windows10gegner
Goto Top

Cisco IPSec L2TP VPN Failed to find peer index node to update peer info list

Hallo zusammen!

Ich bin gerade dabei, einen Cisco-Router als VPN-Lösung zu testen.

aaa new-model
aaa authentication ppp default local

vpdn enable
!
vpdn-group L2TP
 ! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication

crypto keyring vpn_keys  
  pre-shared-key address 0.0.0.0 0.0.0.0 key Sagichnicht
  pre-shared-key address ipv6 ::/0 key Sagichnicht
!
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 14
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp keepalive 10
crypto isakmp profile dynip
   keyring vpn_keys
   match identity address 0.0.0.0 
   match identity address ipv6 ::/0 
!         
!         
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac 
 mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac 
 mode transport
!         
!         
!         
crypto dynamic-map dynmap 10
 set nat demux
 set transform-set L2TP-1 L2TP-2 
 set isakmp-profile dynip
!         
!         
crypto map vpn_cisco 10 ipsec-isakmp dynamic dynmap 
!         
!         
!         
!         
!         
!         
interface Loopback1
 ip address 172.31.255.1 255.255.255.0
 ipv6 address 2001:db8::1/64
 crypto map vpn_cisco
!         
interface Virtual-Template1
 description L2TP Dialin VPN
 ip unnumbered Loopback1
 ip nat inside
 ip virtual-reassembly in
 peer default ip address pool l2tp-pool
 peer default ipv6 pool l2tp-pool-ipv6
 ipv6 unnumbered Loopback1
 ppp authentication ms-chap-v2

ip local pool l2tp-pool 172.30.0.1 172.30.0.254
ipv6 local pool l2tp-pool-ipv6 2001:db8::/56 62

Client ist NetworkManager-l2tp, der natürlich zusätzlich mit IPSec konfiguriert ist.
Mar 27 15:55:24.474: ISAKMP-PAK: (0):received packet from 172.17.1.2 dport 500 sport 500 Global (N) NEW SA
Mar 27 15:55:24.474: ISAKMP: (0):Created a peer struct for 172.17.1.2, peer port 500
Mar 27 15:55:24.474: ISAKMP: (0):New peer created peer = 0x31C4378 peer_handle = 0x8000002A
Mar 27 15:55:24.474: ISAKMP: (0):Locking peer struct 0x31C4378, refcount 1 for crypto_isakmp_process_block
Mar 27 15:55:24.474: ISAKMP: (0):local port 500, remote port 500
Mar 27 15:55:24.474: ISAKMP: (0):insert sa successfully sa = 13ABDE4C
Mar 27 15:55:24.474: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:24.474: ISAKMP: (0):Old State = IKE_READY  New State = IKE_R_MM1 

Mar 27 15:55:24.474: ISAKMP: (0):processing SA payload. message ID = 0
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID seems Unity/DPD but major 215 mismatch
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is XAUTH
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is DPD
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):processing IKE frag vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):Support for IKE Fragmentation not enabled
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is NAT-T RFC 3947
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is NAT-T v2
Mar 27 15:55:24.474: ISAKMP: (0):found peer pre-shared key matching 172.17.1.2
Mar 27 15:55:24.474: ISAKMP: (0):local preshared key found
Mar 27 15:55:24.474: ISAKMP: (0):Scanning profiles for xauth ... dynip
Mar 27 15:55:24.474: ISAKMP: (0):Checking ISAKMP transform 1 against priority 1 policy
Mar 27 15:55:24.474: ISAKMP: (0):      encryption AES-CBC
Mar 27 15:55:24.474: ISAKMP: (0):      keylength of 256
Mar 27 15:55:24.474: ISAKMP: (0):      hash SHA256
Mar 27 15:55:24.474: ISAKMP: (0):      default group 14
Mar 27 15:55:24.474: ISAKMP: (0):      auth pre-share
Mar 27 15:55:24.474: ISAKMP: (0):      life type in seconds
Mar 27 15:55:24.474: ISAKMP: (0):      life duration (basic) of 10800
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
Mar 27 15:55:24.474: ISAKMP: (0):Checking ISAKMP transform 2 against priority 1 policy
Mar 27 15:55:24.474: ISAKMP: (0):      encryption AES-CBC
Mar 27 15:55:24.474: ISAKMP: (0):      keylength of 256
Mar 27 15:55:24.474: ISAKMP: (0):      hash SHA256
Mar 27 15:55:24.474: ISAKMP: (0):      default group 5
Mar 27 15:55:24.474: ISAKMP: (0):      auth pre-share
Mar 27 15:55:24.474: ISAKMP: (0):      life type in seconds
Mar 27 15:55:24.474: ISAKMP: (0):      life duration (basic) of 10800
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
Mar 27 15:55:24.474: ISAKMP: (0):Checking ISAKMP transform 3 against priority 1 policy
Mar 27 15:55:24.474: ISAKMP: (0):      encryption AES-CBC
Mar 27 15:55:24.474: ISAKMP: (0):      keylength of 256
Mar 27 15:55:24.474: ISAKMP: (0):      hash SHA256
Mar 27 15:55:24.474: ISAKMP: (0):      default group 2
Mar 27 15:55:24.474: ISAKMP: (0):      auth pre-share
Mar 27 15:55:24.474: ISAKMP: (0):      life type in seconds
Mar 27 15:55:24.478: ISAKMP: (0):      life duration (basic) of 10800
Mar 27 15:55:24.478: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
Mar 27 15:55:24.478: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
Mar 27 15:55:24.478: ISAKMP: (0):Checking ISAKMP transform 4 against priority 1 policy
Mar 27 15:55:24.478: ISAKMP: (0):      encryption AES-CBC
Mar 27 15:55:24.478: ISAKMP: (0):      keylength of 256
Mar 27 15:55:24.478: ISAKMP: (0):      hash SHA
Mar 27 15:55:24.478: ISAKMP: (0):      default group 14
Mar 27 15:55:24.478: ISAKMP: (0):      auth pre-share
Mar 27 15:55:24.478: ISAKMP: (0):      life type in seconds
Mar 27 15:55:24.478: ISAKMP: (0):      life duration (basic) of 10800
Mar 27 15:55:24.478: ISAKMP: (0):atts are acceptable. Next payload is 3
Mar 27 15:55:24.478: ISAKMP: (0):Acceptable atts:actual life: 86400
Mar 27 15:55:24.478: ISAKMP: (0):Acceptable atts:life: 0
Mar 27 15:55:24.478: ISAKMP: (0):Basic life_in_seconds:10800
Mar 27 15:55:24.478: ISAKMP: (0):Returning Actual lifetime: 10800
Mar 27 15:55:24.478: ISAKMP: (0):Started lifetime timer: 10800.

Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID seems Unity/DPD but major 215 mismatch
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is XAUTH
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is DPD
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):processing IKE frag vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):Support for IKE Fragmentation not enabled
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is NAT-T RFC 3947
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is NAT-T v2
Mar 27 15:55:24.478: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Mar 27 15:55:24.478: ISAKMP: (0):Old State = IKE_R_MM1  New State = IKE_R_MM1 

Mar 27 15:55:24.478: ISAKMP: (0):constructed NAT-T vendor-rfc3947 ID
Mar 27 15:55:24.478: ISAKMP-PAK: (0):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Mar 27 15:55:24.478: ISAKMP: (0):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.478: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Mar 27 15:55:24.478: ISAKMP: (0):Old State = IKE_R_MM1  New State = IKE_R_MM2 

Mar 27 15:55:24.482: ISAKMP-PAK: (0):received packet from 172.17.1.2 dport 500 sport 500 Global (R) MM_SA_SETUP
Mar 27 15:55:24.482: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:24.482: ISAKMP: (0):Old State = IKE_R_MM2  New State = IKE_R_MM3 

Mar 27 15:55:24.482: ISAKMP: (0):processing KE payload. message ID = 0
Mar 27 15:55:24.498: ISAKMP: (0):processing NONCE payload. message ID = 0
Mar 27 15:55:24.502: ISAKMP: (0):found peer pre-shared key matching 172.17.1.2
Mar 27 15:55:24.502: ISAKMP: (2031):received payload type 20
Mar 27 15:55:24.502: ISAKMP: (2031):His hash no match - this node outside NAT
Mar 27 15:55:24.502: ISAKMP: (2031):received payload type 20
Mar 27 15:55:24.502: ISAKMP: (2031):No NAT Found for self or peer
Mar 27 15:55:24.502: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Mar 27 15:55:24.502: ISAKMP: (2031):Old State = IKE_R_MM3  New State = IKE_R_MM3 

Mar 27 15:55:24.502: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Mar 27 15:55:24.502: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.502: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Mar 27 15:55:24.502: ISAKMP: (2031):Old State = IKE_R_MM3  New State = IKE_R_MM4 

Mar 27 15:55:24.514: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) MM_KEY_EXCH
Mar 27 15:55:24.514: ISAKMP: (2031):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:24.514: ISAKMP: (2031):Old State = IKE_R_MM4  New State = IKE_R_MM5 

Mar 27 15:55:24.514: ISAKMP: (2031):processing ID payload. message ID = 0
Mar 27 15:55:24.514: ISAKMP: (2031):ID payload 
        next-payload : 8
        type         : 1
Mar 27 15:55:24.514: ISAKMP: (2031):    address      : 172.17.1.2
Mar 27 15:55:24.514: ISAKMP: (2031):    protocol     : 0 
        port         : 0 
        length       : 12
Mar 27 15:55:24.514: ISAKMP: (0):peer matches dynip profile
Mar 27 15:55:24.514: ISAKMP: (2031):Found ADDRESS key in keyring vpn_keys
Mar 27 15:55:24.514: ISAKMP: (2031):processing HASH payload. message ID = 0
Mar 27 15:55:24.514: ISAKMP: (2031):SA authentication status:
        authenticated
Mar 27 15:55:24.514: ISAKMP: (2031):SA has been authenticated with 172.17.1.2
Mar 27 15:55:24.514: ISAKMP: (0):Trying to insert a peer 172.31.255.1/172.17.1.2/500/, 
Mar 27 15:55:24.514: ISAKMP: (0): and inserted successfully 31C4378.
Mar 27 15:55:24.514: ISAKMP-AAA: (2031):Accounting is not enabled
Mar 27 15:55:24.514: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Mar 27 15:55:24.514: ISAKMP: (2031):Old State = IKE_R_MM5  New State = IKE_R_MM5 

Mar 27 15:55:24.514: ISAKMP: (2031):SA is doing 
Mar 27 15:55:24.514: ISAKMP: (2031):pre-shared key authentication using id type ID_IPV4_ADDR
Mar 27 15:55:24.514: ISAKMP: (2031):ID payload 
        next-payload : 8
        type         : 1
Mar 27 15:55:24.514: ISAKMP: (2031):    address      : 172.31.255.1
Mar 27 15:55:24.514: ISAKMP: (2031):    protocol     : 17 
        port         : 500 
        length       : 12
Mar 27 15:55:24.514: ISAKMP: (2031):Total payload length: 12
Mar 27 15:55:24.514: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Mar 27 15:55:24.514: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.518: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Mar 27 15:55:24.518: ISAKMP: (2031):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE 
Mar 27 15:55:24.518: ISAKMP: (2031):IKE_DPD is enabled, initializing timers
Mar 27 15:55:24.518: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Mar 27 15:55:24.518: ISAKMP: (2031):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

Mar 27 15:55:24.518: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE      
Mar 27 15:55:24.518: ISAKMP: (2031):set new node 440490065 to QM_IDLE      
Mar 27 15:55:24.518: ISAKMP: (2031):processing HASH payload. message ID = 440490065
Mar 27 15:55:24.518: ISAKMP: (2031):processing SA payload. message ID = 440490065
Mar 27 15:55:24.518: ISAKMP: (2031):Checking IPSec proposal 1
Mar 27 15:55:24.518: ISAKMP: (2031):transform 1, ESP_AES 
Mar 27 15:55:24.518: ISAKMP: (2031):   attributes in transform:
Mar 27 15:55:24.518: ISAKMP: (2031):      key length is 256
Mar 27 15:55:24.518: ISAKMP: (2031):      authenticator is HMAC-SHA
Mar 27 15:55:24.518: ISAKMP: (2031):      encaps is 2 (Transport)
Mar 27 15:55:24.518: ISAKMP: (2031):      SA life type in seconds
Mar 27 15:55:24.518: ISAKMP: (2031):      SA life duration (basic) of 3600
Mar 27 15:55:24.518: ISAKMP: (2031):atts are acceptable.
Mar 27 15:55:24.518: ISAKMP: (2031):Checking IPSec proposal 1
Mar 27 15:55:24.518: ISAKMP: (2031):transform 2, ESP_AES 
Mar 27 15:55:24.518: ISAKMP: (2031):   attributes in transform:
Mar 27 15:55:24.518: ISAKMP: (2031):      key length is 128
Mar 27 15:55:24.518: ISAKMP: (2031):      authenticator is HMAC-SHA
Mar 27 15:55:24.518: ISAKMP: (2031):      encaps is 2 (Transport)
Mar 27 15:55:24.518: ISAKMP: (2031):      SA life type in seconds
Mar 27 15:55:24.518: ISAKMP: (2031):      SA life duration (basic) of 3600
Mar 27 15:55:24.518: ISAKMP: (2031):atts are acceptable.
Mar 27 15:55:24.518: ISAKMP: (2031):Checking IPSec proposal 1
Mar 27 15:55:24.518: ISAKMP: (2031):transform 3, ESP_3DES
Mar 27 15:55:24.518: ISAKMP: (2031):   attributes in transform:
Mar 27 15:55:24.518: ISAKMP: (2031):      authenticator is HMAC-SHA
Mar 27 15:55:24.518: ISAKMP: (2031):      encaps is 2 (Transport)
Mar 27 15:55:24.522: ISAKMP: (2031):      SA life type in seconds
Mar 27 15:55:24.522: ISAKMP: (2031):      SA life duration (basic) of 3600
Mar 27 15:55:24.522: ISAKMP: (2031):atts are acceptable.
Mar 27 15:55:24.522: IPSEC(validate_proposal_request): proposal part #1
Mar 27 15:55:24.522: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 172.31.255.1:0, remote= 172.17.1.2:0,
    local_proxy= 172.31.255.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0,
    protocol= ESP, transform= esp-aes 256 esp-sha-hmac  (Transport), 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Mar 27 15:55:24.522: (ipsec_process_proposal)Map Accepted: dynmap, 10
Mar 27 15:55:24.522: ISAKMP: (2031):processing NONCE payload. message ID = 440490065
Mar 27 15:55:24.522: ISAKMP: (2031):processing ID payload. message ID = 440490065
Mar 27 15:55:24.522: ISAKMP: (2031):processing ID payload. message ID = 440490065
Mar 27 15:55:24.522: ISAKMP: (2031):QM Responder gets spi
Mar 27 15:55:24.522: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Mar 27 15:55:24.522: ISAKMP: (2031):Old State = IKE_QM_READY  New State = IKE_QM_SPI_STARVE
Mar 27 15:55:24.522: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
Mar 27 15:55:24.522: ISAKMP: (2031):Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_IPSEC_INSTALL_AWAIT
Mar 27 15:55:24.522: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:24.522: IPSEC(crypto_ipsec_create_ipsec_sas): Map found dynmap, 10
Mar 27 15:55:24.522: IPSEC(get_old_outbound_sa_for_peer): No outbound SA found for peer 2BA90F8
Mar 27 15:55:24.522: IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.31.255.1, sa_proto= 50, 
    sa_spi= 0x8DC68B0E(2378599182), 
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 41
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
    local_proxy= 172.31.255.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0
Mar 27 15:55:24.522: IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.17.1.2, sa_proto= 50, 
    sa_spi= 0xC4AA2A03(3299486211), 
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 42
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
    local_proxy= 172.31.255.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0
**Mar 27 15:55:24.526: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list**
Mar 27 15:55:24.526: ISAKMP: (2031):Received IPSec Install callback... proceeding with the negotiation
Mar 27 15:55:24.526: ISAKMP: (2031):Successfully installed IPSEC SA (SPI:0x8DC68B0E) on Loopback1
Mar 27 15:55:24.526: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) QM_IDLE      
Mar 27 15:55:24.526: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.526: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_FROM_IPSEC, IPSEC_INSTALL_DONE
Mar 27 15:55:24.526: ISAKMP: (2031):Old State = IKE_QM_IPSEC_INSTALL_AWAIT  New State = IKE_QM_R_QM2
Mar 27 15:55:24.530: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE      
Mar 27 15:55:24.530: ISAKMP: (2031):deleting node 440490065 error FALSE reason "QM done (await)"  
Mar 27 15:55:24.530: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Mar 27 15:55:24.530: ISAKMP: (2031):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
Mar 27 15:55:24.530: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:24.530: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP  
Mar 27 15:55:24.530: IPSEC: Expand action denied, notify RP
Mar 27 15:55:40.781: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE      
Mar 27 15:55:40.781: ISAKMP: (2031):set new node 1733296464 to QM_IDLE      
Mar 27 15:55:40.781: ISAKMP: (2031):processing HASH payload. message ID = 1733296464
Mar 27 15:55:40.781: ISAKMP: (2031):processing DELETE payload. message ID = 1733296464
Mar 27 15:55:40.781: ISAKMP: (2031):peer does not do paranoid keepalives.
Mar 27 15:55:40.781: ISAKMP: (2031):Enqueued KEY_MGR_DELETE_SAS for IPSEC SA (SPI:0xC4AA2A03)
Mar 27 15:55:40.781: ISAKMP: (2031):deleting node 1733296464 error FALSE reason "Informational (in) state 1"  
Mar 27 15:55:40.781: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE      
Mar 27 15:55:40.781: ISAKMP: (2031):set new node 201626634 to QM_IDLE      
Mar 27 15:55:40.781: ISAKMP: (2031):processing HASH payload. message ID = 201626634
Mar 27 15:55:40.781: ISAKMP: (2031):processing DELETE payload. message ID = 201626634
Mar 27 15:55:40.781: ISAKMP: (2031):peer does not do paranoid keepalives.
Mar 27 15:55:40.781: ISAKMP: (2031):deleting SA reason "No reason" state (R) QM_IDLE       (peer 172.17.1.2)  
Mar 27 15:55:40.781: ISAKMP: (2031):deleting node 201626634 error FALSE reason "Informational (in) state 1"  
Mar 27 15:55:40.781: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:40.781: IDB is NULL : in crypto_ipsec_key_engine_delete_sas (), 5502
Mar 27 15:55:40.781: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP  
Mar 27 15:55:40.781: IPSEC: still in use sa: 0x12F4C918
Mar 27 15:55:40.781: IPSEC(key_engine_delete_sas): delete SA with spi 0xC4AA2A03 proto 50 for 172.17.1.2
Mar 27 15:55:40.781: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 172.31.255.1, sa_proto= 50, 
    sa_spi= 0x8DC68B0E(2378599182), 
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 41
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
    local_proxy= 172.31.255.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0
Mar 27 15:55:40.781: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 172.17.1.2, sa_proto= 50, 
    sa_spi= 0xC4AA2A03(3299486211), 
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 42
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
    local_proxy= 172.31.255.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0
Mar 27 15:55:40.781: IPSEC(send_delete_notify_kmi): not sending KEY_ENGINE_DELETE_SAS
Mar 27 15:55:40.781: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list
Mar 27 15:55:40.781: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:40.785: IPSec: Key engine got a KEY_MGR_CHECK_MORE_SAS message
Mar 27 15:55:40.785: ISAKMP (2031): IPSec has no more SA's with this peer.  Won't keepalive phase 1.  
Mar 27 15:55:40.785: ISAKMP: (2031):set new node -860358469 to QM_IDLE      
Mar 27 15:55:40.785: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) QM_IDLE      
Mar 27 15:55:40.785: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:40.785: ISAKMP: (2031):purging node -860358469
Mar 27 15:55:40.785: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Mar 27 15:55:40.785: ISAKMP: (2031):Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA 

Mar 27 15:55:40.785: ISAKMP: (2031):deleting SA reason "No reason" state (R) QM_IDLE       (peer 172.17.1.2)   
Mar 27 15:55:40.785: ISAKMP: (0):Unlocking peer struct 0x31C4378 for isadb_mark_sa_deleted(), count 0
Mar 27 15:55:40.785: ISAKMP: (2031):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:40.785: ISAKMP: (2031):Old State = IKE_DEST_SA  New State = IKE_DEST_SA 

Mar 27 15:55:40.785: IPSEC(ident_delete_notify_kmi): Failed to send KEY_ENG_DELETE_SAS
Mar 27 15:55:40.785: IPSEC(ident_update_final_flow_stats): Collect Final Stats and update MIB 
IPSEC get IKMP peer index from peer 0x2BA90F8 ikmp handle 0x8000002A
IPSEC IKMP peer index 0 
[ident_update_final_flow_stats] : Flow delete complete event received for flow id 0x14000029,peer index 0

Mar 27 15:55:40.789: ISAKMP-ERROR: (0):crypto_ikmp_dpd_refcount_zero: Freeing dpd profile_name dynip
Mar 27 15:55:40.789: ISAKMP: (0):Deleting peer node by peer_reap for 172.17.1.2: 31C4378
Mar 27 15:55:40.789: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:56:14.528: ISAKMP: (2031):purging node 440490065
Mar 27 15:56:30.779: ISAKMP: (2031):purging node 1733296464
Mar 27 15:56:30.779: ISAKMP: (2031):purging node 201626634
Mar 27 15:56:40.783: ISAKMP: (2031):purging SA., sa=13ABDE4C, delme=13ABDE4C
Was könnte hier das Problem sein?
Auffallend sind
**Mar 27 15:55:24.526: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list**
Mar 27 15:55:24.530: IPSEC: Expand action denied, notify RP

Gruß
Marco

Content-Key: 94007929557

Url: https://administrator.de/contentid/94007929557

Printed on: July 24, 2024 at 15:07 o'clock

Member: aqui
aqui Mar 28, 2024 updated at 09:19:34 (UTC)
Goto Top
Du hast vermutlich beim Lesen des Tutorials die 👓 vergessen und deshalb mehrere grobe Kardinalsfehler begangen die Ursache deines Scheiterns sind:
  • Irgendwo fehlt dir der L2TP User/Pass Eintrag?! Bedenke das du das Password NICHT per Scrypt verschlüsseln darfst das supportet PPP derzeit noch nicht auf dem Cisco.
  • Die Crypto Map ist fälschlicherweise am Loopback Interface gemappt! Sie gehört natürlich immer auf das Interface wo die remoten VPN Clients den Router erreichen. In der Regel ist das das WAN/Internet Interface (Dialer etc.)
  • Das Loopback IP Netz vergibt die VPN Client IPs aber bei dir stimmt das IPv4 Lookback IP Netz nicht mit dem dazu korrespondierenden Adress Pool überein. Außerdem überschneidet dein Pool Adressbereich das Loopback Interface selber (doppelte Adressen!)

Ein wasserdicht funktionierendes Setup sieht folgendermaßen aus:
aaa new-model
aaa authentication ppp L2TP_VPN local
aaa authorization network default local 
!
vpdn enable
!
vpdn-group L2TP
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
username l2tpuser privilege 0 password Geheim123!
!
crypto keyring VPNKEYS  
  pre-shared-key address 0.0.0.0 0.0.0.0 key Sagichnicht
  pre-shared-key address ipv6 ::/0 key Sagichnicht
!         
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 14
!
crypto isakmp policy 12
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp keepalive 30 periodic
!
crypto isakmp profile DYNIP
   description VPNs mit dyn. IP
   keyring VPNKEYS
   match identity address 0.0.0.0 
   match identity address ipv6 ::/0 
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac 
 mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac 
 mode transport
!
crypto dynamic-map DYNMAP 10
 description L2TP Client VPN 
 set nat demux
 set transform-set L2TP-1 L2TP-2 
 set isakmp-profile DYNIP
!
crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP 
!
interface Loopback1
 description Loopback for L2TP Clients
 ip address 172.31.255.1 255.255.255.0
 ipv6 address 2001:db8::1/64
!
interface xyz
 description WAN Port Internet
 crypto map VPNCISCO
!
interface Virtual-Template1
 description L2TP Client VPN
 ip unnumbered Loopback1
 peer default ip address pool L2TP-POOL
 ppp authentication ms-chap-v2 L2TP_VPN
!
ip local pool L2TP-POOL 172.31.255.100 172.31.255.200 
ipv6 local pool L2TP-POOL-IPv6 2001:db8::/56 64  
Das IPv6 Adress Pooling erfordert auch noch etwas Finetuning:
https://www.cisco.com/c/de_de/support/docs/dial-access/virtual-private-d ...
Im Zweifel das Template interface erstmal nur mit v4 laufen lassen um das wasserdicht zu testen. Ggf. muss man dort mit DHCPv6 arbeiten. Für v6 hatte ich das noch nicht getestet.
Fazit:
Brille auf und korrigiere das wie im Tutorial beschrieben, dann klappt das auch sofort! 😉
Member: Windows10Gegner
Windows10Gegner Mar 28, 2024 at 11:56:15 (UTC)
Goto Top
Zitat von @aqui:
  • Irgendwo fehlt dir der L2TP User/Pass Eintrag?! Bedenke das du das Password NICHT per Scrypt verschlüsseln darfst das supportet PPP derzeit noch nicht auf dem Cisco.

Ich hatte das anfangs mit default statt L2TP_VPN und dem eh schon bestehenden admin probiert.
War aber scheinbar nicht die Ursache. Auch das durch service password-encryption verschlüsselte Kennwort scheint vorerst nicht die Ursache gewesen zu sein.

* Die Crypto Map ist fälschlicherweise am Loopback Interface gemappt! Sie gehört natürlich immer auf das Interface wo die remoten VPN Clients den Router erreichen. In der Regel ist das das WAN/Internet Interface (Dialer etc.)

Ich hatte das gestern intern getestet und daher Loopback gewählt. Warum ist das die Ursache?
::/0 und 0.0.0.0 mappen doch eh alles.
Ich habe die nun am Dialer und da gab es im Debug bereits bei der Einrichtung komische Dinge:
router(config)#no crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#
Mar 28 10:33:53.039: setting dynamic link status! map is not discover

router(config-if)#crypto map VPNCISCO
router(config-if)#k
Mar 28 10:36:29.345: IPSEC: Expand action denied, discard or forward packet.

* Das Loopback IP Netz vergibt die VPN Client IPs aber bei dir stimmt das IPv4 Lookback IP Netz nicht mit dem dazu korrespondierenden Adress Pool überein. Außerdem überschneidet dein Pool Adressbereich das Loopback Interface selber (doppelte Adressen!)

Das ist nun korrigiert, wobei es ja gar nicht so weit kam.

Die Map macht aktuell Ärger (Client von außen über Di0)
Mar 28 11:49:41.055: map_db_check_isakmp_profile profile did not match,
ike passed profile : NULL,
map_ike_profile: DYNIP,
head_ike_profile: NULL
Mar 28 11:49:41.055: map_db_check_isakmp_profile profile did not match,
ike passed profile : NULL,
map_ike_profile: DYNIP,
head_ike_profile: NULL

Mar 28 11:49:41.055: map_db_find_best did not find matching map
Mar 28 11:49:41.055: ISAKMP-ERROR: (2051):IPSec policy invalidated proposal with error 32

Aktuelle gekürzte Konfiguraiton
aaa new-model
aaa authentication login default local
aaa authentication ppp L2TP_VPN local
aaa authorization console
aaa authorization exec default local 
aaa authorization network default local 

vpdn enable
!
vpdn-group L2TP
 ! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication

username vpnuser privilege 0 password 0 xyz

crypto keyring VPNKEYS  
  pre-shared-key address 0.0.0.0 0.0.0.0 key xyz
  pre-shared-key address ipv6 ::/0 key xyz
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 14
!
crypto isakmp policy 12
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp keepalive 30 periodic
crypto isakmp profile DYNIP
   description VPNs mit dyn. IP
   keyring VPNKEYS
   match identity address 0.0.0.0 
   match identity address ipv6 ::/0 
!
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac 
 mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac 
 mode transport
!
!
!
crypto dynamic-map DYNMAP 10
 description L2TP Client VPN 
 set nat demux
 set transform-set L2TP-1 L2TP-2 
 set isakmp-profile DYNIP
!
crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP 
!
interface Loopback1
 ip address 172.31.255.1 255.255.255.0
!
interface Dialer0

 crypto map VPNCISCO

interface Virtual-Template1
 description L2TP Client VPN
 ip unnumbered Loopback1
 peer default ip address pool L2TP-POOL
 ppp authentication ms-chap-v2 L2TP_VPN

ip local pool L2TP-POOL 172.31.255.100 172.31.255.200

IPv6 ist jetzt für den Tunnel gar nicht eingerichtet, der Einfachheit halber mache ich das auch erst, wenn der Rest läuft.
Member: aqui
aqui Mar 28, 2024 updated at 19:53:58 (UTC)
Goto Top
...der Einfachheit halber mache ich das auch erst, wenn der Rest läuft.
Sehr vernünftig aber dann solltest du es besser auch aus dem Keyring und dem Profil entfernen!
Ich habe die nun am Dialer und da gab es im Debug bereits bei der Einrichtung komische Dinge:
Da stimmt irgendetwas mit der Map und/oder Profil Nomenklatur nicht. Beachte das der Cisco hier sehr genau zw. Groß- und Kleinschreibung bei den zugewiesenen Namen unterscheidet!
Möglich auch das du noch "Konfig Leichen" in der Konfig stehen hast die das bewirken. Entferne alles was andere Map und Profilnamen hat die nicht mehr gelten!!
Diese Fehlermeldung darf so NICHT erscheinen wenn du die Map auf dem Dialer Interface zuweist und deutet immer auf einen Konfig Fehler hin.
Korrekt ist:
router(config-if)#crypto map VPNCISCO
*Mar 28 2024 19:37:41 CET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
router(config-if)# 

Der o.a. Konfigauszug ist jedenfalls konfigtechnisch korrekt. An dem was man in dem Auszug sieht liegt es garantiert nicht!

Debugs von l2tp all (Win 10 Rechner) und crypto isakmp sollten sowas zeigen (gekürzte Auszüge)
 L2TP       _____:________: I SCCRQ, flg TLS, ver 2, len 102
 L2TP       _____:________:  IETF v2:
 L2TP       _____:________:   Protocol Version  1, Revision 0
 L2TP       _____:________:   Framing Cap       sync(0x1)
 L2TP       _____:________:   Bearer Cap        none(0x0)
 L2TP       _____:________:   Firmware Ver      0xA00
 L2TP       _____:________:   Hostname           "NoteBook"
 L2TP       _____:________:   Vendor Name
 L2TP       _____:________:      "Microsoft"
 L2TP       _____:________:   Assigned Tunnel I 0x00000001 (1)
 L2TP       _____:________:   Recv Window Size  8
 L2TP       _____:________:
 L2X  tnl   08000:________: Create logical tunnel
 L2TP tnl   08000:________: Create tunnel
 L2TP tnl   08000:________:     version set to V2
 L2TP tnl   08000:________:     remote ip set to 212.64.1.147
 L2TP tnl   08000:________:     local ip set to 92.75.10.77
...
 L2TP 00001:08000:00005257: FSM-Sn ev ICCN-OK
 L2TP 00001:08000:00005257: FSM-Sn    Proc-ICCN->established
 L2TP 00001:08000:00005257: FSM-Sn do Established
 L2TP 00001:08000:00005257: Session up
 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up
 CET: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to up 

 ISAKMP-PAK: (0):received packet from 212.64.1.147 dport 500 sport 500 Global (N) NEW SA
 ISAKMP: (0):Created a peer struct for 212.64.1.147, peer port 500
 ISAKMP: (0):New peer created peer = 0x13D9B8A0 peer_handle = 0x8000000B
 ISAKMP: (0):local port 500, remote port 500
 ISAKMP: (0):insert sa successfully sa = 13D9AD4C
 ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
 ISAKMP: (0):found peer pre-shared key matching 212.64.1.147
 ISAKMP: (0):local preshared key found

 ISAKMP: (0):Checking ISAKMP transform 3 against priority 10 policy
 ISAKMP: (0):      encryption AES-CBC
 ISAKMP: (0):      keylength of 256
 ISAKMP: (0):      hash SHA
 ISAKMP: (0):      default group 14
 ISAKMP: (0):      auth pre-share
 ISAKMP: (0):      life type in seconds
 ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80
 ISAKMP: (0):atts are acceptable. Next payload is 3
 ISAKMP: (0):Acceptable atts:actual life: 86400
 ISAKMP: (0):Acceptable atts:life: 0
 ISAKMP: (0):Fill atts in sa vpi_length:4
 ISAKMP: (0):Fill atts in sa life_in_seconds:28800
 ISAKMP: (0):Returning Actual lifetime: 28800
 ISAKMP: (0):Started lifetime timer: 28800.

 ISAKMP-PAK: (2009):sending packet to 212.64.1.147 my_port 500 peer_port 500 (R) MM_KEY_EXCH
 ISAKMP: (2009):Sending an IKE IPv4 Packet.
 ISAKMP: (2009):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

 ISAKMP: (0):peer matches DYNIP profile
 ISAKMP: (2009):Found ADDRESS key in keyring VPNKEYS
 ISAKMP: (2009):processing HASH payload. message ID = 0
 ISAKMP: (2009):SA authentication status:
        authenticated
 ISAKMP: (2009):SA has been authenticated with 212.64.1.147
 ISAKMP: (0):Trying to insert a peer 92.75.10.77/212.64.1.147/500/,
 ISAKMP: (0): and inserted successfully 13D9B8A0.
 ISAKMP: (2009):Successfully installed IPSEC SA (SPI:0xE3C258B1) on Dialer0 
Member: Windows10Gegner
Windows10Gegner Mar 28, 2024 at 20:45:54 (UTC)
Goto Top
Davon bin ich hier weit entfernt.
Solange die Ursache von

router(config)#no crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#
Mar 28 10:33:53.039: setting dynamic link status! map is not discover

router(config-if)#crypto map VPNCISCO
router(config-if)#k
Mar 28 10:36:29.345: IPSEC: Expand action denied, discard or forward packet.
nicht geklärt sind, wird das auch nix. Ich konnte dazu auch bisher keine sinnvollen Foren-Threads finden.
Konfig-Leichen sind es nicht.

Was ich noch tun kann:
Auf einem anderen (ich habe ja noch 886W und 886va mit jeweils älteren Images) das ganze mal testen.
Sonst wäre mein Ausweg, auf IPsec zu verzichten. Stellt sich die Frage, ob es andere hier unterstützte Protokolle gibt, die zumindest die Authentifizierung verschlüsseln.
Eine Idee wäre, das erstmal mit reinem L2TP zu probieren, so wie hier: https://www.cisco.com/c/en/us/support/docs/dial-access/virtual-private-d ...
Member: Windows10Gegner
Windows10Gegner Mar 29, 2024 at 11:51:05 (UTC)
Goto Top
Auf einem 886va (15.7(3)M9) gibt es ebenfalls das Expand-Problem.
Da kann ich aber experimentieren, weil da nix produktiv dranhängt.
Was kann man da noch testen?

Der L2TP-Tunnel ohne IPsec (nur L2TP mit PPP drin) konnte aufgebaut werden.
Ich habe danach erase startup-config ausgeführt und dann den IPsec/L2TP eingerichtet.
Reste sollten daher nicht mehr vorhanden sein.
Member: aqui
aqui Mar 29, 2024 at 12:46:24 (UTC)
Goto Top
Auf einem 886va (15.7(3)M9) gibt es ebenfalls das Expand-Problem.
Das ist dann ganz sicher ein Konfig Fehler. Es rennt auf mehreren 886va hier vollkommen fehlerfrei.
Das es gleich auf mehreren bei dir passiert spricht ebenfalls für einen Konfig Fehler.

Gehe einmal strategisch vor...
  • write erase auf einem 886va Testrouter ausführen.
  • Baue dir mit dem 886va ein simples Kaskaden Szenario mit (erstmal) einer IPv4 Banalkonfig:
    • VLAN 99 erzeugen
    • Port Ethernet 3 als Accessport ins VLAN 99 legen
    • DHCP Client auf Interface vlan 99 (Alternativ feste IP aus deinem bestehenden Netz)
  • vlan 1 Interface mit IP Netz und DHCP Server
  • NAT vlan1 = inside, vlan99 = outside

Diese Banalkonfig steckst du in dein bestehendes Netzwerk und checkst mit einem lokalen Testrechner ob das alles funktioniert. Internet Ping usw.

Dann setzt du die L2TP VPN Konfig auf und bindest sie sie auf das vlan99 Interface!
Hier sollte dann ein "%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON" zu sehen sein!
Ist dem so kannst du den L2TP Zugang aus dem vlan99 Netzwerk mit einem Client testen.
Member: Windows10Gegner
Windows10Gegner Mar 29, 2024 at 16:12:51 (UTC)
Goto Top
Ich habe nun nach dem Erase ein einfache Konfiguration eingerichtet, ohne NAT (macht der Hauptrouter für das Netz). Sollte hier aber eh nebensächlich sein. Das Problem mit expand bleibt. Ich habe die Konfig von oben nach unten wie beschrieben eingegeben.
test(config-crypto-map)#crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
test(config)#
*Feb  6 07:48:38.843: setting dynamic link status! map is not discover
test#sh crypto map #vor crypto auf dem interface
        Interfaces using crypto map NiStTeSt1:

Crypto Map IPv4 "VPNCISCO" 10 ipsec-isakmp  
        Dynamic map template tag: DYNMAP
        Interfaces using crypto map VPNCISCO:
test#

###nach crypto auf dem Interface
test#sh crypto map
        Interfaces using crypto map NiStTeSt1:

Crypto Map IPv4 "VPNCISCO" 10 ipsec-isakmp  
        Dynamic map template tag: DYNMAP
        Interfaces using crypto map VPNCISCO:
                Vlan10
test#


test#sh crypto isakmp policy

Global IKE policy
Protection suite of priority 10
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #14 (2048 bit)
        lifetime:               86400 seconds, no volume limit
Protection suite of priority 12
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit
test#

test#sh crypto isakmp profile

IKEv1 PROFILE DYNIP
Ref Count = 2
   Identities matched are:
    ip-address 0.0.0.0
   Certificate maps matched are:
   keyring(s): VPNKEYS
   trustpoint(s): <all>
test#

test(config)#int vlan10
test(config-if)# crypto map VPNCISCO
test(config-if)#
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb  6 07:52:07.347: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON


*Feb  6 07:57:00.367: (ipsec_process_proposal)Map Accepted: DYNMAP, 10
*Feb  6 07:57:00.367: ISAKMP: (2002):processing NONCE payload. message ID = 3270370742
*Feb  6 07:57:00.367: ISAKMP: (2002):processing ID payload. message ID = 3270370742
*Feb  6 07:57:00.367: ISAKMP: (2002):processing ID payload. message ID = 3270370742
*Feb  6 07:57:00.367: ISAKMP: (2002):QM Responder gets spi
*Feb  6 07:57:00.367: ISAKMP: (2002):Node 3270370742, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Feb  6 07:57:00.367: ISAKMP: (2002):Old State = IKE_QM_READY  New State = IKE_QM_SPI_STARVE
*Feb  6 07:57:00.371: ISAKMP: (2002):Node 3270370742, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
*Feb  6 07:57:00.371: ISAKMP: (2002):Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_IPSEC_INSTALL_AWAIT
*Feb  6 07:57:00.371: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Feb  6 07:57:00.371: IPSEC(crypto_ipsec_create_ipsec_sas): Map found DYNMAP, 10
*Feb  6 07:57:00.371: IPSEC(get_old_outbound_sa_for_peer): No outbound SA found for peer 8AED0408
*Feb  6 07:57:00.371: IPSEC(create_sa): sa created,
  (sa) sa_dest= 10.1.0.1, sa_proto= 50,
    sa_spi= 0xD3362D45(3543543109),
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= 10.1.0.1:0, remote= 172.17.1.2:0,
    local_proxy= 10.1.0.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0
*Feb  6 07:57:00.371: IPSEC(create_sa): sa created,
  (sa) sa_dest= 172.17.1.2, sa_proto= 50,
    sa_spi= 0xC5CD4316(3318563606),
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 2
    sa_lifetime(k/sec)= (4608000/3600),
  (identity) local= 10.1.0.1:0, remote= 172.17.1.2:0,
    local_proxy= 10.1.0.1/255.255.255.255/17/1701,
    remote_proxy= 172.17.1.2/255.255.255.255/17/0
*Feb  6 07:57:00.375: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list
Wie man sieht scheint die map jetzt kein Problem mehr zu sein.

Zu Expand: Manche Forenthreads sagen, das passiere beim ersten Mal, dann nicht mehr. Kann ich hier bestätigen und ich frage mich, ob bei Cisco getestet wird.

Aber: Tunnel läuft, ich konnte bisher noch nicht verstehen, warum das jetzt geht.
Paketverlust ist jedoch bei großen Paketen (ping mit DF-Bit und -s 1200) hoch (25% im internen Netz).
Member: aqui
Solution aqui Mar 29, 2024 updated at 18:54:39 (UTC)
Goto Top
Alles eben mal auf einem 886vaw und einen C881 nachgestellt. Also Plattformen die eine "c800..." Image File verwenden. Hier lauert einen böse Falle die du auf dem Radar haben solltest.
⚠️ Bitte KEIN 15.9er Image verwenden!!! Das hat einen IPsec Bug (CSCvd37545)
Das Tückische ist das es zwar keinen expand Fehler wie bei dir generiert (da ist bei dir etwas anderes faul!) aber beim ersten L2TP Zugriff einen Traceback (FW Crash).
%DATACORRUPTION-1-DATAINCONSISTENCY: copy error,  -PC= 0x9498EF0z
-Traceback= 71D9740z 70ED068z AE7C0C8z 9498EF0z 9492ACCz 9492808z 9494320z 94957A0z 948CFC4z 9486BE0z 94857D8z 948C104z 9487444z 94857D8z 9488990z 948C824z 
Das taucht auch nur einmal nach einen Reboot auf sonst nicht mehr und der Win10 L2TP Client meldet dann einen Krypto Fehler. Alle anderen Clients auch. Sieht man das nicht und sieht nicht in die Bug Datenbank bei Cisco sucht man sich einen Wolf! face-sad

Lösung:
Auf den 800er Platformen die ein "c800..." Image File verwenden keine 15.9er Version verwenden sondern die von Cisco recommendete 15.8-3.M9 Version!!
Die ist fehlerfrei und damit klappt der Zugang sofort.
Die "c880..."er Images sind alle nicht betroffen weil die latest Version dort eine 15.7er ist.

Hier eine Quick and Dirty NAT Konfig ohne Loopback die auf beiden Plattformen 886vaw und C881 fehlerfrei funktioniert.
version 15.8
!
aaa new-model
aaa authentication login default local
aaa authentication ppp L2TP_VPN local
aaa authorization exec default local
aaa authorization network default local
!
ip dhcp excluded-address 192.168.1.1 192.168.1.149
ip dhcp excluded-address 192.168.1.170 192.168.1.254
!
ip dhcp pool c886
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 domain-name test.internal
 dns-server 192.168.1.1
!
ip domain name test.internal
!
vpdn enable
!
vpdn-group L2TP
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
ip tcp path-mtu-discovery
!
crypto keyring VPNKEYS
  pre-shared-key address 0.0.0.0 0.0.0.0 key Geheim123!
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 14
!
crypto isakmp keepalive 30 periodic
crypto isakmp profile DYNIP
   description VPNs mit dyn. IP
   keyring VPNKEYS
   match identity address 0.0.0.0
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac
 mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac
 mode transport
!
crypto dynamic-map DYNMAP 10
 description L2TP VPN Dialin
 set nat demux
 set transform-set L2TP-1 L2TP-2
 set isakmp-profile DYNIP
!
crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
!
!
interface vlan99
 description WAN
 ip address dhcp
 ip nat outside
 crypto map VPNCISCO
!
interface Vlan1
 description LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
!
interface Virtual-Template1
 description L2TP Dialin
 ip unnumbered Vlan1
 peer default ip address pool L2TP-POOL
 ppp authentication ms-chap-v2 L2TP_VPN
!
ip local pool L2TP-POOL 192.168.1.200 192.168.1.202
!
ip nat inside source list NAT interface vlan99 overload
!
ip access-list extended NAT
 remark NAT ACL
 10 permit ip 192.168.1.0 0.0.0.255 any
!
ip dns server
! 

Auch hier ist dein Crypto Mapping Fehler ebenfalls NICHT nachzuvollziehen!!
cisco886(config-if)#crypto map VPNCISCO
*Mar 29 2024 16:14:23 CET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
*Mar 29 2024 16:14:24 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up
cisco886(config-if)# 

cisco886#sh l2tp tunnel
L2TP Tunnel Information Total tunnels 1 sessions 1
LocTunID   RemTunID   Remote Name   State  Remote Address  Sessn L2TP Class/
                                                           Count VPDN Group
58988      13         NoteBook      est    212.64.1.147     1     L2TP

cisco886#sh l2tp session
L2TP Session Information Total tunnels 1 sessions 1
LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID
                                 Vcid, Circuit
25897      1          58988      l2tpuser, Vi2.1      est    00:01:41 3
cisco886# 

Sehr sinnvoll ist global noch ein no crypto isakmp default policy zu definieren, das alte, unsichere Verfahren wie DES usw. deaktiviert.
Welche das sind und der Router immer im Default verwendet sieht man mit "show crypto isakmp default policy".
Member: Windows10Gegner
Windows10Gegner Apr 02, 2024 updated at 11:34:34 (UTC)
Goto Top
EDIT: Ganz nach unten scrollen, es wird dämlich.

Ein kurzer Zwischenstand: Auf dem 886va läuft ja wie gesagt der Tunnel. Intern funktioniert der auch problemlos, zumindest ist mir da noch nix Komisches aufgefallen.
Die Paketverluste haben mit dem Tunnel erstmal gar nix zu tun, sondern das hat mit manchmal ausgesendeten ICMP-Host unreachable zu tun, die von meinem Haupt-Router kommen. Ein Teil der Pakete geht aber ohne Murren durch, nur so 25% nicht. Klingt komisch, ist aber so. Die Route ist vorhanden, aber auffällig.
Tunnel (10.1.0.0/24) ist am anderen Router (der macht kein NAT) und das ganze Netz 10.0.0.0/8 wird zu diesem Router geroutet. Das funktioniert auch grundsätzlich.

Auszug aus dem Hauptrouter (macht nach außen NAT)
Gateway of last resort is 82.139.xxx to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 82.139.222.46
S     10.0.0.0/8 [1/0] via 172.25.0.86
                 is directly connected, Null0
#Hier ist was faul, denn da müsste eigentlich Vlan10 stehen, weil da ja /16 statt /12 genutzt wird und damit VLan10 über Null0 Priorität hat/haben müsste.
      82.0.0.0/32 is subnetted, 2 subnets #was diese IP samt Maske bedeute ist mir unklar.
C        82.139.xxx is directly connected, Dialer0
C        82.139.xxx is directly connected, Dialer0
S     172.16.0.0/12 is directly connected, Null0
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.0.0/16 is directly connected, Vlan1
L        172.16.0.1/32 is directly connected, Vlan1
      172.17.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.17.0.0/16 is directly connected, Vlan2
L        172.17.0.1/32 is directly connected, Vlan2
      172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.18.0.0/24 is directly connected, Vlan3
L        172.18.0.1/32 is directly connected, Vlan3
      172.25.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.25.0.0/16 is directly connected, Vlan10
L        172.25.0.1/32 is directly connected, Vlan10
S     192.168.0.0/16 is directly connected, Null0
router#

C        172.25.0.0/16 is directly connected, Vlan10
müsste ja Priorität haben gegenüber
S     172.16.0.0/12 is directly connected, Null0
Hat es auch in ca. 75% der Fälle. In den anderen aber nicht und dann gibt es einen Host unreachable.
Den habe ich bisher nur über ip debug icmp gesehen und noch nicht im Wireshark angeguckt.


ip route 10.0.0.0 255.0.0.0 Null0
ip route 10.0.0.0 255.0.0.0 172.25.0.86
Die Nullroute (ich habe das Netz vorher nicht genutzt und wenn immer kleinere Netze geroutet) hier war das Problem. Da die ne gleiche Präfixlänge haben, können die gleichwertig verwendet werden - das erklärt das "manchmal".

Irgendwann ist man betriebsblind und vergisst Dinge, die man vor Jahren konfiguriert hat dann leider nicht direkt in der Routingtabelle sieht, denn da kam in diesem Fall nur das Via dazu.
Member: aqui
aqui Apr 02, 2024 at 14:00:35 (UTC)
Goto Top
#was diese IP samt Maske bedeute ist mir unklar.
Du bekommst per PPPoE vom Provider vermutlich 2 Netze/Interfaces, kann das sein?! (sh ip int brie, sh ppp all) PPP ist immer P2P mit /32er Maske.
Mit dem gleichen 8er Präfix ist dann klar... Du siehst ja, deshalb hier immer der Appell nach den "Konfig Leichen" zu suchen! 😉
Mit anderen Worten: Es klappt jetzt wie es soll wenn man dich richtig versteht?!
Member: Windows10Gegner
Windows10Gegner Apr 02, 2024 at 14:48:14 (UTC)
Goto Top
Zitat von @aqui:

#was diese IP samt Maske bedeute ist mir unklar.
Du bekommst per PPPoE vom Provider vermutlich 2 Netze/Interfaces, kann das sein?! (sh ip int brie, sh ppp all) PPP ist immer P2P mit /32er Maske.

Nein. Auf dem Di0 ist eine IP mit /32 (das ist ja normal)

      82.0.0.0/32 is subnetted, 2 subnets
C        82.139.xx is directly connected, Dialer0 #meine IPv4
C        82.139.xx is directly connected, Dialer0 # IP vom PPP-Peer (BRAS)

Nur ist 82.0.0.0/32 komisch, denn um diese IP (ist ja kein Netz mehr) gibt es bei mir nicht. Ist das so ein seltsames Cisco-Konstrukt oder ein Anzeigefehler?
Mit anderen Worten: Es klappt jetzt wie es soll wenn man dich richtig versteht?!

Für IPv4 ja.
Member: aqui
aqui Apr 02, 2024 at 15:37:14 (UTC)
Goto Top
Ist das so ein seltsames Cisco-Konstrukt oder ein Anzeigefehler?
Gehört bei Cisco so. Ist einmal die IP des Transportnetzes was den PPPoE Tunnel selber transportiert und einmal die Tunnel IP. Siehst du mit sh int dialer 0 und sh ppp all.
https://ine.com/blog/2008-07-06-the-mystery-of-ppp-ipcp-mask-request-com ...
Member: Windows10Gegner
Windows10Gegner Apr 02, 2024 at 15:44:12 (UTC)
Goto Top
Dort sehe ich jeweils die Peer-IP. Das ist soweit klar.
Nur was hat es mit 82.0.0.0/32 is subnetted, 2 subnets
auf sich.
Wie soll man ein /32 noch subnetten?
Member: aqui
aqui Apr 02, 2024 at 16:14:00 (UTC)
Goto Top
Das muss mit deiner spezifischen Konfig etwas zu tun haben. Lässt sich hier auf einem 886er und 926er mit PPPoE nicht nachvollziehen:
Gateway of last resort is 62.144.231.7 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 62.144.231.7
S     10.0.0.0/8 [1/0] via 172.32.1.1
      62.0.0.0/32 is subnetted, 1 subnets
C        62.144.231.7 is directly connected, Dialer0
      91.0.0.0/32 is subnetted, 1 subnets
C        91.25.205.124 is directly connected, Dialer0 
Member: Windows10Gegner
Windows10Gegner Apr 02, 2024 at 17:33:02 (UTC)
Goto Top
      62.0.0.0/32 is subnetted, 1 subnets
Bei dir steht das ebenfalls.
Member: aqui
aqui Apr 02, 2024 at 19:07:34 (UTC)
Goto Top
Aber nur "ein" Subnetz, keine 2... 😉
Du siehst ja im o.a. Block wie "funny" das ist. Wenn du PPP debugst siehst du das die negotiatete Maske nix mit der angezeigten zu tun hat. Ist eine Cisco Marotte...
Member: aqui
aqui Apr 08, 2024 at 13:43:29 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?