Невозможно установить соединение IKEv2 / IPSec VPN между маршрутизаторами C8200, работающими под управлением
-
Здравствуйте, Я пытаюсь настроить и запустить базовый туннель IKEv2 / IPSec между двумя маршрутизаторами C8200. Один из них «прямо доступен» из Интернета, другой находится за маршрутизатором LTE, который выполняет собственное NAT. Теоретически я полагаю, что настройка туннеля должна быть довольно простой, но, увы, мне потребовалось две недели, чтобы дойти даже до этого этапа: SPOKE имеет статическую конфигурацию, указывающую на WAN IP HUB. HUB имеет динамическую конфигурацию с использованием виртуального шаблона. Я не смог заставить HUB принимать трафик без этого шаблона (ответы ICMP о недоступности порта). Теперь появляются IKEv2 SA и IPSec SA, но я не могу пропустить трафик через туннель. Ни интерфейсы туннеля (10.255.0.1 и .2), ни Loopbacks не могут пинговать в любом направлении. Я не имею представления, в чем еще может быть проблема. Везде, где я искал, я получаю противоречивую информацию о том, нужны ли вообще шаблоны и ACL, а документация Cisco в основном устарела и содержит команды, которые больше не существуют. Маршрутизатор 1 «HUB» доступен глобально, имеет соответствующий ACL на WAN (22/tcp, 500/udp,m 4500/udp). [Спойлер]
(Выделите, чтобы прочитать)
соответствующая (отредактированная) конфигурация
...
!
!
crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL
!
crypto ikev2 proposal HUB-PROP encryption aes-gcm-256 prf sha256 group 21
!
crypto ikev2 policy HUB-POLICY proposal HUB-PROP
!
crypto ikev2 keyring HUB-KEYRING peer spoke address 0.0.0.0 0.0.0.0 pre-shared-key "THISISABSOLUTEMADNESS1!" ! replaced before posting !
!
!
crypto ikev2 profile HUB-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any identity local fqdn hub.customer.site authentication remote pre-share authentication local pre-share keyring local HUB-KEYRING dpd 20 2 periodic nat keepalive 20 virtual-template 1
!
crypto ikev2 nat keepalive 900
crypto ikev2 dpd 10 2 periodic
!
!
!
!
! crypto logging ikev2
!
!
!
!
!
!
!
!
crypto ipsec transform-set HUB-TRAFO esp-gcm 256 mode tunnel
!
crypto ipsec profile HUB-IPSECPROF set security-association lifetime kilobytes disable set transform-set HUB-TRAFO set pfs group21 set ikev2-profile HUB-IKEPROF responder-only reverse-route
!
!
!
!
!
!
! ! !
!
interface Loopback1 no ip address
!
interface Loopback100 description LAN-REMOTE-1 ip address 192.168.8.1 255.255.255.0
!
interface Loopback200 description VTI-LOOPBACK ip address 10.255.0.1 255.255.255.0
!
interface GigabitEthernet0/0/0 description WAN ip address $GLOBALWANIP 255.255.255.248 ! replaced before posting negotiation auto
!
interface GigabitEthernet0/0/1 no ip address negotiation auto
!
interface GigabitEthernet0/0/2 no ip address negotiation auto
!
interface GigabitEthernet0/0/3 no ip address negotiation auto
!
interface GigabitEthernet0/1/0 no ip address negotiation auto
!
interface GigabitEthernet0/1/1 no ip address negotiation auto
!
interface Virtual-Template1 type tunnel ip unnumbered Loopback200 no ip redirects no ip proxy-arp ip mtu 1366 ip tcp adjust-mss 1326 qos pre-classify tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination dynamic tunnel protection ipsec profile HUB-IPSECPROF
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 $GLOBALWANGW ! replaced before posting
ip ssh bulk-mode 131072
!
!
ip ssh server algorithm hostkey rsa-sha2-256 rsa-sha2-512
ip scp server enable
! ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255
!
!
!
!
!
!
! ...
!
!
!
!
!
!
end
релевантная (редактированная) конфигурация...
!
!
crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL
!
crypto ikev2 proposal HUB-PROP encryption aes-gcm-256 prf sha256 группа 21
!
crypto ikev2 policy HUB-POLICY предложение HUB-PROP
!
crypto ikev2 keyring HUB-KEYRING peer spoke адрес 0.0.0.0 0.0.0.0 предварительно совместно используемый ключ «THISISABSOLUTEMADNESS1!» ! заменен перед публикацией !
!
!
crypto ikev2 profile HUB-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any identity local fqdn hub.customer.site authentication remote pre-share authentication local pre-share keyring local HUB-KEYRING dpd 20 2 periodic nat keepalive 20 виртуальный шаблон 1
!
crypto ikev2 nat keepalive 900
crypto ikev2 dpd 10 2 периодический
!
!
!
!
! crypto logging ikev2
!
!
!
!
!
!
!
!
crypto ipsec transform-set HUB-TRAFO esp-gcm 256 режим tunnel
!
crypto ipsec profile HUB-IPSECPROF set security-association lifetime kilobytes disable set transform-set HUB-TRAFO set pfs group21 set ikev2-profile HUB-IKEPROF responder-only reverse-route
!
!
!
!
!
!
! ! !
!
interface Loopback1 no ip address
!
interface Loopback100 description LAN-REMOTE-1 ip address 192.168.8.1 255.255.255.0
!
interface Loopback200 description VTI-LOOPBACK ip address 10.255.0.1 255.255.255.0
!
интерфейс GigabitEthernet0/0/0
описание WAN
IP-адрес $GLOBALWANIP 255.255.255.248 ! заменено перед публикацией
автоматическое согласование
!
интерфейс GigabitEthernet0/0/1
нет IP-адреса
автоматическое согласование
!
интерфейс GigabitEthernet0/0/2 нет ip-адреса переговоры auto
!
интерфейс GigabitEthernet0/0/3 нет ip-адреса переговоры auto
!
интерфейс GigabitEthernet0/1/0 нет ip-адреса переговоры auto
!
интерфейс GigabitEthernet0/1/1 нет ip-адреса переговоры auto
!
интерфейс Virtual-Template1 тип tunnel ip unnumbered Loopback200 без перенаправления IP без прокси-ARP IP MTU IP 1366 настройка MSS TCP IP 1326 предварительная классификация QoS источник туннеля GigabitEthernet0/0/0 режим туннеля IPsec IPv4 динамический пункт назначения туннеля защита туннеля IPsec профиль HUB-IPSECPROF
!
протокол пересылки IP nd
без сервера HTTP IP
ip http authentication local
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 $GLOBALWANGW ! заменено перед публикацией
ip ssh bulk-mode 131072
!
!
ip ssh server algorithm hostkey rsa-sha2-256 rsa-sha2-512
ip scp server enable
! ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255
!
!
!
!
!
!
! ...
!
!
!
!
!
!
end Маршрутизатор2 «SPOKE» находится за маршрутизатором LTE, поэтому он имеет только статический «UPLINK» на Gi0/0/0, фактический IP-адрес WAN является динамическим и находится за CG-NAT: [Спойлер]
(Выделите, чтобы прочитать)
...
!
!
crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL
!
crypto ikev2 proposal SPOKE-PROP encryption aes-gcm-256 prf sha256 group 21
!
crypto ikev2 policy SPOKE-POLICY proposal SPOKE-PROP
!
crypto ikev2 keyring SPOKE-KEYRING peer hub address $HUBGLOBALWANIP ! replaced before posting pre-shared-key "THISISABSOLUTEMADNESS1!" !
!
!
crypto ikev2 profile SPOKE-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any authentication remote pre-share authentication local pre-share keyring local SPOKE-KEYRING dpd 20 2 periodic nat keepalive 20 nat force-encap
!
crypto ikev2 nat keepalive 900
crypto ikev2 dpd 10 2 periodic
!
!
!
!
!
crypto logging ikev2
!
!
!
!
!
!
!
!
crypto ipsec transform-set SPOKE-TRAFO esp-gcm 256 mode tunnel
!
crypto ipsec profile SPOKE-IPSECPROF set transform-set SPOKE-TRAFO set pfs group21 set ikev2-profile SPOKE-IKEPROF reverse-route
!
no crypto ipsec profile default
!
crypto ipsec profile hub set security-association lifetime kilobytes disable
!
!
!
!
!
!
!
!
!
interface Loopback100 description LAN-REMOTE-1 ip address 192.168.7.1 255.255.255.0
!
interface Tunnel1 ip address 10.255.0.2 255.255.255.0 ip mtu 1366 ip tcp adjust-mss 1326 keepalive 10 3 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination $HUBGLOBALWANIP ! replaced before posting tunnel protection ipsec profile SPOKE-IPSECPROF
!
interface GigabitEthernet0/0/0 description UPLINK-BEHIND-NAT ip address 172.16.0.2 255.255.255.252 negotiation auto
!
interface GigabitEthernet0/0/1 no ip address shutdown negotiation auto
!
interface GigabitEthernet0/0/2 no ip address shutdown negotiation auto
!
interface GigabitEthernet0/0/3 no ip address shutdown negotiation auto
!
interface GigabitEthernet0/1/0 no ip address shutdown negotiation auto
!
interface GigabitEthernet0/1/1 no ip address shutdown negotiation auto
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip route 192.168.8.0 255.255.255.0 Tunnel1
ip ssh bulk-mode 131072
ip scp server enable
!
ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255
!
ip access-list extended 100 10 permit ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255
!
!
!
!
! ...
!
!
!
!
!
restconf
end
...
!
!
crypto ikev2 authorization policy default route set interface route set access-list TUNNEL-ACL
!
crypto ikev2 proposal SPOKE-PROP encryption aes-gcm-256 prf sha256 group 21
!
crypto ikev2 policy SPOKE-POLICY proposal SPOKE-PROP
!
crypto ikev2 keyring SPOKE-KEYRING peer hub address $HUBGLOBALWANIP ! заменено перед публикацией pre-shared-key "THISISABSOLUTEMADNESS1!" !
!
!
crypto ikev2 profile SPOKE-IKEPROF match address local interface GigabitEthernet0/0/0 match identity remote any authentication remote pre-share authentication local pre-share keyring local SPOKE-KEYRING dpd 20 2 periodic nat keepalive 20 nat force-encap
!
crypto ikev2 nat keepalive 900
crypto ikev2 dpd 10 2 periodic
!
!
!
!
!
crypto logging ikev2
!
!
!
!
!
!
!
!
crypto ipsec transform-set SPOKE-TRAFO esp-gcm 256 mode tunnel
!
crypto ipsec profile SPOKE-IPSECPROF set transform-set SPOKE-TRAFO set pfs group21 set ikev2-profile SPOKE-IKEPROF reverse-route
!
no crypto ipsec profile default
!
crypto ipsec profile hub set security-association lifetime kilobytes disable
!
!
!
!
!
!
!
!
!
interface Loopback100 description LAN-REMOTE-1 ip address 192.168.7.1 255.255.255.0
!
интерфейс Tunnel1 ip address 10.255.0.2 255.255.255.0 ip mtu 1366 ip tcp adjust-mss 1326 keepalive 10 3 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination $HUBGLOBALWANIP ! заменено перед публикацией tunnel protection ipsec profile SPOKE-IPSECPROF
!
interface GigabitEthernet0/0/0 description UPLINK-BEHIND-NAT ip address 172.16.0.2 255.255.255.252 переговоры auto
!
интерфейс GigabitEthernet0/0/1 нет ip-адреса отключение переговоры auto
!
интерфейс GigabitEthernet0/0/2 нет ip-адреса отключение переговоры auto
!
интерфейс GigabitEthernet0/0/3 нет ip-адреса отключение переговоры auto
!
интерфейс GigabitEthernet0/1/0 no ip address shutdown negotiation auto
!
interface GigabitEthernet0/1/1 no ip address shutdown negotiation auto
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip route 192.168.8.0 255.255.255.0 Tunnel1
ip ssh bulk-mode 131072
ip scp server enable
!
ip access-list standard TUNNEL-ACL 10 permit 10.255.0.0 0.0.0.255
!
ip access-list extended 100 10 permit ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255
!
!
!
!
! ...
!
!
!
!
!
restconf
end -
@someITnerd
у концентратора нет маршрута к IP-адресу туннеля 10.255.0.2 через интерфейс Virtual-Access, потому что вы не указали профиль авторизации в профиле IKEv2 ни на концентраторе, ни на спице, как я упомянул в первом ответе ранее. C 10.255.0.0/24 is directly connected, Loopback200
L 10.255.0.1/32 is directly connected, Loopback200 Завершите настройку авторизации для концентратора, чтобы узнать IP-адрес туннеля и локальную сеть спиков и наоборот. Настройте список авторизации AAA aaa new-model
aaa authorization network FLEX local Измените профиль IKEV2, чтобы настроить авторизацию crypto ikev2 profile
<profile name>
aaa authorization group psk list FLEX default FLEX
— это имя списка авторизации AAA, а
default
— имя профиля авторизации, который вы уже создали. Команда
route set interface
отправляет IP-адрес туннеля в качестве статического IP-адреса одноранговому узлу. Вам не нужно ссылаться на сеть туннеля в ACL TUNNEL-ACL. crypto ikev2 authorization policy default
route set interface
no route set access-list TUNNEL-ACL << remove if not using to send the local/internal networks Вероятно, вам понадобится изменить TUNNEL-ACL, чтобы сослаться на внутренние сети, и чтобы маршрутизаторы отправляли их как часть обмена IKEv2. В противном случае запустите протокол маршрутизации для обмена маршрутами. -
@someITnerd
удалите «tunnel destination dynamic» из виртуального шаблона, он используется только при использовании клиента flexvpn (который вы не используете). У вас есть определённая политика авторизации, но вы на неё не ссылаетесь. Хотя вам не обязательно использовать её для распределения маршрутов (маршрутизация IKEv2), если вы используете протокол маршрутизации. Можете ли вы предоставить вывод команд «show crypto ikev2 sa detatil» и «show crypto ipsec sa» как с хаба, так и со спика? Создан ли интерфейс виртуального доступа на концентраторе и активен ли он? -
Я каким-то образом сломал даже эту настройку, теперь я даже не получаю IKEv2 sa. Отладочный вывод из HUB: [Спойлер]
(Выделите, чтобы прочитать)
*Oct 13 11:46:14.016: IKEv2-INTERNAL:(SESSION ID = 51,SA ID = 1):SM Trace-> SA: I_SPI=5714017F45ED86E7 R_SPI=FDEAC907958B5A02 (R) MsgID = 1 CurState: R_WAIT_AUTH Event: EV_CHK_POLREQEAP
*Oct 13 11:46:14.016: IKEv2-INTERNAL:(SESSION ID = 51,SA ID = 1): (R) MsgID = 1 CurState: R_WAIT_AUTH CurEvent: EV_CHK_POLREQEAP RetVal: RC_FALSE NextState: R_VERIFY_AUTH NextEvent: EV_CHK_AUTH_TYPE
*Oct 13 11:46:14.016: IKEv2-INTERNAL:(SESSION ID = 51,SA ID = 1):SM Trace-> SA: I_SPI=5714017F45ED86E7 R_SPI=FDEAC907958B5A02 (R) MsgID = 1 CurState: R_VERIFY_AUTH Event: EV_CHK_AUTH_TYPE
*Oct 13 11:46:14.016: IKEv2:(SESSION ID = 51,SA ID = 1):Get peer's authentication method
*Oct 13 11:46:14.016: IKEv2:(SESSION ID = 51,SA ID = 1):Peer's authentication method is 'PSK'
HUB#
*Oct 13 11:46:14.019: IKEv2:(SESSION ID = 51,SA ID = 1):Abort exchange
*Oct 13 11:46:14.019: IKEv2:(SESSION ID = 51,SA ID = 1):Deleting SA
*Oct 13 11:46:14.019: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Close PKI Session
*Oct 13 11:46:14.019: IKEv2:(SA ID = 1):[PKI -> IKEv2] Closing of PKI Session PASSED
*13 октября 11:46:14.016: IKEv2-INTERNAL:(SESSION ID = 51,SA ID = 1):SM Trace-> SA: I_SPI=5714017F45ED86E7 R_SPI=FDEAC907958B5A02 (R) MsgID = 1 CurState: R_WAIT_AUTH Event: EV_CHK_POLREQEAP
*13 октября 11:46:14.016: IKEv2-INTERNAL:(SESSION ID = 51,SA ID = 1): (R) MsgID = 1 CurState: R_WAIT_AUTH CurEvent: EV_CHK_POLREQEAP RetVal: RC_FALSE NextState: R_VERIFY_AUTH NextEvent: EV_CHK_AUTH_TYPE
*13 октября 11:46:14.016: IKEv2-INTERNAL:(SESSION ID = 51,SA ID = 1):SM Trace-> SA: I_SPI=5714017F45ED86E7 R_SPI=FDEAC907958B5A02 (R) MsgID = 1 CurState: R_VERIFY_AUTH Event: EV_CHK_AUTH_TYPE
*13 октября 11:46:14.016: IKEv2:(SESSION ID = 51,SA ID = 1):Получить метод аутентификации партнера
*13 октября 11:46:14.016: IKEv2:(SESSION ID = 51,SA ID = 1):Метод аутентификации партнера — «PSK»
HUB#
*13 октября 11:46:14.019: IKEv2:(SESSION ID = 51,SA ID = 1):Прервать обмен
*13 октября 11:46:14.019: IKEv2:(SESSION ID = 51,SA ID = 1):Удаление SA
*13 октября 11:46:14.019: IKEv2: (SA ID = 1): [IKEv2 -> PKI] Закрытие сеанса PKI
*13 октября 11:46:14.019: IKEv2: (SA ID = 1): [PKI -> IKEv2] Закрытие сеанса PKI ПРОЙДЕНО Отладка из SPOKE: [Спойлер]
(Выделите, чтобы прочитать)
*Oct 13 11:53:45.682: IKEv2-INTERNAL:Construct Notify Payload: INITIAL_CONTACT
*Oct 13 11:53:45.682: IKEv2-INTERNAL:Construct Notify Payload: SET_WINDOW_SIZE
*Oct 13 11:53:45.682: IKEv2-INTERNAL:Construct Notify Payload: ESP_TFC_NO_SUPPORT
*Oct 13 11:53:45.682: IKEv2-INTERNAL:Construct Notify Payload: NON_FIRST_FRAGS
*Oct 13 11:53:45.682: IKEv2:(SESSION ID = 1,SA ID = 1):Building packet for encryption.
Payload contents: VID Next payload: IDi, reserved: 0x0, length: 20 IDi Next payload: AUTH, reserved: 0x0, length: 12 Id type: IPv4 address, Reserved: 0x0 0x0 AUTH Next payload: CFG, reserved: 0x0, length: 40 Auth method PSK, reserved: 0x0, reserved 0x0 CFG Next payload: SA, reserved: 0x0, length: 317 cfg type: CFG_REQUEST, reserved: 0x0, reserved: 0x0 attrib type: internal IP4 DNS, length: 0 attrib type: internal IP4 DNS, length: 0 attrib type: internal IP4 NBNS, length: 0 attrib type: internal IP4 NBNS, length: 0 attrib type: internal IP4 subnet, length: 0 attrib type: internal IP6 DNS, length: 0 attrib type: internal IP6 subnet, length: 0 attrib type: application version, length: 257 attrib type: Unknown - 28675, length: 0 attrib type: Unknown - 28672, length: 0 attrib type: Unknown - 28692, length: 0 attrib type: Unknown - 28681, length: 0 attrib type: Unknown - 28674, length: 0 SA Next payload: TSi, reserved: 0x0, length: 36 last proposal: 0x0, reserved: 0x0, length: 32 Proposal: 1, Protocol id: ESP, SPI size: 4, #trans: 2 last transform: 0x3, reserved: 0x0: length: 12 type: 1, reserved: 0x0, id: AES-GCM last transform: 0x0, res
SPOKE#erved: 0x0: length: 8 type: 5, reserved: 0x0, id: Don't use ESN TSi Next payload: TSr, reserved: 0x0, length: 24 Num of TSs: 1, reserved 0x0, reserved 0x0 TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16 start port: 0, end port: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255 TSr Next payload: NOTIFY, reserved: 0x0, length: 24 Num of TSs: 1, reserved 0x0, reserved 0x0 TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16 start port: 0, end port: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255 NOTIFY(INITIAL_CONTACT) Next payload: NOTIFY, reserved: 0x0, length: 8 Security protocol id: Unknown - 0, spi size: 0, type: INITIAL_CONTACT NOTIFY(SET_WINDOW_SIZE) Next payload: NOTIFY, reserved: 0x0, length: 12 Security protocol id: Unknown - 0, spi size: 0, type: SET_WINDOW_SIZE NOTIFY(ESP_TFC_NO_SUPPORT) Next payload: NOTIFY, reserved: 0x0, length: 8 Security protocol id: Unknown - 0, spi size: 0, type: ESP_TFC_NO_SUPPORT NOTIFY(NON_FIRST_FRAGS) Next payload: NONE, reserved: 0x0, length: 8 Security protocol id: Unknown - 0, spi size: 0, type: NON_FIRST_FRAGS *Oct 13 11:53:45.684: IKEv2:(SESSION ID = 1,SA ID = 1):Sending Packet [To
<
HUBWANIP:4500/From
<
SPOKELANIP:4500/VRF i0:f0]
Initiator SPI : 2EB8316745B1B16F - Responder SPI : DA2B489AAB25B506 Message id: 1
IKEv2 IKE_AUTH Exchange REQUEST
*Oct 13 11:53:45.684: IKEv2-PAK:(SESSION ID = 1,SA ID = 1):Next payload: ENCR, version: 2.0 Exchange type: IKE_AUTH, flags: INITIATOR Message id: 1, length: 566
Payload contents: ENCR Next payload: VID, reserved: 0x0, length: 538 *Oct 13 11:53:45.684: IKEv2-INTERNAL:(SESSION ID = 1,SA ID = 1):SM Trace-> SA: I_SPI=2EB8316745B1B16F R_SPI=DA2B489AAB25B506 (I) MsgID = 1 CurState: I_BLD_AUTH Event: EV_SEND_AUTH
*Oct 13 11:53:45.684: IKEv2-INTERNAL:(SESSION ID = 1,SA ID = 1): (I) MsgID = 1 CurState: I_BLD_AUTH CurEvent: EV_SEND_AUTH RetVal: RC_OK NextState: I_WAIT_AUTH NextEvent: EV_NO_EVENT
*Oct 13 11:53:45.684: IKEv2-INTERNAL:(SESSION ID = 1,SA ID = 1):SM Trace-> SA: I_SPI=2EB8316745B1B16F R_SPI=DA2B489AAB25B506 (I) MsgID = 1 CurState: I_WAIT_AUTH Event: EV_NO_EVENT
*Oct 13 11:53:45.714: IKEv2:(SESSION ID = 1,SA ID = 1):Abort exchange
*Oct 13 11:53:45.715: IKEv2:(SESSION ID = 1,SA ID = 1):Deleting SA
*13 октября 11:53:45.682: IKEv2-INTERNAL:Создание уведомления о полезной нагрузке: INITIAL_CONTACT
*13 октября 11:53:45.682: IKEv2-INTERNAL:Создание уведомления о полезной нагрузке: SET_WINDOW_SIZE
*13 октября 11:53:45.682: IKEv2-INTERNAL:Создание полезной нагрузки уведомления: ESP_TFC_NO_SUPPORT
*13 октября 11:53:45.682: IKEv2-INTERNAL:Создание полезной нагрузки уведомления: NON_FIRST_FRAGS
*13 октября 11:53:45.682: IKEv2:(SESSION ID = 1,SA ID = 1):Создание пакета для шифрования.
Содержимое полезной нагрузки: VID Следующая полезная нагрузка: IDi, зарезервированная: 0x0, длина: 20 IDi Следующая полевая часть: AUTH, зарезервировано: 0x0, длина: 12 Тип идентификатора: адрес IPv4, зарезервировано: 0x0 0x0 AUTH Следующая полевая часть: CFG, зарезервировано: 0x0, длина: 40 Метод аутентификации PSK, зарезервировано: 0x0, зарезервировано 0x0 CFG Следующая полевая информация: SA, зарезервировано: 0x0, длина: 317 Тип cfg: CFG_REQUEST, зарезервировано: 0x0, зарезервировано: 0x0 Тип атрибута: внутренний IP4 DNS, длина: 0 Тип атрибута: внутренний IP4 DNS, длина: 0 Тип атрибута: внутренний IP4 NBNS, длина: 0 тип атрибута: внутренний IP4 NBNS, длина: 0 тип атрибута: внутренняя подсеть IP4, длина: 0 тип атрибута: внутренний IP6 DNS, длина: 0 тип атрибута: внутренняя подсеть IP6, длина: 0 тип атрибута: версия приложения, длина: 257 тип атрибута: неизвестный - 28675, длина: 0 тип атрибута: неизвестный - 28672, длина: 0 тип атрибута: неизвестный - 28692, длина: 0 тип атрибута: неизвестный - 28681, длина: 0 тип атрибута: неизвестный - 28674, длина: 0 SA Следующая полезная нагрузка: TSi, зарезервировано: 0x0, длина: 36 последнее предложение: 0x0, зарезервировано: 0x0, длина: 32 Предложение: 1, Идентификатор протокола: ESP, Размер SPI: 4, #trans: 2 последнее преобразование: 0x3, зарезервировано: 0x0: длина: 12 тип: 1, зарезервировано: 0x0, id: AES-GCM последнее преобразование: 0x0, res
SPOKE#erved: 0x0: длина: 8 тип: 5, зарезервировано: 0x0, id: Не использовать ESN TSi Следующая полезная нагрузка: TSr, зарезервировано: 0x0, длина: 24 Количество TS: 1, зарезервировано 0x0, зарезервировано 0x0 Тип TS: TS_IPV4_ADDR_RANGE, протокол id: 0, длина: 16 Начальный порт: 0, конечный порт: 65535 Начальный адрес: 0.0.0.0, конечный адрес: 255.255.255.255 TSr Следующая полезная нагрузка: NOTIFY, зарезервировано: 0x0, длина: 24 Количество TS: 1, зарезервировано 0x0, зарезервировано 0x0 Тип TS: TS_IPV4_ADDR_RANGE, протокол id: 0, длина: 16 начальный порт: 0, конечный порт: 65535 начальный адрес: 0.0.0.0, конечный адрес: 255.255.255.255 NOTIFY(INITIAL_CONTACT) Следующая полезная нагрузка: NOTIFY, зарезервировано: 0x0, длина: 8 Идентификатор протокола безопасности: неизвестен — 0, размер SPI: 0, тип: INITIAL_CONTACT NOTIFY(SET_WINDOW_SIZE) Следующая полевая нагрузка: NOTIFY, зарезервированная: 0x0, длина: 12 Идентификатор протокола безопасности: неизвестен — 0, размер SPI: 0, тип: SET_WINDOW_SIZE NOTIFY(ESP_TFC_NO_SUPPORT) Следующая полевая нагрузка: NOTIFY, зарезервированная: 0x0, длина: 8 Идентификатор протокола безопасности: неизвестен — 0, размер SPI: 0, тип: ESP_TFC_NO_SUPPORT
NOTIFY(NON_FIRST_FRAGS) Следующая полевая нагрузка: NONE, зарезервировано: 0x0, длина: 8 Идентификатор протокола безопасности: неизвестен — 0, размер SPI: 0, тип: NON_FIRST_FRAGS *13 октября 11:53:45.684: IKEv2:(SESSION ID = 1,SA ID = 1):Отправка пакета [К <HUBWANIP>:4500/От <SPOKELANIP>:4500/VRF i0:f0]
SPI инициатора: 2EB8316745B1B16F - SPI ответчика: DA2B489AAB25B506 Идентификатор сообщения: 1
IKEv2 IKE_AUTH Exchange REQUEST
*13 октября 11:53:45.684: IKEv2-PAK:(SESSION ID = 1,SA ID = 1):Следующая полезная нагрузка: ENCR, версия: 2.0 Тип обмена: IKE_AUTH, флаги: INITIATOR Идентификатор сообщения: 1, длина: 566
Содержимое полезной нагрузки: ENCR Следующая полезная нагрузка: VID, зарезервированная: 0x0, длина: 538 *13 октября 11:53:45.684: IKEv2-INTERNAL:(SESSION ID = 1,SA ID = 1):SM Trace-> SA: I_SPI=2EB8316745B1B16F R_SPI=DA2B489AAB25B506 (I) MsgID = 1 CurState: I_BLD_AUTH Event: EV_SEND_AUTH
*13 октября 11:53:45.684: IKEv2-INTERNAL:(SESSION ID = 1,SA ID = 1): (I) MsgID = 1 CurState: I_BLD_AUTH CurEvent: EV_SEND_AUTH RetVal: RC_OK NextState: I_WAIT_AUTH NextEvent: EV_NO_EVENT
*13 октября 11:53:45.684: IKEv2-INTERNAL:(SESSION ID = 1,SA ID = 1):SM Trace-> SA: I_SPI=2EB8316745B1B16F R_SPI=DA2B489AAB25B506 (I) MsgID = 1 CurState: I_WAIT_AUTH Event: EV_NO_EVENT
*13 октября 11:53:45.714: IKEv2:(SESSION ID = 1,SA ID = 1):Прервать обмен
*13 октября 11:53:45.715: IKEv2:(SESSION ID = 1,SA ID = 1):Удаление SA -
@someITnerd
Что вы перенастроили? Вы удалили пункт назначения туннеля на концентраторе? -
Я испортил стандартную политику авторизации ikev2, сбросил ее, и туннель снова заработал. <SPOKE-WAN-IP> — это частный IP-адрес за маршрутизатором LTE, Gi0/0/0.
<SPOKE-LTE-IP> — это фактический IP-адрес WAN, который получает маршрутизатор LTE.
<HUB-WAN-IP> — это фактический IP-адрес WAN на Gi0/0/0. SPOKE: show crypto ikev2 sa detail [Спойлер]
(Выделите, чтобы прочитать)
SPOKE#sho cry ike sa detail IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1
<
SPOKE-WAN-IP/4500
<
HUB-WAN-IP/4500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/1053 sec CE id: 1061, Session-id: 1 Local spi: 9F0CB39B69956DBC Remote spi: 2E367FE1BB3C1B29 Status Description: Negotiation done Local id:
<
SPOKE-WAN-IPRemote id: hub.customer.site Local req msg id: 54 Remote req msg id: 52 Local next msg id: 54 Remote next msg id: 52 Local req queued: 54 Remote req queued: 52 Local window: 5 Remote window: 5 DPD configured for 20 seconds, retry 2 Fragmentation not configured. Dynamic Route Update: enabled Extended Authentication not configured. NAT-T is detected inside , UDP encap forced by policy Cisco Trust Security SGT is disabled Initiator of SA : Yes PEER TYPE: IOS-XE IPv6 Crypto IKEv2 SA
SPOKE#sho cry ike sa detail IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1 <SPOKE-WAN-IP>/4500 <HUB-WAN-IP>/4500 none/none READY Encr: AES-GCM, размер ключа: 256, PRF: SHA256, хеш: нет, DH Grp:21, Auth sign: PSK, Auth verify: PSK Срок действия/время активности: 86400/1053 сек. CE id: 1061, Session-id: 1 Локальный spi: 9F0CB39B69956DBC Удаленный spi: 2E367FE1BB3C1B29 Описание статуса: Переговоры завершены Локальный id: <SPOKE-WAN-IP> Удаленный id: hub.customer.site Локальный id запроса: 54 Удаленный id запроса: 52 Локальный следующий идентификатор сообщения: 54 Удаленный следующий идентификатор сообщения: 52 Локальный запрос в очереди: 54 Удаленный запрос в очереди: 52 Локальное окно: 5 Удаленное окно: 5 DPD настроен на 20 секунд, повторная попытка 2 Фрагментация не настроена. Динамическое обновление маршрута: включено Расширенная аутентификация не настроена. NAT-T обнаружен внутри, UDP-инкапсуляция принудительно настроена политикой. Cisco Trust Security SGT отключен. Инициатор SA: Да. ТИП ПАРТНЕРА: IOS-XE. IPv6 Crypto IKEv2 SA SPOKE: show crypto ipsec sa [Спойлер]
(Выделите, чтобы прочитать)
SPOKE#show crypto ipsec sa interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr
<
SPOKE-WAN-IPprotected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer
<
HUB-WAN-IPport 4500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.:
<
SPOKE-WAN-IP, remote crypto endpt.:
<
HUB-WAN-IPplaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0x440A2218(1141514776) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xE2B70CA4(3803647140) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2002, flow_id: ESG:2, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/2429) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x440A2218(1141514776) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2001, flow_id: ESG:1, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/2429) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
SPOKE#
SPOKE#show crypto ipsec sa интерфейс: Tunnel1 Метка криптографической карты: Tunnel1-head-0, локальный адрес <SPOKE-WAN-IP> защищенный vrf: (нет) локальный идентификатор (адрес/маска/протокол/порт): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer <HUB-WAN-IP> port 4500 PERMIT, flags={origin_is_acl,} #pkts инкапсуляция: 0, #pkts шифрование: 0, #pkts дайджест: 0 #pkts декапсуляция: 0, #pkts дешифрование: 0, #pkts проверка: 0 #pkts сжатие: 0, #pkts распаковка: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: <SPOKE-WAN-IP>, remote crypto endpt.: <HUB-WAN-IP> plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 текущий исходящий spi: 0x440A2218(1141514776) PFS (Y/N): N, DH group: none входящий esp sas: spi: 0xE2B70CA4(3803647140) transform: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2002, flow_id: ESG:2, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/2429) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) входящий ah sas: входящий pcp sas: исходящий esp sas: spi: 0x440A2218(1141514776) transform: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2001, flow_id: ESG:1, sibling_flags FFFFFFFF80004048, криптографическая карта: Tunnel1-head-0, инициатор : True sa timing: оставшийся срок действия ключа (к/сек): (4608000/2429) Размер IV: 8 байт поддержка обнаружения повторного воспроизведения: Y Статус: ACTIVE(ACTIVE) исходящий ah sas: исходящий pcp sas:
SPOKE# HUB: show crypto ikev2 sa detail [Спойлер]
(Выделите, чтобы прочитать)
HUB#show crypto ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1
<
HUB-WAN-IP/4500
<
SPOKE-LTE-IP/24602 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/1297 sec CE id: 1061, Session-id: 23 Local spi: 2E367FE1BB3C1B29 Remote spi: 9F0CB39B69956DBC Status Description: Negotiation done Local id: hub.customer.site Remote id:
<
SPOKE-WAN-IPLocal req msg id: 64 Remote req msg id: 66 Local next msg id: 64 Remote next msg id: 66 Local req queued: 64 Remote req queued: 66 Local window: 5 Remote window: 5 DPD configured for 20 seconds, retry 2 Fragmentation not configured. Dynamic Route Update: enabled Extended Authentication not configured. NAT-T is detected outside Cisco Trust Security SGT is disabled Initiator of SA : No PEER TYPE: IOS-XE IPv6 Crypto IKEv2 SA HUB#
HUB#show crypto ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1 <HUB-WAN-IP>/4500 <SPOKE-LTE-IP>/24602 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Срок действия/Время активности: 86400/1297 сек. Идентификатор CE: 1061, Идентификатор сеанса: 23 Локальный SPI: 2E367FE1BB3C1B29 Удаленный SPI: 9F0CB39B69956DBC Описание статуса: Переговоры завершены Локальный идентификатор: hub.customer.site Удаленный идентификатор: <SPOKE-WAN-IP> Локальный идентификатор запроса: 64 Удаленный идентификатор запроса: 66 Локальный идентификатор следующего сообщения: 64 Удаленный идентификатор следующего сообщения: 66 Локальный запрос в очереди: 64 Удаленный запрос в очереди: 66 Локальное окно: 5 Удаленное окно: 5 DPD настроен на 20 секунд, повторная попытка 2 Фрагментация не настроена. Динамическое обновление маршрута: включено Расширенная аутентификация не настроена. NAT-T обнаружен снаружи Cisco Trust Security SGT отключен Инициатор SA : Нет ТИП ПАРТНЕРА: IOS-XE IPv6 Crypto IKEv2 SA HUB# HUB: show crypto ipsec sa [Спойлер]
(Выделите, чтобы прочитать)
HUB#show crypto ipsec sa interface: Virtual-Access1 Crypto map tag: Virtual-Access1-head-0, local addr
<
HUB-WAN-IPprotected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer
<
SPOKE-LTE-IPport 24602 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.:
<
HUB-WAN-IP, remote crypto endpt.:
<
SPOKE-LTE-IPplaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0xE2B70CA4(3803647140) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x440A2218(1141514776) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2047, flow_id: ESG:47, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 2147 Kilobyte Volume Rekey has been disabled IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xE2B70CA4(3803647140) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2048, flow_id: ESG:48, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 2147 Kilobyte Volume Rekey has been disabled IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
HUB#
HUB#show crypto ipsec sa интерфейс: Virtual-Access1 Метка карты шифрования: Virtual-Access1-head-0, локальный адрес <HUB-WAN-IP> protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer <SPOKE-LTE-IP> порт 24602 PERMIT, флаги={origin_is_acl,} #pkts инкапсуляция: 0, #pkts шифрование: 0, #pkts дайджест: 0 #pkts декапсуляция: 0, #pkts дешифрование: 0, #pkts проверка: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 локальный криптографический конечный пункт: <HUB-WAN-IP>, удаленный криптографический конечный пункт: <SPOKE-LTE-IP> простой текст mtu 1438, путь mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 текущий исходящий spi: 0xE2B70CA4(3803647140) PFS (Y/N): N, DH group: none входящий esp sas: spi: 0x440A2218(1141514776) transform: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2047, flow_id: ESG:47, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 2147 Kilobyte Volume Rekey отключен Размер IV: 8 байт поддержка обнаружения повторного воспроизведения: Y Статус: ACTIVE(ACTIVE) входящий ah sas: входящий pcp sas: исходящий esp sas: spi: 0xE2B70CA4(3803647140) трансформация: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2048, flow_id: ESG:48, sibling_flags FFFFFFFF80000048, криптографическая карта: Virtual-Access1-head-0, инициатор : False sa timing: remaining key lifetime (sec): 2147 Kilobyte Volume Rekey has been disabled IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
HUB# Заранее большое спасибо!
также
[M02@rt37] -
Спасибо
@someITnerd
за эти результаты. Пожалуйста, адаптируйте профиль Spkoe anh Hub ikev2. -- Spoke
: криптографический профиль ikev2 SPOKE-IKEPROF identity local fqdn spoke.customer.site match identity remote fqdn hub.customer.site Hub
: криптографический профиль ikev2 HUB-IKEPROF идентичность локальный fqdn hub.customer.site match identity remote fqdn spoke.customer.site Выполните c
lear crypto ikev2 sa
+
clear crypto ipsec sa
! С уважением
.ı|ı.ı|ı. Если это помогло, пожалуйста, оцените .ı|ı.ı|ı. -
Туннель снова работает: SPOKE: [Спойлер]
(Выделите, чтобы прочитать)
SPOKE#sho cryp ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1
<
SPOKE-WAN-IP/4500
<
HUB-WAN-IP/4500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/11 sec CE id: 1063, Session-id: 3 Local spi: D903AFF39D5AE216 Remote spi: 5B0676B46C0A27C6 Status Description: Negotiation done Local id: spoke.customer.site Remote id: hub.customer.site Local req msg id: 2 Remote req msg id: 0 Local next msg id: 2 Remote next msg id: 0 Local req queued: 2 Remote req queued: 0 Local window: 5 Remote window: 5 DPD configured for 20 seconds, retry 2 Fragmentation not configured. Dynamic Route Update: enabled Extended Authentication not configured. NAT-T is detected inside , UDP encap forced by policy Cisco Trust Security SGT is disabled Initiator of SA : Yes PEER TYPE: IOS-XE IPv6 Crypto IKEv2 SA SPOKE#sho cryp ips
% Incomplete command. SPOKE#sho cryp ips sa interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr
<
SPOKE-WAN-IPprotected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer
<
HUB-WAN-IPport 4500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.:
<
SPOKE-WAN-IP, remote crypto endpt.:
<
HUB-WAN-IPplaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0xB59FF655(3047159381) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xFCA96490(4238959760) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2006, flow_id: ESG:6, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/3577) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xB59FF655(3047159381) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2005, flow_id: ESG:5, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/3577) IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
SPOKE#sho ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route H - NHRP, G - NHRP registered, g - NHRP registration summary o - ODR, P - periodic downloaded static route, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR & - replicated local route overrides by connected Gateway of last resort is
<
SPOKE-WAN-GWto network 0.0.0.0 S* 0.0.0.0/0 [1/0] via
<
SPOKE-WAN-GW10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.255.0.0/24 is directly connected, Tunnel1
L 10.255.0.2/32 is directly connected, Tunnel1
<
SPOKE-SUPERNET/16 is variably subnetted, 2 subnets, 2 masks
C
<
SPOKE-WAN-NET/29 is directly connected, GigabitEthernet0/0/0
L
<
SPOKE-WAN-IP/32 is directly connected, GigabitEthernet0/0/0 192.168.7.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.7.0/24 is directly connected, Loopback100
L 192.168.7.1/32 is directly connected, Loopback100
SPOKE#ping 192.168.8.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.8.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SPOKE#
SPOKE#sho cryp ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1 <SPOKE-WAN-IP>/4500 <HUB-WAN-IP>/4500 none/none READY Encr: AES-GCM, размер ключа: 256, PRF: SHA256, хеш: нет, DH Grp:21, Auth sign: PSK, Auth verify: PSK Срок действия/время активности: 86400/11 сек. CE id: 1063, Session-id: 3 Локальный spi: D903AFF39D5AE216 Удаленный spi: 5B0676B46C0A27C6 Описание состояния: Переговоры завершены Локальный id: spoke.customer.site Удаленный id: hub.customer.site Локальный id запроса: 2 Удаленный id запроса: 0 Локальный следующий идентификатор сообщения: 2 Удаленный следующий идентификатор сообщения: 0 Локальные запросы в очереди: 2 Удаленные запросы в очереди: 0 Локальное окно: 5 Удаленное окно: 5 DPD настроен на 20 секунд, повторная попытка 2 Фрагментация не настроена. Динамическое обновление маршрута: включено Расширенная аутентификация не настроена. NAT-T обнаружен внутри, UDP-инкапсуляция принудительно настроена политикой Cisco Trust Security SGT отключен Инициатор SA: Да ТИП ПАРТНЕРА: IOS-XE IPv6 Crypto IKEv2 SA SPOKE#sho cryp ips
% Неполная команда. SPOKE#sho cryp ips sa интерфейс: Tunnel1 Метка карты шифрования: Tunnel1-head-0, локальный адрес <SPOKE-WAN-IP> protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer <HUB-WAN-IP> порт 4500 PERMIT, флаги={origin_is_acl,} #pkts инкапсуляция: 0, #pkts шифрование: 0, #pkts дайджест: 0 #pkts декапсуляция: 0, #pkts дешифрование: 0, #pkts проверка: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 локальный криптографический конечный пункт: <SPOKE-WAN-IP>, удаленный криптографический конечный пункт: <HUB-WAN-IP> mtu открытого текста 1438, mtu пути 1500, mtu ip 1500, mtu idb ip GigabitEthernet0/0/0 текущий исходящий spi: 0xB59FF655(3047159381) PFS (Y/N): N, группа DH: нет входящий esp sas: spi: 0xFCA96490(4238959760) трансформация: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2006, flow_id: ESG:6, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/3577) IV size: 8 bytes replay detection support: Y Статус: ACTIVE(ACTIVE) входящий ah sas: входящий pcp sas: исходящий esp sas: spi: 0xB59FF655(3047159381) transform: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2005, flow_id: ESG:5, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0, initiator : True sa timing: remaining key lifetime (k/sec): (4608000/3577) Размер IV: 8 байт Поддержка обнаружения повторного воспроизведения: Y Статус: ACTIVE(ACTIVE) исходящий ah sas: исходящий pcp sas:
SPOKE#sho ip route
Коды: L - локальный, C - подключенный, S - статический, R - RIP, M - мобильный, B - BGP D - EIGRP, EX - EIGRP внешний, O - OSPF, IA - OSPF межзональный N1 - OSPF NSSA внешний тип 1, N2 - OSPF NSSA внешний тип 2 E1 - OSPF внешний тип 1, E2 - OSPF внешний тип 2, m - OMP n - NAT, Ni - NAT внутри, No - NAT снаружи, Nd - NAT DIA i - IS-IS, su - IS-IS сводка, L1 - IS-IS уровень 1, L2 - IS-IS уровень 2 ia - IS-IS межзональный, * - кандидат по умолчанию, U - статический маршрут на пользователя H - NHRP, G - NHRP зарегистрированный, g - NHRP регистрационный сводный o - ODR, P - периодически загружаемый статический маршрут, l - LISP a - маршрут приложения + - реплицированный маршрут, % - переопределение следующего прыжка, p - переопределения из PfR & - переопределения реплицированного локального маршрута подключенным Шлюзом последней инстанции является <SPOKE-WAN-GW> для сети 0.0.0.0. S* 0.0.0.0/0 [1/0] через <SPOKE-WAN-GW> 10.0.0.0/8 имеет переменную подсеть, 2 подсети, 2 маски
C 10.255.0.0/24 подключен напрямую, Tunnel1
L 10.255.0.2/32 подключен напрямую, Tunnel1 <SPOKE-SUPERNET>/16 имеет переменную подсеть, 2 подсети, 2 маски
C <SPOKE-WAN-NET>/29 подключен напрямую, GigabitEthernet0/0/0
L <SPOKE-WAN-IP>/32 подключен напрямую, GigabitEthernet0/0/0 192.168.7.0/24 имеет переменную подсеть, 2 подсети, 2 маски
C 192.168.7.0/24 подключен напрямую, Loopback100
L 192.168.7.1/32 подключен напрямую, Loopback100
SPOKE#ping 192.168.8.1
Введите последовательность символов для прерывания.
Отправка 5 ICMP-эхо-сообщений размером 100 байт на 192.168.8.1, таймаут 2 секунды:..... Успешность 0 процентов (0/5)
SPOKE# HUB: [Спойлер]
(Выделите, чтобы прочитать)
HUB#show cryp ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1
<
HUB-WAN-IP/4500
<
SPOKE-LTE-IP/24602 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/341 sec CE id: 1063, Session-id: 25 Local spi: 5B0676B46C0A27C6 Remote spi: D903AFF39D5AE216 Status Description: Negotiation done Local id: hub.customer.site Remote id: spoke.customer.site Local req msg id: 17 Remote req msg id: 19 Local next msg id: 17 Remote next msg id: 19 Local req queued: 17 Remote req queued: 19 Local window: 5 Remote window: 5 DPD configured for 20 seconds, retry 2 Fragmentation not configured. Dynamic Route Update: enabled Extended Authentication not configured. NAT-T is detected outside Cisco Trust Security SGT is disabled Initiator of SA : No PEER TYPE: IOS-XE IPv6 Crypto IKEv2 SA HUB#show cryp ipsec sa interface: Virtual-Access1 Crypto map tag: Virtual-Access1-head-0, local addr
<
HUB-WAN-IPprotected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer
<
SPOKE-LTE-IPport 24602 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.:
<
HUB-WAN-IP, remote crypto endpt.:
<
SPOKE-LTE-IPplaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0xFCA96490(4238959760) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xB59FF655(3047159381) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2051, flow_id: ESG:51, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 3253 Kilobyte Volume Rekey has been disabled IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xFCA96490(4238959760) transform: esp-gcm 256 , in use settings ={Tunnel UDP-Encaps, } conn id: 2052, flow_id: ESG:52, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 3253 Kilobyte Volume Rekey has been disabled IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
HUB#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route H - NHRP, G - NHRP registered, g - NHRP registration summary o - ODR, P - periodic downloaded static route, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR & - replicated local route overrides by connected Gateway of last resort is
<
HUB-WAN-GWto network 0.0.0.0 S* 0.0.0.0/0 [1/0] via
<
HUB-WAN-GW10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.255.0.0/24 is directly connected, Loopback200
L 10.255.0.1/32 is directly connected, Loopback200
<
HUB-SUPERNET/8 is variably subnetted, 2 subnets, 2 masks
C
<
HUB-WAN-NET/29 is directly connected, GigabitEthernet0/0/0
L
<
HUB-WAN-IP/32 is directly connected, GigabitEthernet0/0/0 192.168.8.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.8.0/24 is directly connected, Loopback100
L 192.168.8.1/32 is directly connected, Loopback100
HUB#
HUB#show cryp ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1 <HUB-WAN-IP>/4500 <SPOKE-LTE-IP>/24602 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Срок действия/активное время: 86400/341 сек. Идентификатор CE: 1063, Идентификатор сеанса: 25 Локальный SPI: 5B0676B46C0A27C6 Удаленный SPI: D903AFF39D5AE216 Описание статуса: Переговоры завершены Локальный идентификатор: hub.customer.site Удаленный id: spoke.customer.site Локальный id запроса: 17 Удаленный id запроса: 19 Локальный id следующего сообщения: 17 Удаленный id следующего сообщения: 19 Локальный запрос в очереди: 17 Удаленный запрос в очереди: 19 Локальное окно: 5 Удаленное окно: 5 DPD настроен на 20 секунд, повторная попытка 2 Фрагментация не настроена. Динамическое обновление маршрута: включено Расширенная аутентификация не настроена. NAT-T обнаружен снаружи Cisco Trust Security SGT отключен Инициатор SA : Нет ТИП ПАРТНЕРА: IOS-XE IPv6 Crypto IKEv2 SA HUB#show cryp ipsec sa интерфейс: Virtual-Access1 Метка криптографической карты: Virtual-Access1-head-0, локальный адрес <HUB-WAN-IP> protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer <SPOKE-LTE-IP> порт 24602 PERMIT, флаги={origin_is_acl,} #pkts инкапсуляция: 0, #pkts шифрование: 0, #pkts дайджест: 0 #pkts декапсуляция: 0, #pkts дешифрование: 0, #pkts проверка: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 локальный криптографический конечный пункт: <HUB-WAN-IP>, удаленный криптографический конечный пункт: <SPOKE-LTE-IP> mtu открытого текста 1438, mtu пути 1500, mtu ip 1500, mtu idb ip GigabitEthernet0/0/0 текущий исходящий spi: 0xFCA96490(4238959760) PFS (Y/N): N, группа DH: нет входящий esp sas: spi: 0xB59FF655(3047159381) трансформация: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2051, flow_id: ESG:51, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 3253 Kilobyte Volume Rekey отключен Размер IV: 8 байт поддержка обнаружения повторного воспроизведения: Y Статус: ACTIVE(ACTIVE) входящий ah sas: входящий pcp sas: исходящий esp sas: spi: 0xFCA96490(4238959760) transform: esp-gcm 256 , используемые настройки ={Tunnel UDP-Encaps, } conn id: 2052, flow_id: ESG:52, sibling_flags FFFFFFFF80000048, crypto map: Virtual-Access1-head-0, initiator : False sa timing: remaining key lifetime (sec): 3253 Kilobyte Volume Rekey has been disabled IV size: 8 bytes replay detection support: Y Status: ACTIVE(ACTIVE) outbound ah sas: outbound pcp sas:
HUB#show ip route
Коды: L — локальный, C — подключенный, S — статический, R — RIP, M — мобильный, B — BGP D — EIGRP, EX — EIGRP внешний, O — OSPF, IA — OSPF межзональный N1 — OSPF NSSA внешний тип 1, N2 — OSPF NSSA внешний тип 2 E1 - OSPF внешний тип 1, E2 - OSPF внешний тип 2, m - OMP n - NAT, Ni - NAT внутри, No - NAT снаружи, Nd - NAT DIA i - IS-IS, su - IS-IS сводка, L1 - IS-IS уровень 1, L2 - IS-IS уровень 2 ia - IS-IS межзональный, * - кандидат по умолчанию, U - статический маршрут на пользователя H - NHRP, G - зарегистрированный NHRP, g - сводка регистрации NHRP o - ODR, P - периодически загружаемый статический маршрут, l - LISP a - маршрут приложения + - реплицированный маршрут, % - переопределение следующего прыжка, p - переопределения из PfR & - переопределения реплицированного локального маршрута подключенным Шлюзом последней инстанции является <HUB-WAN-GW> для сети 0.0.0.0 S* 0.0.0.0/0 [1/0] через <HUB-WAN-GW> 10.0.0.0/8 имеет переменную подсеть, 2 подсети, 2 маски
C 10.255.0.0/24 подключен напрямую, Loopback200
L 10.255.0.1/32 подключен напрямую, Loopback200 <HUB-SUPERNET>/8 имеет переменную подсеть, 2 подсети, 2 маски
C <HUB-WAN-NET>/29 подключен напрямую, GigabitEthernet0/0/0
L <HUB-WAN-IP>/32 подключен напрямую, GigabitEthernet0/0/0 192.168.8.0/24 имеет переменную подсеть, 2 подсети, 2 маски
C 192.168.8.0/24 подключен напрямую, Loopback100
L 192.168.8.1/32 подключен напрямую, Loopback100
HUB# Я думаю, что маршрут для 192.168.8.0/24 на SPOKE является новым, я удалил всю ручную настройку, касающуюся этого маршрута. Большое спасибо вам обоим, я буду на встречах до конца дня, завтра снова посмотрю на это! -
На данный момент туннель работает с группой авторизации, и я изменил TUNNEL-ACL с обеих сторон. Последний вопрос: IP-адреса туннеля (заимствованные из интерфейсов loopback) в настоящее время находятся в одной подсети. Требуется ли это в данном случае? Или это решается с помощью обратного маршрутизации? [Спойлер]
(Выделите, чтобы прочитать)
SPOKE#sho cry ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
3
<
redacted/4500
<
redacted/4500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:21, Auth sign: PSK, Auth verify: PSK Life/Active Time: 600/292 sec CE id: 0, Session-id: 3 Local spi: 5DA8CCDEF99CC487 Remote spi: EF4DCEFAE7084EEF Status Description: Negotiation done Local id: spoke.customer.site Remote id: hub.customer.site Local req msg id: 14 Remote req msg id: 14 Local next msg id: 14 Remote next msg id: 14 Local req queued: 14 Remote req queued: 14 Local window: 5 Remote window: 5 DPD configured for 20 seconds, retry 2 Fragmentation not configured. Dynamic Route Update: enabled Extended Authentication not configured. NAT-T is detected inside , UDP encap forced by policy Cisco Trust Security SGT is disabled Initiator of SA : Yes Remote subnets: 10.255.0.1 255.255.255.255 ### ? 10.255.0.1 255.255.255.255 ### ? 192.168.8.0 255.255.255.0 PEER TYPE: IOS-XE IPv6 Crypto IKEv2 SA
SPOKE#sho cry ike sa det IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
3 <redacted>/4500 <redacted>/4500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA256, хеш: нет, DH Grp:21, подпись аутентификации: PSK, проверка аутентификации: PSK Срок действия/время активности: 600/292 сек. Идентификатор CE: 0, идентификатор сеанса: 3 Локальный SPI: 5DA8CCDEF99CC487 Удаленный SPI: EF4DCEFAE7084EEF Описание состояния: Переговоры завершены Локальный id: spoke.customer.site Удаленный id: hub.customer.site Локальный id запроса: 14 Удаленный id запроса: 14 Локальный следующий идентификатор сообщения: 14 Удаленный следующий идентификатор сообщения: 14 Локальный запрос в очереди: 14 Удаленный запрос в очереди: 14 Локальное окно: 5 Удаленное окно: 5 DPD настроен на 20 секунд, повторная попытка 2 Фрагментация не настроена. Динамическое обновление маршрута: включено Расширенная аутентификация не настроена. NAT-T обнаружен внутри, UDP-инкапсуляция принудительно настроена политикой Cisco Trust Security SGT отключен Инициатор SA : Да Удаленные подсети: 10.255.0.1 255.255.255.255 ### ? 10.255.0.1 255.255.255.255 ### ? 192.168.8.0 255.255.255.0 ТИП ПАРТНЕРА: IOS-XE IPv6 Crypto IKEv2 SA Большое спасибо вам обоим, я думаю, что наконец-то понял, что нужно для работы туннеля. -
@someITnerd
IP-адреса туннелей могут находиться в разных подсетях. Вам просто нужно убедиться, что вы используете политику авторизации с командой route set interface, чтобы отправить этот IP-адрес одноранговому узлу. Вам не нужен RRI (обратный маршрут), который применим к VPN на основе политик (криптографические карты). Именно политика авторизации обменивается маршрутами IKEv2. -
Здравствуйте
[, @someITnerd] Вы проводите отладку? Нам нужен отладочный вывод этого туннеля, чтобы продвинуться дальше, помимо проверки этой конфигурации.
Спасибо. С уважением
.ı|ı.ı|ı. Если это помогло, пожалуйста, оцените.ı|ı.ı|ı.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти