17
Cisco IPSec L2TP VPN Failed to find peer index node to update peer info list
Hallo zusammen!
Ich bin gerade dabei, einen Cisco-Router als VPN-Lösung zu testen.
Client ist NetworkManager-l2tp, der natürlich zusätzlich mit IPSec konfiguriert ist.
Was könnte hier das Problem sein?
Auffallend sind
Gruß
Marco
Ich bin gerade dabei, einen Cisco-Router als VPN-Lösung zu testen.
aaa new-model
aaa authentication ppp default local
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
crypto keyring vpn_keys
pre-shared-key address 0.0.0.0 0.0.0.0 key Sagichnicht
pre-shared-key address ipv6 ::/0 key Sagichnicht
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 14
!
crypto isakmp policy 2
encr aes 256
authentication pre-share
group 2
crypto isakmp keepalive 10
crypto isakmp profile dynip
keyring vpn_keys
match identity address 0.0.0.0
match identity address ipv6 ::/0
!
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac
mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map dynmap 10
set nat demux
set transform-set L2TP-1 L2TP-2
set isakmp-profile dynip
!
!
crypto map vpn_cisco 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Loopback1
ip address 172.31.255.1 255.255.255.0
ipv6 address 2001:db8::1/64
crypto map vpn_cisco
!
interface Virtual-Template1
description L2TP Dialin VPN
ip unnumbered Loopback1
ip nat inside
ip virtual-reassembly in
peer default ip address pool l2tp-pool
peer default ipv6 pool l2tp-pool-ipv6
ipv6 unnumbered Loopback1
ppp authentication ms-chap-v2
ip local pool l2tp-pool 172.30.0.1 172.30.0.254
ipv6 local pool l2tp-pool-ipv6 2001:db8::/56 62Client ist NetworkManager-l2tp, der natürlich zusätzlich mit IPSec konfiguriert ist.
Mar 27 15:55:24.474: ISAKMP-PAK: (0):received packet from 172.17.1.2 dport 500 sport 500 Global (N) NEW SA
Mar 27 15:55:24.474: ISAKMP: (0):Created a peer struct for 172.17.1.2, peer port 500
Mar 27 15:55:24.474: ISAKMP: (0):New peer created peer = 0x31C4378 peer_handle = 0x8000002A
Mar 27 15:55:24.474: ISAKMP: (0):Locking peer struct 0x31C4378, refcount 1 for crypto_isakmp_process_block
Mar 27 15:55:24.474: ISAKMP: (0):local port 500, remote port 500
Mar 27 15:55:24.474: ISAKMP: (0):insert sa successfully sa = 13ABDE4C
Mar 27 15:55:24.474: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:24.474: ISAKMP: (0):Old State = IKE_READY New State = IKE_R_MM1
Mar 27 15:55:24.474: ISAKMP: (0):processing SA payload. message ID = 0
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID seems Unity/DPD but major 215 mismatch
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is XAUTH
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is DPD
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):processing IKE frag vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):Support for IKE Fragmentation not enabled
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is NAT-T RFC 3947
Mar 27 15:55:24.474: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
Mar 27 15:55:24.474: ISAKMP: (0):vendor ID is NAT-T v2
Mar 27 15:55:24.474: ISAKMP: (0):found peer pre-shared key matching 172.17.1.2
Mar 27 15:55:24.474: ISAKMP: (0):local preshared key found
Mar 27 15:55:24.474: ISAKMP: (0):Scanning profiles for xauth ... dynip
Mar 27 15:55:24.474: ISAKMP: (0):Checking ISAKMP transform 1 against priority 1 policy
Mar 27 15:55:24.474: ISAKMP: (0): encryption AES-CBC
Mar 27 15:55:24.474: ISAKMP: (0): keylength of 256
Mar 27 15:55:24.474: ISAKMP: (0): hash SHA256
Mar 27 15:55:24.474: ISAKMP: (0): default group 14
Mar 27 15:55:24.474: ISAKMP: (0): auth pre-share
Mar 27 15:55:24.474: ISAKMP: (0): life type in seconds
Mar 27 15:55:24.474: ISAKMP: (0): life duration (basic) of 10800
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
Mar 27 15:55:24.474: ISAKMP: (0):Checking ISAKMP transform 2 against priority 1 policy
Mar 27 15:55:24.474: ISAKMP: (0): encryption AES-CBC
Mar 27 15:55:24.474: ISAKMP: (0): keylength of 256
Mar 27 15:55:24.474: ISAKMP: (0): hash SHA256
Mar 27 15:55:24.474: ISAKMP: (0): default group 5
Mar 27 15:55:24.474: ISAKMP: (0): auth pre-share
Mar 27 15:55:24.474: ISAKMP: (0): life type in seconds
Mar 27 15:55:24.474: ISAKMP: (0): life duration (basic) of 10800
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
Mar 27 15:55:24.474: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
Mar 27 15:55:24.474: ISAKMP: (0):Checking ISAKMP transform 3 against priority 1 policy
Mar 27 15:55:24.474: ISAKMP: (0): encryption AES-CBC
Mar 27 15:55:24.474: ISAKMP: (0): keylength of 256
Mar 27 15:55:24.474: ISAKMP: (0): hash SHA256
Mar 27 15:55:24.474: ISAKMP: (0): default group 2
Mar 27 15:55:24.474: ISAKMP: (0): auth pre-share
Mar 27 15:55:24.474: ISAKMP: (0): life type in seconds
Mar 27 15:55:24.478: ISAKMP: (0): life duration (basic) of 10800
Mar 27 15:55:24.478: ISAKMP-ERROR: (0):Hash algorithm offered does not match policy!
Mar 27 15:55:24.478: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
Mar 27 15:55:24.478: ISAKMP: (0):Checking ISAKMP transform 4 against priority 1 policy
Mar 27 15:55:24.478: ISAKMP: (0): encryption AES-CBC
Mar 27 15:55:24.478: ISAKMP: (0): keylength of 256
Mar 27 15:55:24.478: ISAKMP: (0): hash SHA
Mar 27 15:55:24.478: ISAKMP: (0): default group 14
Mar 27 15:55:24.478: ISAKMP: (0): auth pre-share
Mar 27 15:55:24.478: ISAKMP: (0): life type in seconds
Mar 27 15:55:24.478: ISAKMP: (0): life duration (basic) of 10800
Mar 27 15:55:24.478: ISAKMP: (0):atts are acceptable. Next payload is 3
Mar 27 15:55:24.478: ISAKMP: (0):Acceptable atts:actual life: 86400
Mar 27 15:55:24.478: ISAKMP: (0):Acceptable atts:life: 0
Mar 27 15:55:24.478: ISAKMP: (0):Basic life_in_seconds:10800
Mar 27 15:55:24.478: ISAKMP: (0):Returning Actual lifetime: 10800
Mar 27 15:55:24.478: ISAKMP: (0):Started lifetime timer: 10800.
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID seems Unity/DPD but major 215 mismatch
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is XAUTH
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is DPD
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):processing IKE frag vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):Support for IKE Fragmentation not enabled
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is NAT-T RFC 3947
Mar 27 15:55:24.478: ISAKMP: (0):processing vendor id payload
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
Mar 27 15:55:24.478: ISAKMP: (0):vendor ID is NAT-T v2
Mar 27 15:55:24.478: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Mar 27 15:55:24.478: ISAKMP: (0):Old State = IKE_R_MM1 New State = IKE_R_MM1
Mar 27 15:55:24.478: ISAKMP: (0):constructed NAT-T vendor-rfc3947 ID
Mar 27 15:55:24.478: ISAKMP-PAK: (0):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
Mar 27 15:55:24.478: ISAKMP: (0):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.478: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Mar 27 15:55:24.478: ISAKMP: (0):Old State = IKE_R_MM1 New State = IKE_R_MM2
Mar 27 15:55:24.482: ISAKMP-PAK: (0):received packet from 172.17.1.2 dport 500 sport 500 Global (R) MM_SA_SETUP
Mar 27 15:55:24.482: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:24.482: ISAKMP: (0):Old State = IKE_R_MM2 New State = IKE_R_MM3
Mar 27 15:55:24.482: ISAKMP: (0):processing KE payload. message ID = 0
Mar 27 15:55:24.498: ISAKMP: (0):processing NONCE payload. message ID = 0
Mar 27 15:55:24.502: ISAKMP: (0):found peer pre-shared key matching 172.17.1.2
Mar 27 15:55:24.502: ISAKMP: (2031):received payload type 20
Mar 27 15:55:24.502: ISAKMP: (2031):His hash no match - this node outside NAT
Mar 27 15:55:24.502: ISAKMP: (2031):received payload type 20
Mar 27 15:55:24.502: ISAKMP: (2031):No NAT Found for self or peer
Mar 27 15:55:24.502: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Mar 27 15:55:24.502: ISAKMP: (2031):Old State = IKE_R_MM3 New State = IKE_R_MM3
Mar 27 15:55:24.502: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Mar 27 15:55:24.502: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.502: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Mar 27 15:55:24.502: ISAKMP: (2031):Old State = IKE_R_MM3 New State = IKE_R_MM4
Mar 27 15:55:24.514: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) MM_KEY_EXCH
Mar 27 15:55:24.514: ISAKMP: (2031):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:24.514: ISAKMP: (2031):Old State = IKE_R_MM4 New State = IKE_R_MM5
Mar 27 15:55:24.514: ISAKMP: (2031):processing ID payload. message ID = 0
Mar 27 15:55:24.514: ISAKMP: (2031):ID payload
next-payload : 8
type : 1
Mar 27 15:55:24.514: ISAKMP: (2031): address : 172.17.1.2
Mar 27 15:55:24.514: ISAKMP: (2031): protocol : 0
port : 0
length : 12
Mar 27 15:55:24.514: ISAKMP: (0):peer matches dynip profile
Mar 27 15:55:24.514: ISAKMP: (2031):Found ADDRESS key in keyring vpn_keys
Mar 27 15:55:24.514: ISAKMP: (2031):processing HASH payload. message ID = 0
Mar 27 15:55:24.514: ISAKMP: (2031):SA authentication status:
authenticated
Mar 27 15:55:24.514: ISAKMP: (2031):SA has been authenticated with 172.17.1.2
Mar 27 15:55:24.514: ISAKMP: (0):Trying to insert a peer 172.31.255.1/172.17.1.2/500/,
Mar 27 15:55:24.514: ISAKMP: (0): and inserted successfully 31C4378.
Mar 27 15:55:24.514: ISAKMP-AAA: (2031):Accounting is not enabled
Mar 27 15:55:24.514: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Mar 27 15:55:24.514: ISAKMP: (2031):Old State = IKE_R_MM5 New State = IKE_R_MM5
Mar 27 15:55:24.514: ISAKMP: (2031):SA is doing
Mar 27 15:55:24.514: ISAKMP: (2031):pre-shared key authentication using id type ID_IPV4_ADDR
Mar 27 15:55:24.514: ISAKMP: (2031):ID payload
next-payload : 8
type : 1
Mar 27 15:55:24.514: ISAKMP: (2031): address : 172.31.255.1
Mar 27 15:55:24.514: ISAKMP: (2031): protocol : 17
port : 500
length : 12
Mar 27 15:55:24.514: ISAKMP: (2031):Total payload length: 12
Mar 27 15:55:24.514: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Mar 27 15:55:24.514: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.518: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Mar 27 15:55:24.518: ISAKMP: (2031):Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE
Mar 27 15:55:24.518: ISAKMP: (2031):IKE_DPD is enabled, initializing timers
Mar 27 15:55:24.518: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Mar 27 15:55:24.518: ISAKMP: (2031):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
Mar 27 15:55:24.518: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE
Mar 27 15:55:24.518: ISAKMP: (2031):set new node 440490065 to QM_IDLE
Mar 27 15:55:24.518: ISAKMP: (2031):processing HASH payload. message ID = 440490065
Mar 27 15:55:24.518: ISAKMP: (2031):processing SA payload. message ID = 440490065
Mar 27 15:55:24.518: ISAKMP: (2031):Checking IPSec proposal 1
Mar 27 15:55:24.518: ISAKMP: (2031):transform 1, ESP_AES
Mar 27 15:55:24.518: ISAKMP: (2031): attributes in transform:
Mar 27 15:55:24.518: ISAKMP: (2031): key length is 256
Mar 27 15:55:24.518: ISAKMP: (2031): authenticator is HMAC-SHA
Mar 27 15:55:24.518: ISAKMP: (2031): encaps is 2 (Transport)
Mar 27 15:55:24.518: ISAKMP: (2031): SA life type in seconds
Mar 27 15:55:24.518: ISAKMP: (2031): SA life duration (basic) of 3600
Mar 27 15:55:24.518: ISAKMP: (2031):atts are acceptable.
Mar 27 15:55:24.518: ISAKMP: (2031):Checking IPSec proposal 1
Mar 27 15:55:24.518: ISAKMP: (2031):transform 2, ESP_AES
Mar 27 15:55:24.518: ISAKMP: (2031): attributes in transform:
Mar 27 15:55:24.518: ISAKMP: (2031): key length is 128
Mar 27 15:55:24.518: ISAKMP: (2031): authenticator is HMAC-SHA
Mar 27 15:55:24.518: ISAKMP: (2031): encaps is 2 (Transport)
Mar 27 15:55:24.518: ISAKMP: (2031): SA life type in seconds
Mar 27 15:55:24.518: ISAKMP: (2031): SA life duration (basic) of 3600
Mar 27 15:55:24.518: ISAKMP: (2031):atts are acceptable.
Mar 27 15:55:24.518: ISAKMP: (2031):Checking IPSec proposal 1
Mar 27 15:55:24.518: ISAKMP: (2031):transform 3, ESP_3DES
Mar 27 15:55:24.518: ISAKMP: (2031): attributes in transform:
Mar 27 15:55:24.518: ISAKMP: (2031): authenticator is HMAC-SHA
Mar 27 15:55:24.518: ISAKMP: (2031): encaps is 2 (Transport)
Mar 27 15:55:24.522: ISAKMP: (2031): SA life type in seconds
Mar 27 15:55:24.522: ISAKMP: (2031): SA life duration (basic) of 3600
Mar 27 15:55:24.522: ISAKMP: (2031):atts are acceptable.
Mar 27 15:55:24.522: IPSEC(validate_proposal_request): proposal part #1
Mar 27 15:55:24.522: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= 172.31.255.1:0, remote= 172.17.1.2:0,
local_proxy= 172.31.255.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0,
protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Transport),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Mar 27 15:55:24.522: (ipsec_process_proposal)Map Accepted: dynmap, 10
Mar 27 15:55:24.522: ISAKMP: (2031):processing NONCE payload. message ID = 440490065
Mar 27 15:55:24.522: ISAKMP: (2031):processing ID payload. message ID = 440490065
Mar 27 15:55:24.522: ISAKMP: (2031):processing ID payload. message ID = 440490065
Mar 27 15:55:24.522: ISAKMP: (2031):QM Responder gets spi
Mar 27 15:55:24.522: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Mar 27 15:55:24.522: ISAKMP: (2031):Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE
Mar 27 15:55:24.522: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
Mar 27 15:55:24.522: ISAKMP: (2031):Old State = IKE_QM_SPI_STARVE New State = IKE_QM_IPSEC_INSTALL_AWAIT
Mar 27 15:55:24.522: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:24.522: IPSEC(crypto_ipsec_create_ipsec_sas): Map found dynmap, 10
Mar 27 15:55:24.522: IPSEC(get_old_outbound_sa_for_peer): No outbound SA found for peer 2BA90F8
Mar 27 15:55:24.522: IPSEC(create_sa): sa created,
(sa) sa_dest= 172.31.255.1, sa_proto= 50,
sa_spi= 0x8DC68B0E(2378599182),
sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 41
sa_lifetime(k/sec)= (4608000/3600),
(identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
local_proxy= 172.31.255.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0
Mar 27 15:55:24.522: IPSEC(create_sa): sa created,
(sa) sa_dest= 172.17.1.2, sa_proto= 50,
sa_spi= 0xC4AA2A03(3299486211),
sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 42
sa_lifetime(k/sec)= (4608000/3600),
(identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
local_proxy= 172.31.255.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0
**Mar 27 15:55:24.526: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list**
Mar 27 15:55:24.526: ISAKMP: (2031):Received IPSec Install callback... proceeding with the negotiation
Mar 27 15:55:24.526: ISAKMP: (2031):Successfully installed IPSEC SA (SPI:0x8DC68B0E) on Loopback1
Mar 27 15:55:24.526: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) QM_IDLE
Mar 27 15:55:24.526: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:24.526: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_FROM_IPSEC, IPSEC_INSTALL_DONE
Mar 27 15:55:24.526: ISAKMP: (2031):Old State = IKE_QM_IPSEC_INSTALL_AWAIT New State = IKE_QM_R_QM2
Mar 27 15:55:24.530: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE
Mar 27 15:55:24.530: ISAKMP: (2031):deleting node 440490065 error FALSE reason "QM done (await)"
Mar 27 15:55:24.530: ISAKMP: (2031):Node 440490065, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Mar 27 15:55:24.530: ISAKMP: (2031):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE
Mar 27 15:55:24.530: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:24.530: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
Mar 27 15:55:24.530: IPSEC: Expand action denied, notify RP
Mar 27 15:55:40.781: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE
Mar 27 15:55:40.781: ISAKMP: (2031):set new node 1733296464 to QM_IDLE
Mar 27 15:55:40.781: ISAKMP: (2031):processing HASH payload. message ID = 1733296464
Mar 27 15:55:40.781: ISAKMP: (2031):processing DELETE payload. message ID = 1733296464
Mar 27 15:55:40.781: ISAKMP: (2031):peer does not do paranoid keepalives.
Mar 27 15:55:40.781: ISAKMP: (2031):Enqueued KEY_MGR_DELETE_SAS for IPSEC SA (SPI:0xC4AA2A03)
Mar 27 15:55:40.781: ISAKMP: (2031):deleting node 1733296464 error FALSE reason "Informational (in) state 1"
Mar 27 15:55:40.781: ISAKMP-PAK: (2031):received packet from 172.17.1.2 dport 500 sport 500 Global (R) QM_IDLE
Mar 27 15:55:40.781: ISAKMP: (2031):set new node 201626634 to QM_IDLE
Mar 27 15:55:40.781: ISAKMP: (2031):processing HASH payload. message ID = 201626634
Mar 27 15:55:40.781: ISAKMP: (2031):processing DELETE payload. message ID = 201626634
Mar 27 15:55:40.781: ISAKMP: (2031):peer does not do paranoid keepalives.
Mar 27 15:55:40.781: ISAKMP: (2031):deleting SA reason "No reason" state (R) QM_IDLE (peer 172.17.1.2)
Mar 27 15:55:40.781: ISAKMP: (2031):deleting node 201626634 error FALSE reason "Informational (in) state 1"
Mar 27 15:55:40.781: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:40.781: IDB is NULL : in crypto_ipsec_key_engine_delete_sas (), 5502
Mar 27 15:55:40.781: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
Mar 27 15:55:40.781: IPSEC: still in use sa: 0x12F4C918
Mar 27 15:55:40.781: IPSEC(key_engine_delete_sas): delete SA with spi 0xC4AA2A03 proto 50 for 172.17.1.2
Mar 27 15:55:40.781: IPSEC(delete_sa): deleting SA,
(sa) sa_dest= 172.31.255.1, sa_proto= 50,
sa_spi= 0x8DC68B0E(2378599182),
sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 41
sa_lifetime(k/sec)= (4608000/3600),
(identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
local_proxy= 172.31.255.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0
Mar 27 15:55:40.781: IPSEC(delete_sa): deleting SA,
(sa) sa_dest= 172.17.1.2, sa_proto= 50,
sa_spi= 0xC4AA2A03(3299486211),
sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 42
sa_lifetime(k/sec)= (4608000/3600),
(identity) local= 172.31.255.1:0, remote= 172.17.1.2:0,
local_proxy= 172.31.255.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0
Mar 27 15:55:40.781: IPSEC(send_delete_notify_kmi): not sending KEY_ENGINE_DELETE_SAS
Mar 27 15:55:40.781: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list
Mar 27 15:55:40.781: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:55:40.785: IPSec: Key engine got a KEY_MGR_CHECK_MORE_SAS message
Mar 27 15:55:40.785: ISAKMP (2031): IPSec has no more SA's with this peer. Won't keepalive phase 1.
Mar 27 15:55:40.785: ISAKMP: (2031):set new node -860358469 to QM_IDLE
Mar 27 15:55:40.785: ISAKMP-PAK: (2031):sending packet to 172.17.1.2 my_port 500 peer_port 500 (R) QM_IDLE
Mar 27 15:55:40.785: ISAKMP: (2031):Sending an IKE IPv4 Packet.
Mar 27 15:55:40.785: ISAKMP: (2031):purging node -860358469
Mar 27 15:55:40.785: ISAKMP: (2031):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Mar 27 15:55:40.785: ISAKMP: (2031):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA
Mar 27 15:55:40.785: ISAKMP: (2031):deleting SA reason "No reason" state (R) QM_IDLE (peer 172.17.1.2)
Mar 27 15:55:40.785: ISAKMP: (0):Unlocking peer struct 0x31C4378 for isadb_mark_sa_deleted(), count 0
Mar 27 15:55:40.785: ISAKMP: (2031):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Mar 27 15:55:40.785: ISAKMP: (2031):Old State = IKE_DEST_SA New State = IKE_DEST_SA
Mar 27 15:55:40.785: IPSEC(ident_delete_notify_kmi): Failed to send KEY_ENG_DELETE_SAS
Mar 27 15:55:40.785: IPSEC(ident_update_final_flow_stats): Collect Final Stats and update MIB
IPSEC get IKMP peer index from peer 0x2BA90F8 ikmp handle 0x8000002A
IPSEC IKMP peer index 0
[ident_update_final_flow_stats] : Flow delete complete event received for flow id 0x14000029,peer index 0
Mar 27 15:55:40.789: ISAKMP-ERROR: (0):crypto_ikmp_dpd_refcount_zero: Freeing dpd profile_name dynip
Mar 27 15:55:40.789: ISAKMP: (0):Deleting peer node by peer_reap for 172.17.1.2: 31C4378
Mar 27 15:55:40.789: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 15:56:14.528: ISAKMP: (2031):purging node 440490065
Mar 27 15:56:30.779: ISAKMP: (2031):purging node 1733296464
Mar 27 15:56:30.779: ISAKMP: (2031):purging node 201626634
Mar 27 15:56:40.783: ISAKMP: (2031):purging SA., sa=13ABDE4C, delme=13ABDE4CAuffallend sind
**Mar 27 15:55:24.526: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list**
Mar 27 15:55:24.530: IPSEC: Expand action denied, notify RPGruß
Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 94007929557
Url: https://administrator.de/contentid/94007929557
Printed on: April 27, 2024 at 06:04 o'clock
17 Comments
Latest comment
Du hast vermutlich beim Lesen des Tutorials die 👓 vergessen und deshalb mehrere grobe Kardinalsfehler begangen die Ursache deines Scheiterns sind:
Ein wasserdicht funktionierendes Setup sieht folgendermaßen aus:
Das IPv6 Adress Pooling erfordert auch noch etwas Finetuning:
https://www.cisco.com/c/de_de/support/docs/dial-access/virtual-private-d ...
Im Zweifel das Template interface erstmal nur mit v4 laufen lassen um das wasserdicht zu testen. Ggf. muss man dort mit DHCPv6 arbeiten. Für v6 hatte ich das noch nicht getestet.
Fazit:
Brille auf und korrigiere das wie im Tutorial beschrieben, dann klappt das auch sofort! 😉
- Irgendwo fehlt dir der L2TP User/Pass Eintrag?! Bedenke das du das Password NICHT per Scrypt verschlüsseln darfst das supportet PPP derzeit noch nicht auf dem Cisco.
- Die Crypto Map ist fälschlicherweise am Loopback Interface gemappt! Sie gehört natürlich immer auf das Interface wo die remoten VPN Clients den Router erreichen. In der Regel ist das das WAN/Internet Interface (Dialer etc.)
- Das Loopback IP Netz vergibt die VPN Client IPs aber bei dir stimmt das IPv4 Lookback IP Netz nicht mit dem dazu korrespondierenden Adress Pool überein. Außerdem überschneidet dein Pool Adressbereich das Loopback Interface selber (doppelte Adressen!)
Ein wasserdicht funktionierendes Setup sieht folgendermaßen aus:
aaa new-model
aaa authentication ppp L2TP_VPN local
aaa authorization network default local
!
vpdn enable
!
vpdn-group L2TP
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
username l2tpuser privilege 0 password Geheim123!
!
crypto keyring VPNKEYS
pre-shared-key address 0.0.0.0 0.0.0.0 key Sagichnicht
pre-shared-key address ipv6 ::/0 key Sagichnicht
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
!
crypto isakmp policy 12
encr aes 256
authentication pre-share
group 2
!
crypto isakmp keepalive 30 periodic
!
crypto isakmp profile DYNIP
description VPNs mit dyn. IP
keyring VPNKEYS
match identity address 0.0.0.0
match identity address ipv6 ::/0
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac
mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac
mode transport
!
crypto dynamic-map DYNMAP 10
description L2TP Client VPN
set nat demux
set transform-set L2TP-1 L2TP-2
set isakmp-profile DYNIP
!
crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
!
interface Loopback1
description Loopback for L2TP Clients
ip address 172.31.255.1 255.255.255.0
ipv6 address 2001:db8::1/64
!
interface xyz
description WAN Port Internet
crypto map VPNCISCO
!
interface Virtual-Template1
description L2TP Client VPN
ip unnumbered Loopback1
peer default ip address pool L2TP-POOL
ppp authentication ms-chap-v2 L2TP_VPN
!
ip local pool L2TP-POOL 172.31.255.100 172.31.255.200
ipv6 local pool L2TP-POOL-IPv6 2001:db8::/56 64 https://www.cisco.com/c/de_de/support/docs/dial-access/virtual-private-d ...
Im Zweifel das Template interface erstmal nur mit v4 laufen lassen um das wasserdicht zu testen. Ggf. muss man dort mit DHCPv6 arbeiten. Für v6 hatte ich das noch nicht getestet.
Fazit:
Brille auf und korrigiere das wie im Tutorial beschrieben, dann klappt das auch sofort! 😉
Zitat von @aqui:
- Irgendwo fehlt dir der L2TP User/Pass Eintrag?! Bedenke das du das Password NICHT per Scrypt verschlüsseln darfst das supportet PPP derzeit noch nicht auf dem Cisco.
Ich hatte das anfangs mit default statt L2TP_VPN und dem eh schon bestehenden admin probiert.
War aber scheinbar nicht die Ursache. Auch das durch service password-encryption verschlüsselte Kennwort scheint vorerst nicht die Ursache gewesen zu sein.
* Die Crypto Map ist fälschlicherweise am Loopback Interface gemappt! Sie gehört natürlich immer auf das Interface wo die remoten VPN Clients den Router erreichen. In der Regel ist das das WAN/Internet Interface (Dialer etc.)
Ich hatte das gestern intern getestet und daher Loopback gewählt. Warum ist das die Ursache?
::/0 und 0.0.0.0 mappen doch eh alles.
Ich habe die nun am Dialer und da gab es im Debug bereits bei der Einrichtung komische Dinge:
router(config)#no crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#
Mar 28 10:33:53.039: setting dynamic link status! map is not discover
router(config-if)#crypto map VPNCISCO
router(config-if)#k
Mar 28 10:36:29.345: IPSEC: Expand action denied, discard or forward packet.* Das Loopback IP Netz vergibt die VPN Client IPs aber bei dir stimmt das IPv4 Lookback IP Netz nicht mit dem dazu korrespondierenden Adress Pool überein. Außerdem überschneidet dein Pool Adressbereich das Loopback Interface selber (doppelte Adressen!)
Das ist nun korrigiert, wobei es ja gar nicht so weit kam.
Die Map macht aktuell Ärger (Client von außen über Di0)
Mar 28 11:49:41.055: map_db_check_isakmp_profile profile did not match,
ike passed profile : NULL,
map_ike_profile: DYNIP,
head_ike_profile: NULL
Mar 28 11:49:41.055: map_db_check_isakmp_profile profile did not match,
ike passed profile : NULL,
map_ike_profile: DYNIP,
head_ike_profile: NULL
Mar 28 11:49:41.055: map_db_find_best did not find matching map
Mar 28 11:49:41.055: ISAKMP-ERROR: (2051):IPSec policy invalidated proposal with error 32Aktuelle gekürzte Konfiguraiton
aaa new-model
aaa authentication login default local
aaa authentication ppp L2TP_VPN local
aaa authorization console
aaa authorization exec default local
aaa authorization network default local
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
username vpnuser privilege 0 password 0 xyz
crypto keyring VPNKEYS
pre-shared-key address 0.0.0.0 0.0.0.0 key xyz
pre-shared-key address ipv6 ::/0 key xyz
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
!
crypto isakmp policy 12
encr aes 256
authentication pre-share
group 2
crypto isakmp keepalive 30 periodic
crypto isakmp profile DYNIP
description VPNs mit dyn. IP
keyring VPNKEYS
match identity address 0.0.0.0
match identity address ipv6 ::/0
!
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac
mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map DYNMAP 10
description L2TP Client VPN
set nat demux
set transform-set L2TP-1 L2TP-2
set isakmp-profile DYNIP
!
crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
!
interface Loopback1
ip address 172.31.255.1 255.255.255.0
!
interface Dialer0
crypto map VPNCISCO
interface Virtual-Template1
description L2TP Client VPN
ip unnumbered Loopback1
peer default ip address pool L2TP-POOL
ppp authentication ms-chap-v2 L2TP_VPN
ip local pool L2TP-POOL 172.31.255.100 172.31.255.200IPv6 ist jetzt für den Tunnel gar nicht eingerichtet, der Einfachheit halber mache ich das auch erst, wenn der Rest läuft.
...der Einfachheit halber mache ich das auch erst, wenn der Rest läuft.
Sehr vernünftig aber dann solltest du es besser auch aus dem Keyring und dem Profil entfernen!Ich habe die nun am Dialer und da gab es im Debug bereits bei der Einrichtung komische Dinge:
Da stimmt irgendetwas mit der Map und/oder Profil Nomenklatur nicht. Beachte das der Cisco hier sehr genau zw. Groß- und Kleinschreibung bei den zugewiesenen Namen unterscheidet!Möglich auch das du noch "Konfig Leichen" in der Konfig stehen hast die das bewirken. Entferne alles was andere Map und Profilnamen hat die nicht mehr gelten!!
Diese Fehlermeldung darf so NICHT erscheinen wenn du die Map auf dem Dialer Interface zuweist und deutet immer auf einen Konfig Fehler hin.
Korrekt ist:
router(config-if)#crypto map VPNCISCO
*Mar 28 2024 19:37:41 CET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
router(config-if)# Der o.a. Konfigauszug ist jedenfalls konfigtechnisch korrekt. An dem was man in dem Auszug sieht liegt es garantiert nicht!
Debugs von l2tp all (Win 10 Rechner) und crypto isakmp sollten sowas zeigen (gekürzte Auszüge)
L2TP _____:________: I SCCRQ, flg TLS, ver 2, len 102
L2TP _____:________: IETF v2:
L2TP _____:________: Protocol Version 1, Revision 0
L2TP _____:________: Framing Cap sync(0x1)
L2TP _____:________: Bearer Cap none(0x0)
L2TP _____:________: Firmware Ver 0xA00
L2TP _____:________: Hostname "NoteBook"
L2TP _____:________: Vendor Name
L2TP _____:________: "Microsoft"
L2TP _____:________: Assigned Tunnel I 0x00000001 (1)
L2TP _____:________: Recv Window Size 8
L2TP _____:________:
L2X tnl 08000:________: Create logical tunnel
L2TP tnl 08000:________: Create tunnel
L2TP tnl 08000:________: version set to V2
L2TP tnl 08000:________: remote ip set to 212.64.1.147
L2TP tnl 08000:________: local ip set to 92.75.10.77
...
L2TP 00001:08000:00005257: FSM-Sn ev ICCN-OK
L2TP 00001:08000:00005257: FSM-Sn Proc-ICCN->established
L2TP 00001:08000:00005257: FSM-Sn do Established
L2TP 00001:08000:00005257: Session up
CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up
CET: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to up ISAKMP-PAK: (0):received packet from 212.64.1.147 dport 500 sport 500 Global (N) NEW SA
ISAKMP: (0):Created a peer struct for 212.64.1.147, peer port 500
ISAKMP: (0):New peer created peer = 0x13D9B8A0 peer_handle = 0x8000000B
ISAKMP: (0):local port 500, remote port 500
ISAKMP: (0):insert sa successfully sa = 13D9AD4C
ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
ISAKMP: (0):found peer pre-shared key matching 212.64.1.147
ISAKMP: (0):local preshared key found
ISAKMP: (0):Checking ISAKMP transform 3 against priority 10 policy
ISAKMP: (0): encryption AES-CBC
ISAKMP: (0): keylength of 256
ISAKMP: (0): hash SHA
ISAKMP: (0): default group 14
ISAKMP: (0): auth pre-share
ISAKMP: (0): life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x0 0x70 0x80
ISAKMP: (0):atts are acceptable. Next payload is 3
ISAKMP: (0):Acceptable atts:actual life: 86400
ISAKMP: (0):Acceptable atts:life: 0
ISAKMP: (0):Fill atts in sa vpi_length:4
ISAKMP: (0):Fill atts in sa life_in_seconds:28800
ISAKMP: (0):Returning Actual lifetime: 28800
ISAKMP: (0):Started lifetime timer: 28800.
ISAKMP-PAK: (2009):sending packet to 212.64.1.147 my_port 500 peer_port 500 (R) MM_KEY_EXCH
ISAKMP: (2009):Sending an IKE IPv4 Packet.
ISAKMP: (2009):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
ISAKMP: (0):peer matches DYNIP profile
ISAKMP: (2009):Found ADDRESS key in keyring VPNKEYS
ISAKMP: (2009):processing HASH payload. message ID = 0
ISAKMP: (2009):SA authentication status:
authenticated
ISAKMP: (2009):SA has been authenticated with 212.64.1.147
ISAKMP: (0):Trying to insert a peer 92.75.10.77/212.64.1.147/500/,
ISAKMP: (0): and inserted successfully 13D9B8A0.
ISAKMP: (2009):Successfully installed IPSEC SA (SPI:0xE3C258B1) on Dialer0
Davon bin ich hier weit entfernt.
Solange die Ursache von
nicht geklärt sind, wird das auch nix. Ich konnte dazu auch bisher keine sinnvollen Foren-Threads finden.
Konfig-Leichen sind es nicht.
Was ich noch tun kann:
Auf einem anderen (ich habe ja noch 886W und 886va mit jeweils älteren Images) das ganze mal testen.
Sonst wäre mein Ausweg, auf IPsec zu verzichten. Stellt sich die Frage, ob es andere hier unterstützte Protokolle gibt, die zumindest die Authentifizierung verschlüsseln.
Eine Idee wäre, das erstmal mit reinem L2TP zu probieren, so wie hier: https://www.cisco.com/c/en/us/support/docs/dial-access/virtual-private-d ...
Solange die Ursache von
router(config)#no crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
router(config)#
Mar 28 10:33:53.039: setting dynamic link status! map is not discover
router(config-if)#crypto map VPNCISCO
router(config-if)#k
Mar 28 10:36:29.345: IPSEC: Expand action denied, discard or forward packet.Konfig-Leichen sind es nicht.
Was ich noch tun kann:
Auf einem anderen (ich habe ja noch 886W und 886va mit jeweils älteren Images) das ganze mal testen.
Sonst wäre mein Ausweg, auf IPsec zu verzichten. Stellt sich die Frage, ob es andere hier unterstützte Protokolle gibt, die zumindest die Authentifizierung verschlüsseln.
Eine Idee wäre, das erstmal mit reinem L2TP zu probieren, so wie hier: https://www.cisco.com/c/en/us/support/docs/dial-access/virtual-private-d ...
Auf einem 886va (15.7(3)M9) gibt es ebenfalls das Expand-Problem.
Da kann ich aber experimentieren, weil da nix produktiv dranhängt.
Was kann man da noch testen?
Der L2TP-Tunnel ohne IPsec (nur L2TP mit PPP drin) konnte aufgebaut werden.
Ich habe danach erase startup-config ausgeführt und dann den IPsec/L2TP eingerichtet.
Reste sollten daher nicht mehr vorhanden sein.
Da kann ich aber experimentieren, weil da nix produktiv dranhängt.
Was kann man da noch testen?
Der L2TP-Tunnel ohne IPsec (nur L2TP mit PPP drin) konnte aufgebaut werden.
Ich habe danach erase startup-config ausgeführt und dann den IPsec/L2TP eingerichtet.
Reste sollten daher nicht mehr vorhanden sein.
Auf einem 886va (15.7(3)M9) gibt es ebenfalls das Expand-Problem.
Das ist dann ganz sicher ein Konfig Fehler. Es rennt auf mehreren 886va hier vollkommen fehlerfrei.Das es gleich auf mehreren bei dir passiert spricht ebenfalls für einen Konfig Fehler.
Gehe einmal strategisch vor...
- write erase auf einem 886va Testrouter ausführen.
- Baue dir mit dem 886va ein simples Kaskaden Szenario mit (erstmal) einer IPv4 Banalkonfig:
- VLAN 99 erzeugen
- Port Ethernet 3 als Accessport ins VLAN 99 legen
- DHCP Client auf Interface vlan 99 (Alternativ feste IP aus deinem bestehenden Netz)
- vlan 1 Interface mit IP Netz und DHCP Server
- NAT vlan1 = inside, vlan99 = outside
Diese Banalkonfig steckst du in dein bestehendes Netzwerk und checkst mit einem lokalen Testrechner ob das alles funktioniert. Internet Ping usw.
Dann setzt du die L2TP VPN Konfig auf und bindest sie sie auf das vlan99 Interface!
Hier sollte dann ein "%CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON" zu sehen sein!
Ist dem so kannst du den L2TP Zugang aus dem vlan99 Netzwerk mit einem Client testen.
Ich habe nun nach dem Erase ein einfache Konfiguration eingerichtet, ohne NAT (macht der Hauptrouter für das Netz). Sollte hier aber eh nebensächlich sein. Das Problem mit expand bleibt. Ich habe die Konfig von oben nach unten wie beschrieben eingegeben.
Wie man sieht scheint die map jetzt kein Problem mehr zu sein.
Zu Expand: Manche Forenthreads sagen, das passiere beim ersten Mal, dann nicht mehr. Kann ich hier bestätigen und ich frage mich, ob bei Cisco getestet wird.
Aber: Tunnel läuft, ich konnte bisher noch nicht verstehen, warum das jetzt geht.
Paketverlust ist jedoch bei großen Paketen (ping mit DF-Bit und -s 1200) hoch (25% im internen Netz).
test(config-crypto-map)#crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
test(config)#
*Feb 6 07:48:38.843: setting dynamic link status! map is not discover
test#sh crypto map #vor crypto auf dem interface
Interfaces using crypto map NiStTeSt1:
Crypto Map IPv4 "VPNCISCO" 10 ipsec-isakmp
Dynamic map template tag: DYNMAP
Interfaces using crypto map VPNCISCO:
test#
###nach crypto auf dem Interface
test#sh crypto map
Interfaces using crypto map NiStTeSt1:
Crypto Map IPv4 "VPNCISCO" 10 ipsec-isakmp
Dynamic map template tag: DYNMAP
Interfaces using crypto map VPNCISCO:
Vlan10
test#
test#sh crypto isakmp policy
Global IKE policy
Protection suite of priority 10
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #14 (2048 bit)
lifetime: 86400 seconds, no volume limit
Protection suite of priority 12
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
test#
test#sh crypto isakmp profile
IKEv1 PROFILE DYNIP
Ref Count = 2
Identities matched are:
ip-address 0.0.0.0
Certificate maps matched are:
keyring(s): VPNKEYS
trustpoint(s): <all>
test#
test(config)#int vlan10
test(config-if)# crypto map VPNCISCO
test(config-if)#
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.327: IPSEC: Expand action denied, discard or forward packet.
*Feb 6 07:52:07.347: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
*Feb 6 07:57:00.367: (ipsec_process_proposal)Map Accepted: DYNMAP, 10
*Feb 6 07:57:00.367: ISAKMP: (2002):processing NONCE payload. message ID = 3270370742
*Feb 6 07:57:00.367: ISAKMP: (2002):processing ID payload. message ID = 3270370742
*Feb 6 07:57:00.367: ISAKMP: (2002):processing ID payload. message ID = 3270370742
*Feb 6 07:57:00.367: ISAKMP: (2002):QM Responder gets spi
*Feb 6 07:57:00.367: ISAKMP: (2002):Node 3270370742, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Feb 6 07:57:00.367: ISAKMP: (2002):Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE
*Feb 6 07:57:00.371: ISAKMP: (2002):Node 3270370742, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
*Feb 6 07:57:00.371: ISAKMP: (2002):Old State = IKE_QM_SPI_STARVE New State = IKE_QM_IPSEC_INSTALL_AWAIT
*Feb 6 07:57:00.371: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Feb 6 07:57:00.371: IPSEC(crypto_ipsec_create_ipsec_sas): Map found DYNMAP, 10
*Feb 6 07:57:00.371: IPSEC(get_old_outbound_sa_for_peer): No outbound SA found for peer 8AED0408
*Feb 6 07:57:00.371: IPSEC(create_sa): sa created,
(sa) sa_dest= 10.1.0.1, sa_proto= 50,
sa_spi= 0xD3362D45(3543543109),
sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1
sa_lifetime(k/sec)= (4608000/3600),
(identity) local= 10.1.0.1:0, remote= 172.17.1.2:0,
local_proxy= 10.1.0.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0
*Feb 6 07:57:00.371: IPSEC(create_sa): sa created,
(sa) sa_dest= 172.17.1.2, sa_proto= 50,
sa_spi= 0xC5CD4316(3318563606),
sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 2
sa_lifetime(k/sec)= (4608000/3600),
(identity) local= 10.1.0.1:0, remote= 172.17.1.2:0,
local_proxy= 10.1.0.1/255.255.255.255/17/1701,
remote_proxy= 172.17.1.2/255.255.255.255/17/0
*Feb 6 07:57:00.375: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_listZu Expand: Manche Forenthreads sagen, das passiere beim ersten Mal, dann nicht mehr. Kann ich hier bestätigen und ich frage mich, ob bei Cisco getestet wird.
Aber: Tunnel läuft, ich konnte bisher noch nicht verstehen, warum das jetzt geht.
Paketverlust ist jedoch bei großen Paketen (ping mit DF-Bit und -s 1200) hoch (25% im internen Netz).
Alles eben mal auf einem 886vaw und einen C881 nachgestellt. Also Plattformen die eine "c800..." Image File verwenden. Hier lauert einen böse Falle die du auf dem Radar haben solltest.
⚠️ Bitte KEIN 15.9er Image verwenden!!! Das hat einen IPsec Bug (CSCvd37545)
Das Tückische ist das es zwar keinen expand Fehler wie bei dir generiert (da ist bei dir etwas anderes faul!) aber beim ersten L2TP Zugriff einen Traceback (FW Crash).
Das taucht auch nur einmal nach einen Reboot auf sonst nicht mehr und der Win10 L2TP Client meldet dann einen Krypto Fehler. Alle anderen Clients auch. Sieht man das nicht und sieht nicht in die Bug Datenbank bei Cisco sucht man sich einen Wolf! 
Lösung:
Auf den 800er Platformen die ein "c800..." Image File verwenden keine 15.9er Version verwenden sondern die von Cisco recommendete 15.8-3.M9 Version!!
Die ist fehlerfrei und damit klappt der Zugang sofort.
Die "c880..."er Images sind alle nicht betroffen weil die latest Version dort eine 15.7er ist.
Hier eine Quick and Dirty NAT Konfig ohne Loopback die auf beiden Plattformen 886vaw und C881 fehlerfrei funktioniert.
Auch hier ist dein Crypto Mapping Fehler ebenfalls NICHT nachzuvollziehen!!
Sehr sinnvoll ist global noch ein no crypto isakmp default policy zu definieren, das alte, unsichere Verfahren wie DES usw. deaktiviert.
Welche das sind und der Router immer im Default verwendet sieht man mit "show crypto isakmp default policy".
⚠️ Bitte KEIN 15.9er Image verwenden!!! Das hat einen IPsec Bug (CSCvd37545)
Das Tückische ist das es zwar keinen expand Fehler wie bei dir generiert (da ist bei dir etwas anderes faul!) aber beim ersten L2TP Zugriff einen Traceback (FW Crash).
%DATACORRUPTION-1-DATAINCONSISTENCY: copy error, -PC= 0x9498EF0z
-Traceback= 71D9740z 70ED068z AE7C0C8z 9498EF0z 9492ACCz 9492808z 9494320z 94957A0z 948CFC4z 9486BE0z 94857D8z 948C104z 9487444z 94857D8z 9488990z 948C824z Lösung:
Auf den 800er Platformen die ein "c800..." Image File verwenden keine 15.9er Version verwenden sondern die von Cisco recommendete 15.8-3.M9 Version!!
Die ist fehlerfrei und damit klappt der Zugang sofort.
Die "c880..."er Images sind alle nicht betroffen weil die latest Version dort eine 15.7er ist.
Hier eine Quick and Dirty NAT Konfig ohne Loopback die auf beiden Plattformen 886vaw und C881 fehlerfrei funktioniert.
version 15.8
!
aaa new-model
aaa authentication login default local
aaa authentication ppp L2TP_VPN local
aaa authorization exec default local
aaa authorization network default local
!
ip dhcp excluded-address 192.168.1.1 192.168.1.149
ip dhcp excluded-address 192.168.1.170 192.168.1.254
!
ip dhcp pool c886
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
domain-name test.internal
dns-server 192.168.1.1
!
ip domain name test.internal
!
vpdn enable
!
vpdn-group L2TP
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
ip tcp path-mtu-discovery
!
crypto keyring VPNKEYS
pre-shared-key address 0.0.0.0 0.0.0.0 key Geheim123!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
!
crypto isakmp keepalive 30 periodic
crypto isakmp profile DYNIP
description VPNs mit dyn. IP
keyring VPNKEYS
match identity address 0.0.0.0
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac
mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac
mode transport
!
crypto dynamic-map DYNMAP 10
description L2TP VPN Dialin
set nat demux
set transform-set L2TP-1 L2TP-2
set isakmp-profile DYNIP
!
crypto map VPNCISCO 10 ipsec-isakmp dynamic DYNMAP
!
!
interface vlan99
description WAN
ip address dhcp
ip nat outside
crypto map VPNCISCO
!
interface Vlan1
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface Virtual-Template1
description L2TP Dialin
ip unnumbered Vlan1
peer default ip address pool L2TP-POOL
ppp authentication ms-chap-v2 L2TP_VPN
!
ip local pool L2TP-POOL 192.168.1.200 192.168.1.202
!
ip nat inside source list NAT interface vlan99 overload
!
ip access-list extended NAT
remark NAT ACL
10 permit ip 192.168.1.0 0.0.0.255 any
!
ip dns server
! Auch hier ist dein Crypto Mapping Fehler ebenfalls NICHT nachzuvollziehen!!
cisco886(config-if)#crypto map VPNCISCO
*Mar 29 2024 16:14:23 CET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
*Mar 29 2024 16:14:24 CET: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up
cisco886(config-if)#
cisco886#sh l2tp tunnel
L2TP Tunnel Information Total tunnels 1 sessions 1
LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
Count VPDN Group
58988 13 NoteBook est 212.64.1.147 1 L2TP
cisco886#sh l2tp session
L2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
25897 1 58988 l2tpuser, Vi2.1 est 00:01:41 3
cisco886# Sehr sinnvoll ist global noch ein no crypto isakmp default policy zu definieren, das alte, unsichere Verfahren wie DES usw. deaktiviert.
Welche das sind und der Router immer im Default verwendet sieht man mit "show crypto isakmp default policy".
EDIT: Ganz nach unten scrollen, es wird dämlich.
Ein kurzer Zwischenstand: Auf dem 886va läuft ja wie gesagt der Tunnel. Intern funktioniert der auch problemlos, zumindest ist mir da noch nix Komisches aufgefallen.
Die Paketverluste haben mit dem Tunnel erstmal gar nix zu tun, sondern das hat mit manchmal ausgesendeten ICMP-Host unreachable zu tun, die von meinem Haupt-Router kommen. Ein Teil der Pakete geht aber ohne Murren durch, nur so 25% nicht. Klingt komisch, ist aber so. Die Route ist vorhanden, aber auffällig.
Tunnel (10.1.0.0/24) ist am anderen Router (der macht kein NAT) und das ganze Netz 10.0.0.0/8 wird zu diesem Router geroutet. Das funktioniert auch grundsätzlich.
Auszug aus dem Hauptrouter (macht nach außen NAT)
müsste ja Priorität haben gegenüber
Hat es auch in ca. 75% der Fälle. In den anderen aber nicht und dann gibt es einen Host unreachable.
Den habe ich bisher nur über ip debug icmp gesehen und noch nicht im Wireshark angeguckt.
Die Nullroute (ich habe das Netz vorher nicht genutzt und wenn immer kleinere Netze geroutet) hier war das Problem. Da die ne gleiche Präfixlänge haben, können die gleichwertig verwendet werden - das erklärt das "manchmal".
Irgendwann ist man betriebsblind und vergisst Dinge, die man vor Jahren konfiguriert hat dann leider nicht direkt in der Routingtabelle sieht, denn da kam in diesem Fall nur das Via dazu.
Ein kurzer Zwischenstand: Auf dem 886va läuft ja wie gesagt der Tunnel. Intern funktioniert der auch problemlos, zumindest ist mir da noch nix Komisches aufgefallen.
Die Paketverluste haben mit dem Tunnel erstmal gar nix zu tun, sondern das hat mit manchmal ausgesendeten ICMP-Host unreachable zu tun, die von meinem Haupt-Router kommen. Ein Teil der Pakete geht aber ohne Murren durch, nur so 25% nicht. Klingt komisch, ist aber so. Die Route ist vorhanden, aber auffällig.
Tunnel (10.1.0.0/24) ist am anderen Router (der macht kein NAT) und das ganze Netz 10.0.0.0/8 wird zu diesem Router geroutet. Das funktioniert auch grundsätzlich.
Auszug aus dem Hauptrouter (macht nach außen NAT)
Gateway of last resort is 82.139.xxx to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 82.139.222.46
S 10.0.0.0/8 [1/0] via 172.25.0.86
is directly connected, Null0
#Hier ist was faul, denn da müsste eigentlich Vlan10 stehen, weil da ja /16 statt /12 genutzt wird und damit VLan10 über Null0 Priorität hat/haben müsste.
82.0.0.0/32 is subnetted, 2 subnets #was diese IP samt Maske bedeute ist mir unklar.
C 82.139.xxx is directly connected, Dialer0
C 82.139.xxx is directly connected, Dialer0
S 172.16.0.0/12 is directly connected, Null0
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.0.0/16 is directly connected, Vlan1
L 172.16.0.1/32 is directly connected, Vlan1
172.17.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.17.0.0/16 is directly connected, Vlan2
L 172.17.0.1/32 is directly connected, Vlan2
172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.18.0.0/24 is directly connected, Vlan3
L 172.18.0.1/32 is directly connected, Vlan3
172.25.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.25.0.0/16 is directly connected, Vlan10
L 172.25.0.1/32 is directly connected, Vlan10
S 192.168.0.0/16 is directly connected, Null0
router#C 172.25.0.0/16 is directly connected, Vlan10S 172.16.0.0/12 is directly connected, Null0Den habe ich bisher nur über ip debug icmp gesehen und noch nicht im Wireshark angeguckt.
ip route 10.0.0.0 255.0.0.0 Null0
ip route 10.0.0.0 255.0.0.0 172.25.0.86Irgendwann ist man betriebsblind und vergisst Dinge, die man vor Jahren konfiguriert hat dann leider nicht direkt in der Routingtabelle sieht, denn da kam in diesem Fall nur das Via dazu.
#was diese IP samt Maske bedeute ist mir unklar.
Du bekommst per PPPoE vom Provider vermutlich 2 Netze/Interfaces, kann das sein?! (sh ip int brie, sh ppp all) PPP ist immer P2P mit /32er Maske.Mit dem gleichen 8er Präfix ist dann klar... Du siehst ja, deshalb hier immer der Appell nach den "Konfig Leichen" zu suchen! 😉
Mit anderen Worten: Es klappt jetzt wie es soll wenn man dich richtig versteht?!
Zitat von @aqui:
#was diese IP samt Maske bedeute ist mir unklar.
Du bekommst per PPPoE vom Provider vermutlich 2 Netze/Interfaces, kann das sein?! (sh ip int brie, sh ppp all) PPP ist immer P2P mit /32er Maske.Nein. Auf dem Di0 ist eine IP mit /32 (das ist ja normal)
82.0.0.0/32 is subnetted, 2 subnets
C 82.139.xx is directly connected, Dialer0 #meine IPv4
C 82.139.xx is directly connected, Dialer0 # IP vom PPP-Peer (BRAS)Nur ist 82.0.0.0/32 komisch, denn um diese IP (ist ja kein Netz mehr) gibt es bei mir nicht. Ist das so ein seltsames Cisco-Konstrukt oder ein Anzeigefehler?
Mit anderen Worten: Es klappt jetzt wie es soll wenn man dich richtig versteht?!
Für IPv4 ja.
Ist das so ein seltsames Cisco-Konstrukt oder ein Anzeigefehler?
Gehört bei Cisco so. Ist einmal die IP des Transportnetzes was den PPPoE Tunnel selber transportiert und einmal die Tunnel IP. Siehst du mit sh int dialer 0 und sh ppp all.https://ine.com/blog/2008-07-06-the-mystery-of-ppp-ipcp-mask-request-com ...
Dort sehe ich jeweils die Peer-IP. Das ist soweit klar.
Nur was hat es mit 82.0.0.0/32 is subnetted, 2 subnets
auf sich.
Wie soll man ein /32 noch subnetten?
Nur was hat es mit 82.0.0.0/32 is subnetted, 2 subnets
auf sich.
Wie soll man ein /32 noch subnetten?
Das muss mit deiner spezifischen Konfig etwas zu tun haben. Lässt sich hier auf einem 886er und 926er mit PPPoE nicht nachvollziehen:
Gateway of last resort is 62.144.231.7 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 62.144.231.7
S 10.0.0.0/8 [1/0] via 172.32.1.1
62.0.0.0/32 is subnetted, 1 subnets
C 62.144.231.7 is directly connected, Dialer0
91.0.0.0/32 is subnetted, 1 subnets
C 91.25.205.124 is directly connected, Dialer0 62.0.0.0/32 is subnetted, 1 subnets
Aber nur "ein" Subnetz, keine 2... 😉
Du siehst ja im o.a. Block wie "funny" das ist. Wenn du PPP debugst siehst du das die negotiatete Maske nix mit der angezeigten zu tun hat. Ist eine Cisco Marotte...
Du siehst ja im o.a. Block wie "funny" das ist. Wenn du PPP debugst siehst du das die negotiatete Maske nix mit der angezeigten zu tun hat. Ist eine Cisco Marotte...
1
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?