私はこれに対する答えを知っていると確信していますが、それを実装する方法がわかりません。
Cisco 2811からopenswanを実行するLinuxボックスにipsec vpnをセットアップしようとしています。これまでのところ、フェーズ1を開始できますが、フェーズ2に問題があります。その100%の構成の問題。
私がやろうとしていることは、ネットへのゲートウェイとしてその反対側のインターネット接続を使用して、Webおよびその他のトラフィックをVPNにプッシュすることです。クリプトマップエラーが発生します。これがセットアップです。1.1.1.1シスコである。2.2.2.2アドレスは、NICが1つしかないLinuxサーバーです。
192.168.xx / 24 ----- 1.1.1.1-インターネット2.2.2.2 ---- >>>インターネット
フェーズ2トンネルを形成できない理由を理解しています。マップに同意できません。しかし、私はこの場合マップがどうあるべきかわかりません。
今のところ、ICMPのみでテストしています。
NATからICMPを除外しました:
ip access-list extended NAT
deny icmp 192.168.30.0 0.0.0.255 any
次に、VPNの「興味深いトラフィック」は次のとおりです。
access-list 153 permit icmp 192.168.30.0 0.0.0.255 any
openswan側で私が使用しています:
left=2.2.2.2
right=1.1.1.1
rightsubnet=192.168.30.3/24
さて、Ciscoはすぐに破棄を開始します。
2d11h: map_db_find_best did not find matching map
2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
2d11h: ISAKMP:(0:26:SW:1): IPSec policy invalidated proposal
2d11h: ISAKMP:(0:26:SW:1): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)
何をしたいのかはわかっていますが、設定方法がわかりません。これが単純な内部サブネットから内部サブネットへのVPNの場合は問題ありません。
ここでの指示は本当に役に立ちます。
ルーター設定:
version 12.4
service timestamps debug uptime
service timestamps log datetime
service password-encryption
!
hostname Hex-2811
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-24.T5.bin
boot-end-marker
!
no logging buffered
aaa new-model
!
!
!
aaa session-id common
clock timezone EST -5
clock summer-time EDT recurring
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name hexhome.int
ip name-server 192.168.30.8
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
ipv6 unicast-routing
crypto isakmp policy 1
encr aes 192
authentication pre-share
group 5
lifetime 43200
crypto isakmp key ********** address 2.2.2.2
!
!
crypto ipsec transform-set IOFSET2 esp-aes 192 esp-sha-hmac
!
!
crypto map IOFVPN 1 ipsec-isakmp
description Isle Of Man
set peer 2.2.2.2
set transform-set IOFSET2
match address 153
!
!
!
!
interface FastEthernet0/0
description Internal 192 Network
ip address 192.168.30.1 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex full
speed 100
!
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 174.59.28.1
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.30.45 3001
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map POLICY-NAT interface FastEthernet0/1 overload
ip access-list extended NAT
deny icmp 192.168.30.0 0.0.0.255 any
permit ip any any
access-list 153 permit icmp 192.168.30.0 0.0.0.255 any
route-map POLICY-NAT permit 10
match ip address NAT
!
更新:ACLを修正しました:access-list 153 permit ip 192.168.30.0 0.0.0.255 host 2.2.2.2とトンネルが直結し、期待どおりにpingを実行できます。
現在、Webトラフィックを取得しようとしています。ポリシールーティングが機能していません。追加した
route-map VPN_WEB permit 1
match ip address 155
set ip next-hop 2.2.2.2
access-list 155 permit tcp any any eq www
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
ip policy route-map VPN_WEB
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN
wwwトラフィックでルートマップの一致を確認できますが、トンネルを通過していません。