5
Cisco S2S IPSec-VPN funktioniert erst nach Anlegen einer statischen Route
Hallo zusammen,
momentan beschäftige ich mich vermehrt mit Cisco und bastele gerade im Lab an einer Site-to-Site-VPN-Verbindung über IPSec IKEv1. Nichts kompliziertes, aber es hat mir den letzten Nerv geraubt. Mittlerweile läuft es, aber irgendwie kommt mir das komisch vor. Erst dachte ich, es würde an den Routern liegen - erste Versuche liefen mit ISR G2, lizenzpflichtig, aber alle Geräte haben eine Security-Lizenz - aber selbst bei ISR G1 hab ich es irgendwie nicht zum laufen gebracht. Vor ein paar Wochen hab ich für einen Interoperabilitätstest einen 871 rausgeholt und die VPN-Verbindung lief auf Anhieb.
Da das ganze im Lab läuft, ist es nur die absolute Minimalkonfig. Beide Router werden über mein LAN und nicht über das Internet verbunden, daher fehlen sehr viele sicherheitsrelevante Konfigurationen.
Wie man sieht, nichts besonderes. R2 hat die gleiche Konfig, aber im LAN dann 192.168.2.1/24 samt aller Anpassungen und die IPSec-Peer-IP ist auch entsprechend angepasst. Die Konfiguration läuft jetzt, was mich aber wundert, ist die Zeile ip route 192.168.2.0 255.255.255.0 FastEthernet0/1. Ich bin mir sicher, dass ich diese noch nie eingetragen habe und auch fast jede Anleitung im Netz hat diese Zeile nicht drin. Lass ich die Zeile weg, ist keine Kommunikation möglich. Wenn die Zeile fehlt, ich aber z.B. ein Endgerät auf der anderen Seite des Tunnels pinge, wird laut debug und show der Tunnel aufgebaut, nur es geht nichts durch.
Ich hab auch WAN-seitig einiges versucht. NAT komplett deaktiviert, statt statischer IP-Adresse und statischer Default-Route die Konfiguration per DHCP bezogen, Default-Route nicht auf die 10.27.1.1 sondern auf fa0/1.
Klar, jetzt läuft es und ich weiß auch wie, aber ich bin mir ganz sicher, dass ich diese Route nie eingetragen habe (und seit 10 Jahren hab ich immer mal wieder mit IPSec auf IOS zu tun) und dass es dennoch lief. Ist das ein Konfigurationsfehler oder bin ich einfach nur doof und alles ist in Ordnung? Mich wundert halt, dass fast alle Anleitungen diese statische Route ebenfalls nicht erwähnen, auch die beiden Anleitungen von @aqui nicht.
Beste Grüße
tikayevent
momentan beschäftige ich mich vermehrt mit Cisco und bastele gerade im Lab an einer Site-to-Site-VPN-Verbindung über IPSec IKEv1. Nichts kompliziertes, aber es hat mir den letzten Nerv geraubt. Mittlerweile läuft es, aber irgendwie kommt mir das komisch vor. Erst dachte ich, es würde an den Routern liegen - erste Versuche liefen mit ISR G2, lizenzpflichtig, aber alle Geräte haben eine Security-Lizenz - aber selbst bei ISR G1 hab ich es irgendwie nicht zum laufen gebracht. Vor ein paar Wochen hab ich für einen Interoperabilitätstest einen 871 rausgeholt und die VPN-Verbindung lief auf Anhieb.
Da das ganze im Lab läuft, ist es nur die absolute Minimalkonfig. Beide Router werden über mein LAN und nicht über das Internet verbunden, daher fehlen sehr viele sicherheitsrelevante Konfigurationen.
!
! Last configuration change at 20:14:56 UTC Sat Apr 21 2018
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
dot11 syslog
ip source-route
!
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.10
!
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
domain-name 1.zuhause.lab
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
!
!
license udi pid CISCO1841 sn FCZxxxxxxxxx
!
redundancy
!
!
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 3600
crypto isakmp key PreSharedKey address 10.27.1.144
!
!
crypto ipsec transform-set TS_R1-to-R2 esp-aes esp-sha-hmac
!
crypto map MAP_R1-to-R2 10 ipsec-isakmp
set peer 10.27.1.144
set transform-set TS_R1-to-R2
match address 100
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.27.1.173 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map MAP_R1-to-R2
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip route 0.0.0.0 0.0.0.0 10.27.1.1
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
!
ip access-list extended ACL_NAT_LAN-to-WAN
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended ACL_VPN_R1-to-R2
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip any any log
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
endWie man sieht, nichts besonderes. R2 hat die gleiche Konfig, aber im LAN dann 192.168.2.1/24 samt aller Anpassungen und die IPSec-Peer-IP ist auch entsprechend angepasst. Die Konfiguration läuft jetzt, was mich aber wundert, ist die Zeile ip route 192.168.2.0 255.255.255.0 FastEthernet0/1. Ich bin mir sicher, dass ich diese noch nie eingetragen habe und auch fast jede Anleitung im Netz hat diese Zeile nicht drin. Lass ich die Zeile weg, ist keine Kommunikation möglich. Wenn die Zeile fehlt, ich aber z.B. ein Endgerät auf der anderen Seite des Tunnels pinge, wird laut debug und show der Tunnel aufgebaut, nur es geht nichts durch.
Ich hab auch WAN-seitig einiges versucht. NAT komplett deaktiviert, statt statischer IP-Adresse und statischer Default-Route die Konfiguration per DHCP bezogen, Default-Route nicht auf die 10.27.1.1 sondern auf fa0/1.
Klar, jetzt läuft es und ich weiß auch wie, aber ich bin mir ganz sicher, dass ich diese Route nie eingetragen habe (und seit 10 Jahren hab ich immer mal wieder mit IPSec auf IOS zu tun) und dass es dennoch lief. Ist das ein Konfigurationsfehler oder bin ich einfach nur doof und alles ist in Ordnung? Mich wundert halt, dass fast alle Anleitungen diese statische Route ebenfalls nicht erwähnen, auch die beiden Anleitungen von @aqui nicht.
Beste Grüße
tikayevent
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371885
Url: https://administrator.de/contentid/371885
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Waren bei deinen bisherigen Aufbauten das Default Gateway und das Tunnel interface einfach immer das selbe?
Bei deinem jetzigen Aufbau hast du das Default Interface auf:
Aber deine Default Route geht auf eine andere IP
Die Zeile:
Sollte auch mit
Zum Erfolg führen.
Brammer
Waren bei deinen bisherigen Aufbauten das Default Gateway und das Tunnel interface einfach immer das selbe?
Bei deinem jetzigen Aufbau hast du das Default Interface auf:
interface FastEthernet0/1
ip address 10.27.1.173 255.255.255.0
ip address 10.27.1.173 255.255.255.0
Aber deine Default Route geht auf eine andere IP
ip route 0.0.0.0 0.0.0.0 10.27.2.1
Die Zeile:
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
Sollte auch mit
ip route 192.168.2.0 255.255.255.0 10.27.2.173
Zum Erfolg führen.
Brammer
Hallo @brammer,
ja, die Default-Route geht auf eine andere IP, auf die 10.27.1.1, da das mein Router im LAN in Richtung Internet ist. Aber selbst wenn ich die Default-Route auf fa0/1 statt auf den Next-Hop zeigen lasse, bekam ich nur einen Hinweis auf eine schlechte Performance, weil es kein PtP-Interface ist, aber keine VPN-Konnektivität.
Ja, Tunnel- und Default-WAN-Interface waren bei mir bisher deckungsgleich und sind es jetzt ja auch.
ja, die Default-Route geht auf eine andere IP, auf die 10.27.1.1, da das mein Router im LAN in Richtung Internet ist. Aber selbst wenn ich die Default-Route auf fa0/1 statt auf den Next-Hop zeigen lasse, bekam ich nur einen Hinweis auf eine schlechte Performance, weil es kein PtP-Interface ist, aber keine VPN-Konnektivität.
Ja, Tunnel- und Default-WAN-Interface waren bei mir bisher deckungsgleich und sind es jetzt ja auch.
Hallo,
Das sieht für mich aber anders aus...
Du hast eine Route auf
Und eine auf
Also 2 routen und damit auch 2 Interfaces.
Da sind doch zwei unterschiedliche Interfaces.
Oder?
Brammer
Ja, Tunnel- und Default-WAN-Interface waren
bei mir bisher deckungsgleich und sind es jetzt > ja auch.
bei mir bisher deckungsgleich und sind es jetzt > ja auch.
Das sieht für mich aber anders aus...
Du hast eine Route auf
ip route 0.0.0.0 0.0.0.0 10.27.2.1
Und eine auf
ip route 192.168.2.0 255.255.255.0 10.27.2.173
Also 2 routen und damit auch 2 Interfaces.
Da sind doch zwei unterschiedliche Interfaces.
Oder?
Brammer
Tut mir leid, aber ich weiß nicht, wo du die beiden zitierten Zeilen herholst.
Es gibt die Defaultroute, also
die über fa0/1 (Interface-IP 10.27.1.173/24) auf meinen Heimrouter zeigt und dann noch
die dafür nötig ist, damit die VPN-Verbindung läuft, mich aber ja verwundert, da ich eine solche Route bisher nie gesetzt habe, es aber dennoch ging.
10.27.2.irgendwas hab ich nirgendwo geschrieben.
Auf fa0/0 liegt das LAN mit 192.168.1.0/24 und 192.168.2.0/24 ist auf dem zweiten Router das LAN. Subinterfaces gibt es nicht. Somit ist das WAN nur auf fa0/1.
Es gibt die Defaultroute, also
ip route 0.0.0.0 0.0.0.0 10.27.1.1ip route 192.168.2.0 255.255.255.0 FastEthernet0/110.27.2.irgendwas hab ich nirgendwo geschrieben.
Auf fa0/0 liegt das LAN mit 192.168.1.0/24 und 192.168.2.0/24 ist auf dem zweiten Router das LAN. Subinterfaces gibt es nicht. Somit ist das WAN nur auf fa0/1.
Hallo tikayevent,
BB
Klar, jetzt läuft es und ich weiß auch wie, aber ich bin mir ganz sicher, dass ich diese Route nie eingetragen habe ...
Normalerweise reicht eine Defaultroute, die über das Interface geht. Dort "greift" dann die Security Policy und der Verbindungsaufbau wird eingeleitet. Ab welcher Version zusätzlich eine statische Route nötig ist (bezogen auf dein Testnetz), kann ich dir leider nicht sagen. Ich kann das Verhalten aber bestätigen, falls es dir etwas hilft.BB
