Problem z VPN PIX7.2 to router

Wiadomość

unj · #1

Mam problem ze skonfigurowaniem site-to-site vpn pomiedzy PIX 7.2(3) a jakims routerem Cisco. Przy próbie zestawienia polaczenia debug wyrzuca:

Kod: Zaznacz cały

Dec 28 13:38:50 [IKEv1]: IP = 212.77.100.101, Removing peer from peer table failed, no match!
Dec 28 13:38:50 [IKEv1]: IP = 212.77.100.101, Error: Unable to remove PeerTblEntry

I jeszcze:

Kod: Zaznacz cały

PIX# sh crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 212.77.100.101
    Type    : user            Role    : initiator
    Rekey   : no              State   : MM_WAIT_MSG2

Jakis pomysl?

Poniżej configi:

PIX:

Kod: Zaznacz cały

interface Ethernet0
 nameif outside
 security-level 0
 ip address 213.180.130.155 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.0.10.200 255.255.0.0
!
nat-control
global (outside) 20 213.180.130.150
nat (inside) 20 10.0.0.0 255.255.0.0
!
crypto isakmp identity address
crypto isakmp enable outside
!
crypto isakmp policy 10
 encryption 3des
 hash sha
 authentication pre-share
 group 5
 lifetime 86400
!
crypto isakmp nat-traversal  20
!
!
tunnel-group type ipsec-l2l
tunnel-group 212.77.100.101 ipsec-attributes
 pre-shared-key *
 isakmp ikev1-user-authentication none
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
!
crypto dynamic-map dynmap 100 set security-association lifetime seconds 28800
crypto map VPN_CRYPTO 20 match address VPN_ACL
crypto map VPN_CRYPTO 20 set pfs group5
crypto map VPN_CRYPTO 20 set peer 212.77.100.101
crypto map VPN_CRYPTO 20 set transform-set ESP-3DES-SHA
crypto map VPN_CRYPTO interface outside
!
access-list VPN_ACL extended permit ip host 213.180.130.150 host 192.168.1.6

--------------------------------------------------------------------------------------
ROUTER:

Kod: Zaznacz cały

crypto isakmp policy 10
  encr 3des 	
  hash sha
  authentication pre-share
  group 5
  lifetime 86400
!
!
crypto isakmp key * address 213.180.130.155 no-xauth
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
! 
 crypto map UMLAN_VPN 60 ipsec-isakmp
  set peer 213.180.130.155
  set transform-set ESP-3DES-SHA
  set pfs group5
  match address IPSec
!
ip access-list extended IPSec
  permit ip host 192.168.1.6 host 213.180.130.150

kktm · #2

na pix, routerze posciles "ajka" i "ajpiseka"?

#3

Rozumiem, ze haslo (preshared key) kryjace sie za * zostalo sprawdzone kilkukrotnie i jest takie same po obu stronach.
Daj

Kod: Zaznacz cały

deb cry isa 127
deb cry ips 127

z ASA oraz

Kod: Zaznacz cały

deb cry isa
deb cry ips

z routera.
Ogolnie blad MM_WAIT_MSG2 wskazuje na problemy w fazie 1 IPSec, a co dokladnie nie pasuje powinno wyjsc z debugow.
Daj tez

Kod: Zaznacz cały

show cry isa sa de

z routera po probie polaczenia

unj · #4

kktm: Ani na pix'ie ani na routerze zaden ruch nie jest przycinany.
Seba: PSK jest poprawne. Na wszelki wypadek wpisalem ponownie. Nic sie nie zmienilo.

Oto wyniki debugow:

Kod: Zaznacz cały

PIX# term mon
PIX# deb cry isa 127 
PIX# deb cry ips 127
PIX# Dec 31 10:20:33 [IKEv1 DEBUG]: Pitcher: received a key acquire message, spi 0x0
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 1 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 2 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 3 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 4 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 5 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 6 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 7 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 8 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 9 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 10 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 11 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 12 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 13 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 14 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 15 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 16 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 17 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 18 incomplete.  No peer ,access-list or transform-set specified.
IPSEC(crypto_map_check): crypto map VPN_CRYPTO 19 incomplete.  No peer ,access-list or transform-set specified.
Dec 31 10:20:33 [IKEv1]: IP = 212.77.100.101, IKE Initiator: New Phase 1, Intf inside, IKE Peer 212.77.100.101  local Proxy Address 213.180.130.150, remote Proxy Address 192.168.1.6,  Crypto map (VPN_CRYPTO)
Dec 31 10:20:33 [IKEv1 DEBUG]: IP = 212.77.100.101, constructing ISAKMP SA payload
Dec 31 10:20:33 [IKEv1 DEBUG]: IP = 212.77.100.101, constructing NAT-Traversal VID ver 02 payload
Dec 31 10:20:33 [IKEv1 DEBUG]: IP = 212.77.100.101, constructing NAT-Traversal VID ver 03 payload
Dec 31 10:20:33 [IKEv1 DEBUG]: IP = 212.77.100.101, constructing Fragmentation VID + extended capabilities payload
Dec 31 10:20:33 [IKEv1]: IP = 212.77.100.101, IKE_DECODE SENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 292
Dec 31 10:20:41 [IKEv1]: IP = 212.77.100.101, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 292
Dec 31 10:20:49 [IKEv1]: IP = 212.77.100.101, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 292
Dec 31 10:20:57 [IKEv1]: IP = 212.77.100.101, IKE_DECODE RESENDING Message (msgid=0) with payloads : HDR + SA (1) + VENDOR (13) + VENDOR (13) + VENDOR (13) + NONE (0) total length : 292
Dec 31 10:21:05 [IKEv1 DEBUG]: IP = 212.77.100.101, IKE MM Initiator FSM error history (struct &0x25368a0)  <state>, <event>:  MM_DONE, EV_ERROR-->MM_WAIT_MSG2, EV_RETRY-->MM_WAIT_MSG2, EV_TIMEOUT-->MM_WAIT_MSG2, NullEvent-->MM_SND_MSG1, EV_SND_MSG-->MM_SND_MSG1, EV_START_TMR-->MM_SND_MSG1, EV_RESEND_MSG-->MM_WAIT_MSG2, EV_RETRY
Dec 31 10:21:05 [IKEv1 DEBUG]: IP = 212.77.100.101, IKE SA MM:1d8118b8 terminating:  flags 0x01000022, refcnt 0, tuncnt 0
Dec 31 10:21:05 [IKEv1 DEBUG]: IP = 212.77.100.101, sending delete/delete with reason message
Dec 31 10:21:05 [IKEv1]: IP = 212.77.100.101, Removing peer from peer table failed, no match!
Dec 31 10:21:05 [IKEv1]: IP = 212.77.100.101, Error: Unable to remove PeerTblEntry

a na routerze:

Kod: Zaznacz cały

router#term mon
router#deb cry isa
Crypto ISAKMP debugging is on
router#deb cry ips
Crypto IPSEC debugging is on
router#

....cisza.

Z PIX'a router osiagalny oczywiscie jest:

Kod: Zaznacz cały

PIX# ping 212.77.100.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.77.100.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
PIX#

Ciekawym jest to, ze pingujac z hosta zza PIX'a adres nalezacy do hosta za routerem (192.168.1.6) na routerze "debug ip icmp" pokazuje:

Kod: Zaznacz cały

*Mar  1 03:06:30.900: ICMP: dst (212.77.100.101) port unreachable sent to 213.180.130.155
*Mar  1 03:06:38.898: ICMP: dst (212.77.100.101) port unreachable sent to 213.180.130.155
*Mar  1 03:06:46.899: ICMP: dst (212.77.100.101) port unreachable sent to 213.180.130.155
*Mar  1 03:06:54.900: ICMP: dst (212.77.100.101) port unreachable sent to 213.180.130.155

Cos wiec do routera dociera. Tak jakby tunel sie na chwile zestawial??

#5

No to, ze na routerze nie ma nic w debug to jest dziwne. Przyczyny zazwyczaj sa dwie:
- ACL w kierunku IN blokuje IKE (UDP/500)
- crypto map jest nie przypiete do interfejsu, albo jesli interfejsow jest wiecej to jest przypiete do zlego interfejsu.
Aby troche Nam ulatwic daj:
1.

Kod: Zaznacz cały

sh run int TWOJ-ZEWNETRZNY-INTERFACE

jesli jest tam access-group podpiete to daj jeszcze

Kod: Zaznacz cały

sh access-l TWOJA-ACL-PODPIETA-DO-INTERFEJSU-ZEWNETRZNEGO

albo poprostu sprawdz, czy ruch UDP port 500, UDP 4500 (dla NAT-T) i protokol ESP sa przepuszczane. W zaleznosci od softu moze byc kwestia, ze ta ACL musi uwzgledniac tez ruch po odszyfrowaniu, ale jesli to byloby problemem to byloby cos widac w debug.
2.

Kod: Zaznacz cały

sh cry map

Jak wyglada kwestia NAT an routerze? Jeli masz tam NATa, to czy ruch do szyfrowania jest wyeliminowany z translacji?

#6

Seba pisze:No to, ze na routerze nie ma nic w debug to jest dziwne. Przyczyny zazwyczaj sa dwie:
- ACL w kierunku IN blokuje IKE (UDP/500)
- crypto map jest nie przypiete do interfejsu, albo jesli interfejsow jest wiecej to jest przypiete do zlego interfejsu.
Aby troche Nam ulatwic daj:
1.
Kod: Zaznacz cały
sh run int TWOJ-ZEWNETRZNY-INTERFACE
jesli jest tam access-group podpiete to daj jeszcze
Kod: Zaznacz cały
sh access-l TWOJA-ACL-PODPIETA-DO-INTERFEJSU-ZEWNETRZNEGO

Ja już chyba wiem dlaczego w TACu, nawet przy usterce sprzętowej proszą o _pełny_ konfig albo sh techa... po to aby ich krew nie zalewała

Seba: chyba trzeba nauczyć kolegów podstaw troubleshootingu przed zadaniem pytania.. wybierz jakąś mało bolesną metodę

Drogi unj:
1) sprawdź dowolnie wybraną metodą czy pakiety IKE dochodzą do routera.
2) podeślij proszę pełny konfig routera

pozdrawiam,
mikrobi

unj · #7

Ok, tunel sie zestawia ale komunikacji brak. Podpowiedzcie mi, bo chyba cos mam namieszane z ACLkami okreslajacymi ruch dla tunelu... Zamysl byl taki aby hosty zza pixa (10.0.0.0/16) mialy dostep przez tunel do 192.168.1.6 (odwrotnie juz nie). Chcialbym wiec aby pix do tunelu wrzucal pakiety zNATowane, gdzie robie blad?

#8

unj pisze:Ok, tunel sie zestawia ale komunikacji brak. Podpowiedzcie mi, bo chyba cos mam namieszane z ACLkami okreslajacymi ruch dla tunelu... Zamysl byl taki aby hosty zza pixa (10.0.0.0/16) mialy dostep przez tunel do 192.168.1.6 (odwrotnie juz nie). Chcialbym wiec aby pix do tunelu wrzucal pakiety zNATowane, gdzie robie blad?

Nienienie za łatwo byś chciał... wymęczyłeś nas jednym problemem to go zakończ: najpierw przyznaj się dlaczego nic nie było widać w debugach a teraz tunel się zestawia.

mikrobi sylwestrowy.

unj · #9

Hehehe... ok, juz mowie. Problem byl banalny, jak to zwykle w takich przypadkach bywa. Mialem utworzona crypto mape UMLAN_VPN z nizszym sec i oczywiscie niepasujacym credentialami... stad debug mowil "peer table failed, no match!" - i mial racje

Ja za to mialem bledne przekonanie o ich dopasowywaniu.
Takze wielkie dzieki za pomoc i licze, ze pomozecie mi jeszcze postawic te kropke nad "i".

W uzupelnieniu wczesniejszych postow podsylam aktualna konfiguracje nat'a po stronie routera:

Kod: Zaznacz cały

ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
access-list 120 deny   ip 192.168.1.0 0.0.0.255 host 213.180.130.150
access-list 120 permit ip 192.168.1.0 0.0.0.255 any
!
route-map nonat permit 10
 match ip address 120

Z noworocznym pozdrowieniem,
unj

unj · #10

Zmienilem ACL na:

Kod: Zaznacz cały

access-list 120 deny   ip host 192.168.1.6 host 213.180.130.150
access-list 120 permit ip 192.168.1.0 0.0.0.255 any

#11

A czy z ta zmieniona ACL dziala ok, czy tez nadal jest jakis problem? Bo nieco sie zgubilem

unj · #12

Nie, nie, nie problem jest nadal. Zmienilem to tylko tak dla "porzadnosci"... by oszczedzic uwag

unj · #13

Chciałem aby ruch zza PIX'a przechodzący przez tunel byl NATowany. Gdzie robie błąd? Jakiś pomysł?

#14

unj pisze:Chciałem aby ruch zza PIX'a przechodzący przez tunel byl NATowany. Gdzie robie błąd? Jakiś pomysł?

Mozesz jeszcze sprobowac dodac w konfiguracji ASA ponizsze dwie linie:

Kod: Zaznacz cały

access-list nonat permit ip host 213.180.130.150 host 192.168.1.6
nat (inside) 0 access-list nonat

Co prawda NAT Exemption jest analizowany wczesniej, ale moze taka definicja jest potrzebna. Niestety nie mam teraz jak tego przetestowac.

Inna kwestia do sprawdzenia, to routing. Upewnij sie, ze do sieci docelowych pakiety wychodza odpowiednimi interfejsami (np. na routerze do 213.180.130.150). Zrob detailed debug na routerze i poprobuj powysylac pakiety z sieci do sieci. Spojrz rowniez w show crypto ipsec sa, aby sprawdzic, czy jakies pakiety przechodza przez tunel. Moze tylko IN, moze tylko OUT? Podaj wyniki obserwacji na forum.