Я был бы рад опубликовать конфигурацию или журналы для справки, но у меня возникли проблемы с настройкой VPN для удаленного доступа, работающей на том же интерфейсе, что и мой сайт, на сайт IPSEC VPN. Я использую динамическую криптографическую карту для удаленного доступа vpn, но похоже, что он не пытается сделать первый этап. Кто-нибудь сможет дать мне простой пример конфигурации для работы?
РЕДАКТИРОВАТЬ:
Вот дамп отладки от этого, терпящий неудачу после реализации профилей ISAKMP согласно предложению ниже. Мне предлагается ввести имя пользователя и пароль, но затем истекает время ожидания. Похоже, авторизация isakmp не удалась. В настоящее время авторизация isakmp установлена только для локального списка пользователей. Это кажется вам проблемой, ребята?
Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277
Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy
Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request
Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW Request successfully sent to AAA
Jul 3 16:40:44.317: ISAKMP:(0):ISAKMP/tunnel: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
AAA/AUTHOR/IKE: Processing AV wins-servers
AAA/AUTHOR/IKE: Processing AV route-metric
Jul 3 16:40:44.317: ISAKMP/tunnel: received tunnel atts
Jul 3 16:40:44.341: ISAKMP AAA: Deleting old aaa_uid = 29277
Jul 3 16:40:44.341: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul 3 16:40:44.341: ISAKMP:(0):AAA: Nas Port ID set to 174.98.136.27.
Jul 3 16:40:44.341: ISAKMP AAA: Allocated new aaa_uid = 29278
Jul 3 16:40:44.341: ISAKMP AAA: Accounting is not enabled
Jul 3 16:40:48.337: ISAKMP AAA: NAS Port Id is already set to 174.98.136.27
Jul 3 16:40:48.337: ISAKMP/Authen: unique id = 29278
Jul 3 16:40:48.337: ISAKMP:(2110):AAA Authen: setting up authen_request
Jul 3 16:40:48.337: ISAKMP:(2110):AAA Authen: Successfully sent authen info to AAA
Jul 3 16:40:48.337: ISAKMP:(2110):AAA Authen: Local Authentication or no RADIUS atts recvd
Jul 3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: setting up the authorization request for REMOTEACCESS
Jul 3 16:40:48.349: ISAKMP:(0):ISAKMP/author: received callback from AAA
AAA/AUTHOR/IKE: Processing AV tunnel-password
AAA/AUTHOR/IKE: Processing AV addr-pool
AAA/AUTHOR/IKE: Processing AV inacl
AAA/AUTHOR/IKE: Processing AV dns-servers
Jul 3 16:40:48.349:
AAA/AUTHOR/IKE: no DNS addresses
AAA/AUTHOR/IKE: Processing AV wins-servers
Jul 3 16:40:48.349:
AAA/AUTHOR/IKE: no WINS addresses
AAA/AUTHOR/IKE: Processing AV route-metric
Jul 3 16:40:48.349: ISAKMP:(2110):ISAKMP/author: No Class attributes
Jul 3 16:40:48.349: ISAKMP:FSM error - Message from AAA grp/user.
Я также вижу эти ошибки, когда я отлаживаю ошибки isakmp и ipsec и извлекаю логи:
Jul 3 16:32:33.949: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Jul 3 16:32:57.557: ISAKMP:(0):Proposed key length does not match policy
Jul 3 16:32:57.557: ISAKMP:(0):atts are not acceptable. Next payload is 3
Jul 3 16:33:00.637: ISAKMP:FSM error - Message from AAA grp/user.
Ответы:
Сделайте снимок в темноте, потому что есть много переменных, которые вы не упомянули. Пожалуйста, обновите вопрос, включив в него конкретные технологии, которые вы используете, вашу конфигурацию currnet и полученную ошибку. Но если вы используете, например, DMVPN + EZVPN, вам, вероятно, придется использовать цепочки ключей и несколько профилей ISAKMP. Поскольку вы указываете на вопросы фазы 1, я бы это проверил. Следующие ссылки дают справочные конфиги для DMVPN и EZVPN и L2L + EZVPN . Вы должны быть в состоянии изменить в соответствии с вашими потребностями.
Вот ссылка на профиль ISAKMP для чтения в обеденное время.
источник
Не смотря на то, что вы настраиваете, этот пример не будет полностью точным. Однако вот как я бы настроил сайт A. Сайт B был бы похожим, за исключением удаленных частей VPN и реверсирования частей сайта A и сайта B. Все, что в скобках, должно быть заполнено вашей собственной информацией.
Кроме того, в этом конкретном примере удаленная VPN будет осуществляться через Cisco VPN Client, а не через AnyConnect Client. ShrewSoft VPN Client также работает.
источник
Вот еще один отличный ресурс для DMVPN:
https://nwktimes.blogspot.com/search/label/DMVPN
источник