty: 12
Rejestracja: 17 cze 2017, 12:23

Remote connection VPN

#1

#1 Post autor: Green »

To mój pierwszy post na forum więc witam wszystkich.

Ostatnio na moim starym Cisco 881 postanowiłem odpalić vpn typu remote-connection , po skonfigurowaniu go zgodnie z guide bookiem "Sieci VPN. Zdalna praca i bezpieczeństwo danych. Wydanie II rozszerzone" wystepuję błąd w postaci braku łączności z urządzeniami z LANU routera, ping z mojego kompa który jest połączony po VPNie z LANem poprzez router:

Ping statistics for 10.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Tracert dochodzi do interfejsu WAN routera

Status CISCO VPN Clienta mam jako connected natomiast w statystykach po puszczeniu pinga z kompa nie zawracają pakiety( przy wartości decrypted jest 0 , a przy encrypted jest np 4).

Gdy wchodze na router i wpisuje komende show crypto ipsec sa jest odwrotnie czyli przy decaps sa wartosci a przy encaps jest 0 . Co swiadczy o tym ze ping dochodzi do routera ale z niego nie zawraca.

Po sprawdzeniu tablicy routinguwidze ze jest dodana trasa do mojego VPN clienta.


VPN client ma dostęp do internetu przez internet mobilny , natomiast cisco 881 przez insternet kablowy z Vectry.

Załączam Konfig:

version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxxx
!
boot-start-marker
boot-end-marker
!
logging buffered 64000
enable secret 5 $1$eGUr$pSw1qFod.k4aM0fSpXdJT/
!
aaa new-model
!
!
aaa authentication login VPNAUTH local
aaa authorization network VPNAUTH local
!
!
!
!
!
aaa session-id common
!
!
!
memory-size iomem 10
!
!
ip source-route
!
!
ip dhcp excluded-address 10.0.0.1
!
ip dhcp pool LAN
network 10.0.0.0 255.255.255.0
default-router 10.0.0.1
dns-server 8.8.8.8
!
!
ip cef
ip domain name xxxx.com
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO881-SEC-K9 sn FCZ1533C0LK
!
!
username xxxx privilege 15 secret 5 xxxxxx
username xxxx password 7 xxxxx
!
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp keepalive 30 5
!
crypto isakmp client configuration group grupa1
key qwerty
pool VPNUSERS
acl 102
!
!
crypto ipsec transform-set TRANSFORM esp-3des esp-sha-hmac
!
!
crypto dynamic-map mymap 10
set transform-set TRANSFORM
reverse-route
!
!
!
crypto map mymap client authentication list VPNAUTH
crypto map mymap isakmp authorization list VPNAUTH
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic mymap
!
!
!
!
!
interface FastEthernet0
!
!
interface FastEthernet1
!
!
interface FastEthernet2
!
!
interface FastEthernet3
!
!
interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map mymap
!
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
rate-limit input 5000000 1500000 3000000 conform-action transmit exceed-action drop
rate-limit output 5000000 1500000 3000000 conform-action transmit exceed-action drop
!
!
ip local pool VPNUSERS 192.168.168.1 192.168.168.62
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 100 interface FastEthernet4 overload
ip nat inside source list 101 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 109.241.164.1
!
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 3 permit any
access-list 100 deny ip 10.0.0.0 0.0.0.255 192.168.168.0 0.0.0.63
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 102 permit ip 192.168.168.0 0.0.0.63 10.0.0.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.0.255 192.168.168.0 0.0.0.63
no cdp run

!
!
!
!
!
control-plane
!
!
!
line con 0
exec-timeout 0 0
password 7 03295A19095C731D185E
logging synchronous
no modem enable
line aux 0
line vty 0 4
password 7 04760A1400721E1F5F4E
transport input ssh
!
scheduler max-task-time 5000
end


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


IPv4 Crypto ISAKMP SA
dst src state conn-id status
xxxxx xxxxxx QM_IDLE 2020 ACTIVE

IPv6 Crypto ISAKMP SA



xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx



Zapomniałem dodać , że jak odpalam tracerouta na kliencie do bramy 881 to w show crypto ipsec sa widze ze pakiety sa encapsulowane i decapsulowane

Goclaw#show crypto ipsec sa

interface: FastEthernet4
Crypto map tag: mymap, local addr xxxxxxxx

protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.168.1/255.255.255.255/0/0)
current_peer xxxxxxxx port 44783
PERMIT, flags={}
#pkts encaps: 138, #pkts encrypt: 138, #pkts digest: 138
#pkts decaps: 129, #pkts decrypt: 129, #pkts verify: 129
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: xxxxxxxx, remote crypto endpt.: xxxxxxxxx
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
current outbound spi: 0xFD362DAB(4248186283)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0x303CD575(809293173)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 37, flow_id: Onboard VPN:37, sibling_flags 80000046, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4457459/232)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xFD362DAB(4248186283)



Prośba o pomoc.

Green
rookie
rookie
Posty: 12
Rejestracja: 17 cze 2017, 12:23

Re: Remote connection VPN

#2

#2 Post autor: Green »

Poszukałem trochę w internecie i mogę spingować teraz bramę oraz raspberry które mam podpięte do routera, ale nie mogę teraz wbić się po ssh na raspberry a z sieci lokalnej mogę. Patrząc na powyższy konfig czy ma ktoś może pomysł dlaczego? Spróbuję jeszcze pokombinować coś z access listami.

ODPOWIEDZ