Cisco 7600 - problem z tunelem site-to-site IPSec

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
marek000
fresh
fresh
Posty: 5
Rejestracja: 20 gru 2017, 10:57

Cisco 7600 - problem z tunelem site-to-site IPSec

#1

#1 Post autor: marek000 »

Hej,
mam prośbę o pomoc, lub przynajmniej pytanie.

Próbuję zestawić tunel site-to-site IPSec+ISAKMP z naszego rutera Cisco 7606 (bez karty IPSec VPN SPA, tylko software engine!) do innego urządzenia Cisco (chyba ASA, nie pytałem, ale ma aktualnie takie tunele aktywne).

Nie wykluczam, że popełniam jakiś podstawowy błąd - nie mam doświadczenia w konfigurowaniu tuneli IPSec. W każdym razie, wydaje mi się, że poniższa konfiguracja powinna być OK.

W zasadzie podstawowe pytanie brzmi - czy jeśli nie mamy modułu IPSec VPN SPA, to czy w ogóle możemy podchodzić do stawiania tuneli IPSec na 7600 ?


Znalazłem w dokumentacji Cisco: https://www.cisco.com/c/en/us/products/ ... 92116.html
Tam jest Q&A, a w nim:
"Q. Can I use IPsec without the VSPA?
A. No, IPsec encryption is not supported without hardware acceleration."

Czy to oznacza brak szans w ogóle, dopóki nie będzie sprzętowego modułu SPA ? Pytam, bo po pierwsze komendy ruter przyjmuje (w tym "crypto engine software ipsec"), a poza tym ktoś napisał (https://supportforums.cisco.com/t5/remo ... -p/1295885), że i bez SPA mu to działało.

Poniżej podaję: konfigurację po naszej stronie (parametry isakmp i ipsec mamy uzgodnione), show version, show modules i zapisy w logu. Testuję, próbując wysłać ping z interfejsu loopback pod adres za drugim końcem tunelu. crypto mapa niby coś zlicza, ale to są tylko błedy. Widać, że faza 1 IKE nie działa.



Na interfejsie loopback przypisałem adres IPv4 do testów: 172.30.22.15

!
interface loopback 1
ip address 172.30.22.15 255.255.255.0
exit
!
ip access-list 105 permit ip host 172.30.22.15 host 192.168.3.16
!

crypto isakmp policy 1
encr aes 256
hash sha256
authentication pre-share
group 5
crypto isakmp key klucz_psk address 37.x.y.z
!
crypto isakmp peer address 37.x.y.z
!
crypto ipsec transform-set nasz_peer ah-sha256-hmac esp-aes 256
!
!
crypto map tunel local-address Vlan1
!
crypto map tunel 10 ipsec-isakmp
set peer 37.x.y.z
set transform-set nasz_peer
match address 105
!
interface vlan250
crypto map tunel
exit

###


Żadnych SA dla ISAKMP :(

7600#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status

IPv6 Crypto ISAKMP SA


crypto-mapa łapie pakiety do enkapsulacji, ale przyrasta tylko licznik błędów :(

7600#show crypto ipsec sa

interface: Vlan250
Crypto map tag: tunel, local addr 213.x.y.z

protected vrf: (none)
local ident (addr/mask/prot/port): (172.30.22.15/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.3.16/255.255.255.255/0/0)
current_peer 37.x.y.z port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 10, #recv errors 0

local crypto endpt.: 213.x.y.z, remote crypto endpt.: 37.x.y.z
path mtu 1500, ip mtu 1500, ip mtu idb Vlan11
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:
7600#

###

7600#show version
Cisco IOS Software, c7600rsp72043_rp Software (c7600rsp72043_rp-ADVIPSERVICESK9-M), Version 15.1(2)S, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Fri 25-Mar-11 01:57 by prod_rel_team

ROM: System Bootstrap, Version 12.2(33r)SRB4, RELEASE SOFTWARE (fc1)
BOOTLDR: Cisco IOS Software, c7600rsp72043_rp Software (c7600rsp72043_rp-ADVIPSERVICESK9-M), Version 15.1(2)S, RELEASE SOFTWARE (fc1)

7600 uptime is 25 weeks, 4 days, 14 hours, 51 minutes
Uptime for this control processor is 25 weeks, 4 days, 14 hours, 56 minutes
System returned to ROM by power cycle (SP by power on)
System restarted at 23:30:34 MET Fri Jun 23 2017
System image file is "sup-bootdisk:c7600rsp72043-advipservicesk9-mz.151-2.S.bin"
Last reload type: Normal Reload


7600#show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 16 SFM-capable 16 port 10/100/1000mb RJ45 WS-X6516-GE-TX SAL0740MNPS
2 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0808UPVE
3 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL08373Z11
5 2 Route Switch Processor 720 (Active) RSP720-3CXL-GE JAE11528P4K
6 8 CEF720 8 port 10GE with DFC WS-X6708-10GE SAL1229XU5B

Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 000d.ed23.2568 to 000d.ed23.2577 2.5 6.3(1) (sierra_main Ok
2 000f.241b.03c0 to 000f.241b.03cf 3.0 7.2(1) (sierra_main Ok
3 0012.0094.d9d8 to 0012.0094.d9e7 4.1 Unknown Unknown PwrDown
5 0007.0e62.0380 to 0007.0e62.0383 5.2 12.2(33r)SRB 15.1(2)S Ok
6 001e.f7f8.3f18 to 001e.f7f8.3f1f 1.4 12.2(18r)S1 15.1(2)S Ok

Mod Sub-Module Model Serial Hw Status
---- --------------------------- ------------------ ----------- ------- -------
5 Policy Feature Card 3 7600-PFC3CXL JAE120101E1 1.0 Ok
5 C7600 MSFC4 Daughterboard 7600-MSFC4 JAE120105R0 1.1 Ok
6 Distributed Forwarding Card WS-F6700-DFC3CXL SAL1524FY1L 1.6 Ok

Mod Online Diag Status
---- -------------------
1 Pass
2 Pass
3 Not Applicable
5 Pass
6 Pass



7600#show crypto engine brief

crypto engine name: Cisco VPN Software Implementation
crypto engine type: software
serial number: 00000000
crypto engine state: installed
crypto engine in slot: N/A

7600#show crypto engine config

crypto engine name: Cisco VPN Software Implementation
crypto engine type: software
serial number: 00000000
crypto engine state: installed
crypto engine in slot: N/A
platform: Cisco Software Crypto Engine
crypto lib version: 20.0.0



A tak wygląda log dla isakmp:
ISAKMP:(0): SA request profile is (NULL)
ISAKMP: Created a peer struct for 37.x.y.z, peer port 500
ISAKMP: New peer created peer = 0x46E7FEEC peer_handle = 0x80000014
ISAKMP: Locking peer struct 0x46E7FEEC, refcount 1 for isakmp_initiator
ISAKMP: local port 500, remote port 500
ISAKMP: Unable to find a crypto engine to allocate IKE SA
ISAKMP: Unlocking peer struct 0x46E7FEEC for isadb_unlock_peer_delete_sa(), count 0
ISAKMP: Deleting peer node by peer_reap for 37.x.y.z: 46E7FEEC
ISAKMP:(0):purging SA., sa=0, delme=4BF110E4
ISAKMP: Error while processing SA request: Failed to initialize SA
ISAKMP: Error while processing KMI message 0, error 2.
ISAKMP:(0): SA request profile is (NULL)
ISAKMP: Created a peer struct for 37.x.y.z, peer port 500
ISAKMP: New peer created peer = 0x46E7FEEC peer_handle = 0x80000016
ISAKMP: Locking peer struct 0x46E7FEEC, refcount 1 for isakmp_initiator
ISAKMP: local port 500, remote port 500
ISAKMP: Unable to find a crypto engine to allocate IKE SA
ISAKMP: Unlocking peer struct 0x46E7FEEC for isadb_unlock_peer_delete_sa(), count 0
ISAKMP: Deleting peer node by peer_reap for 37.x.y.z: 46E7FEEC
ISAKMP:(0):purging SA., sa=0, delme=2DD75F60
ISAKMP: Error while processing SA request: Failed to initialize SA
ISAKMP: Error while processing KMI message 0, error 2.


Niepokoi mnie ten wpis "ISAKMP: Unable to find a crypto engine to allocate IKE SA". Czy to może oznaczać, że nie mam co próbować robić tunel,
dopóki nie wyposażymy naszego 7600 w kartę SPA ? Czy może robię lipę gdzie indziej ?


Dzięki za wszelką pomoc i poświęcony czas,
Marek.

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Cisco 7600 - problem z tunelem site-to-site IPSec

#2

#2 Post autor: lbromirs »

marek000 pisze: 20 gru 2017, 13:34 Hej,
mam prośbę o pomoc, lub przynajmniej pytanie.

Próbuję zestawić tunel site-to-site IPSec+ISAKMP z naszego rutera Cisco 7606 (bez karty IPSec VPN SPA, tylko software engine!) do innego urządzenia Cisco (chyba ASA, nie pytałem, ale ma aktualnie takie tunele aktywne).

Nie wykluczam, że popełniam jakiś podstawowy błąd - nie mam doświadczenia w konfigurowaniu tuneli IPSec. W każdym razie, wydaje mi się, że poniższa konfiguracja powinna być OK.

W zasadzie podstawowe pytanie brzmi - czy jeśli nie mamy modułu IPSec VPN SPA, to czy w ogóle możemy podchodzić do stawiania tuneli IPSec na 7600 ?
Nie.

Coś Ci działa jeśli będzie puntowane do CPU, ale zapomnij o wydajności czy oficjalnym wsparciu. Generalnie małe Catalysty nie wspierają IPSec w ogóle, a 6500/7600 czy ASRy 9000 wymagają dedykowanej karty do realizacji IPSeca.

marek000
fresh
fresh
Posty: 5
Rejestracja: 20 gru 2017, 10:57

Re: Cisco 7600 - problem z tunelem site-to-site IPSec

#3

#3 Post autor: marek000 »

Dzięki, Łukasz.
Czyli rozumiem, że nawet jeden tunel nie wyjdzie (bo ma być tylko jeden) ?

Marek.

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Cisco 7600 - problem z tunelem site-to-site IPSec

#4

#4 Post autor: lbromirs »

marek000 pisze: 21 gru 2017, 08:49 Dzięki, Łukasz.
Czyli rozumiem, że nawet jeden tunel nie wyjdzie (bo ma być tylko jeden) ?

Marek.
Może wyjdzie, ale to nie jest wspierana konfiguracja. Dla stabilności i bezpieczeństwa platformy sugerowałbym nawet nie kombinować - możesz sobie przeciążyć 7600 i stracić pozostałe usługi.

ODPOWIEDZ