tikayevent
Goto Top

Cisco S2S IPSec-VPN funktioniert erst nach Anlegen einer statischen Route

Hallo zusammen,

momentan beschäftige ich mich vermehrt mit Cisco und bastele gerade im Lab an einer Site-to-Site-VPN-Verbindung über IPSec IKEv1. Nichts kompliziertes, aber es hat mir den letzten Nerv geraubt. Mittlerweile läuft es, aber irgendwie kommt mir das komisch vor. Erst dachte ich, es würde an den Routern liegen - erste Versuche liefen mit ISR G2, lizenzpflichtig, aber alle Geräte haben eine Security-Lizenz - aber selbst bei ISR G1 hab ich es irgendwie nicht zum laufen gebracht. Vor ein paar Wochen hab ich für einen Interoperabilitätstest einen 871 rausgeholt und die VPN-Verbindung lief auf Anhieb.

Da das ganze im Lab läuft, ist es nur die absolute Minimalkonfig. Beide Router werden über mein LAN und nicht über das Internet verbunden, daher fehlen sehr viele sicherheitsrelevante Konfigurationen.


!
! Last configuration change at 20:14:56 UTC Sat Apr 21 2018
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
dot11 syslog
ip source-route
!
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.10
!
ip dhcp pool LAN
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1 
 dns-server 192.168.1.1 
 domain-name 1.zuhause.lab
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
!
!
license udi pid CISCO1841 sn FCZxxxxxxxxx
!
redundancy
!
!
! 
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 5
 lifetime 3600
crypto isakmp key PreSharedKey address 10.27.1.144
!
!
crypto ipsec transform-set TS_R1-to-R2 esp-aes esp-sha-hmac 
!
crypto map MAP_R1-to-R2 10 ipsec-isakmp 
 set peer 10.27.1.144
 set transform-set TS_R1-to-R2 
 match address 100
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.27.1.173 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MAP_R1-to-R2
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip route 0.0.0.0 0.0.0.0 10.27.1.1
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
!
ip access-list extended ACL_NAT_LAN-to-WAN
 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended ACL_VPN_R1-to-R2
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny   ip any any log
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 login
 transport input all
!
scheduler allocate 20000 1000
end

Wie man sieht, nichts besonderes. R2 hat die gleiche Konfig, aber im LAN dann 192.168.2.1/24 samt aller Anpassungen und die IPSec-Peer-IP ist auch entsprechend angepasst. Die Konfiguration läuft jetzt, was mich aber wundert, ist die Zeile ip route 192.168.2.0 255.255.255.0 FastEthernet0/1. Ich bin mir sicher, dass ich diese noch nie eingetragen habe und auch fast jede Anleitung im Netz hat diese Zeile nicht drin. Lass ich die Zeile weg, ist keine Kommunikation möglich. Wenn die Zeile fehlt, ich aber z.B. ein Endgerät auf der anderen Seite des Tunnels pinge, wird laut debug und show der Tunnel aufgebaut, nur es geht nichts durch.

Ich hab auch WAN-seitig einiges versucht. NAT komplett deaktiviert, statt statischer IP-Adresse und statischer Default-Route die Konfiguration per DHCP bezogen, Default-Route nicht auf die 10.27.1.1 sondern auf fa0/1.

Klar, jetzt läuft es und ich weiß auch wie, aber ich bin mir ganz sicher, dass ich diese Route nie eingetragen habe (und seit 10 Jahren hab ich immer mal wieder mit IPSec auf IOS zu tun) und dass es dennoch lief. Ist das ein Konfigurationsfehler oder bin ich einfach nur doof und alles ist in Ordnung? Mich wundert halt, dass fast alle Anleitungen diese statische Route ebenfalls nicht erwähnen, auch die beiden Anleitungen von @aqui nicht.

Beste Grüße

tikayevent

Content-ID: 371885

Url: https://administrator.de/forum/cisco-s2s-ipsec-vpn-funktioniert-erst-nach-anlegen-einer-statischen-route-371885.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

brammer
brammer 22.04.2018 um 08:55:01 Uhr
Goto Top
Hallo,

Waren bei deinen bisherigen Aufbauten das Default Gateway und das Tunnel interface einfach immer das selbe?
Bei deinem jetzigen Aufbau hast du das Default Interface auf:

interface FastEthernet0/1
ip address 10.27.1.173 255.255.255.0 

Aber deine Default Route geht auf eine andere IP

ip route 0.0.0.0 0.0.0.0 10.27.2.1

Die Zeile:
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1

Sollte auch mit

ip route 192.168.2.0 255.255.255.0 10.27.2.173

Zum Erfolg führen.

Brammer
tikayevent
tikayevent 22.04.2018 um 09:26:11 Uhr
Goto Top
Hallo @brammer,

ja, die Default-Route geht auf eine andere IP, auf die 10.27.1.1, da das mein Router im LAN in Richtung Internet ist. Aber selbst wenn ich die Default-Route auf fa0/1 statt auf den Next-Hop zeigen lasse, bekam ich nur einen Hinweis auf eine schlechte Performance, weil es kein PtP-Interface ist, aber keine VPN-Konnektivität.

Ja, Tunnel- und Default-WAN-Interface waren bei mir bisher deckungsgleich und sind es jetzt ja auch.
brammer
brammer 22.04.2018 um 13:37:29 Uhr
Goto Top
Hallo,

Ja, Tunnel- und Default-WAN-Interface waren
bei mir bisher deckungsgleich und sind es jetzt > ja auch.

Das sieht für mich aber anders aus...
Du hast eine Route auf

ip route 0.0.0.0 0.0.0.0 10.27.2.1

Und eine auf

ip route 192.168.2.0 255.255.255.0 10.27.2.173

Also 2 routen und damit auch 2 Interfaces.
Da sind doch zwei unterschiedliche Interfaces.
Oder?

Brammer
tikayevent
tikayevent 22.04.2018 um 13:53:48 Uhr
Goto Top
Tut mir leid, aber ich weiß nicht, wo du die beiden zitierten Zeilen herholst.

Es gibt die Defaultroute, also
ip route 0.0.0.0 0.0.0.0 10.27.1.1
die über fa0/1 (Interface-IP 10.27.1.173/24) auf meinen Heimrouter zeigt und dann noch
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
die dafür nötig ist, damit die VPN-Verbindung läuft, mich aber ja verwundert, da ich eine solche Route bisher nie gesetzt habe, es aber dennoch ging.

10.27.2.irgendwas hab ich nirgendwo geschrieben.

Auf fa0/0 liegt das LAN mit 192.168.1.0/24 und 192.168.2.0/24 ist auf dem zweiten Router das LAN. Subinterfaces gibt es nicht. Somit ist das WAN nur auf fa0/1.
BitBurg
BitBurg 23.04.2018 aktualisiert um 10:45:04 Uhr
Goto Top
Hallo tikayevent,
Klar, jetzt läuft es und ich weiß auch wie, aber ich bin mir ganz sicher, dass ich diese Route nie eingetragen habe ...
Normalerweise reicht eine Defaultroute, die über das Interface geht. Dort "greift" dann die Security Policy und der Verbindungsaufbau wird eingeleitet. Ab welcher Version zusätzlich eine statische Route nötig ist (bezogen auf dein Testnetz), kann ich dir leider nicht sagen. Ich kann das Verhalten aber bestätigen, falls es dir etwas hilft.

BB