IPsec zwischen Cisco 7301 und Cisco 1841

[nimrod_]

ich muss gestehen, dass ich nur die hälfte verstanden habe. der 7301 ist in einem cluster (deswegen bin ich mir über das deaktivieren von hsrp unsicher).
wenn du mir noch einen tipp gibts, was du mit ip unnumbered auf lo1 meinst, wär ich dir sehr dankbar

[Wordo]

interface Port-channel1.159
description VPNGREEN
encapsulation dot1Q 159
ip vrf forwarding vpngreen
ip address 10.0.0.2 255.255.255.0
standby version 2
standby 159 ip 10.0.0.1
standby 159 follow access
standby 159 priority 101 (die wird auf beiden nicht gleich sein, also anpassen)


Ist das produktiv? Wenn nein, auf beiden Geraeten:

no ip address 10.0.0.2 255.255.255.0
no standby version 2
no standby 159 ip 10.0.0.1
no standby 159 follow access
no standby 159 priority 101

und dann auf dem wo dus testest:
ip unnumbered Loopback1

[nimrod_]

ist leider produktiv...

hab nochmal meine änderungen rückgängig gemacht und versuch die config neu reinzuschreiben...

ich bin nur verwirrt, warum das alles nicht so geht -.-

[Wordo]

Der 7300er erkennt den Key nicht, also stimmt entweder am VRF was nicht, oder es fehlt im crypto was, oder es ist ein IOS-Bug. Die Aenderung von mir machts halt erst mal nicht ganz so fehleranfaellig.

[nimrod_]

ok, dann werd ich das mal versuchen... ich werds schon mirbekommen, wenn irgendjemand probleme hat... telefon ist ja nicht so weit weg^^ *g*

hier nochmal die einzelnen crypto config teile

Code:

!======HUB=======
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 500
authentication pre-share
crypto isakmp key cisco1841 address 10.1.1.1 
crypto isakmp key cisco878 address 10.1.1.4 
crypto ipsec transform-set ts_cisco_170 esp-3des esp-md5-hmac 
crypto ipsec transform-set ts_cisco_180 esp-3des esp-md5-hmac 
!
crypto map cm_L1 17 ipsec-isakmp 
set peer 10.1.1.1
set transform-set ts_cisco_170 
match address 170
!
crypto map cm_L1 18 ipsec-isakmp
set peer 10.1.1.4
set transform-set ts_cisco_180 
match address 180
!
interface Loopback1
crypto map cm_L1
!
access-list 170 permit ip any 192.168.1.0 0.0.0.255
access-list 180 permit ip any 192.168.100.0 0.0.0.255


!=====SPOKE 2 1841======
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 500
crypto isakmp key cisco1841 address 10.5.5.5 
crypto ipsec transform-set ts_cisco_170 esp-3des esp-md5-hmac
!
crypto map cm_D1 17 ipsec-isakmp 
set peer 10.5.5.5
set transform-set ts_cisco_170
match address 170
!
interface Dialer1
crypto map cm_D1
!
access-list 170 permit ip 192.168.1.0 0.0.0.255 any


!=====SPOKE 2 878======
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 500
crypto isakmp key cisco878 address 10.5.5.5 
crypto ipsec transform-set ts_cisco_180 esp-3des esp-md5-hmac 
!
crypto map cm_D1 18 ipsec-isakmp
set peer 10.5.5.5
set transform-set ts_cisco_180
match address 180
!
interface Dialer1
crypto map cm_D1
!
access-list 180 permit ip 192.168.100.0 0.0.0.255 any

–
mir ist da gerade noch etwas aufgefallen... es wird anscheinend nur eine der beiden crypto maps auf dem 7301 genutzt... das ist prinzipiell nicht so gewollt... realisiere ich das am besten mit einer dynamischen map?

[Wordo]

Probiers mal nach der Anleitung, macht schon wesentlich mehr Sinn warum er den Key nicht findet:

Cisco IOS Security Configuration Guide, Release 12.4T - VRF-Aware Ipsec [Cisco IOS Software Releases 12.4 T] - Cisco Systems

[nimrod_]

ich hatte vorher schoneinmal folgendes versucht (ist noch die alte config und noch nicht entsprechend angepasst)

Code:

crypto keyring l2tp vrf vpngreen
  pre-shared-key address 0.0.0.0 0.0.0.0 key ewetel
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key ewetel address 10.5.5.5
crypto isakmp keepalive 45 3
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac 
crypto ipsec transform-set l2tp esp-3des esp-sha-hmac 
!
crypto dynamic-map vpn-dyn 10
 set transform-set l2tp 
!
!
!
!
!
!
!
crypto map vpn 6000 ipsec-isakmp dynamic vpn-dyn

–
mist, da warst du schneller... werd ich mir mal anschauen *lad*
–
ok, hab das nun mal eingespielt... bringt keine veränderung. ich konnte es nicht ganz so machen, wie es in der anleitung steht. hier meine änderungen

Code:

7301
crypto keyring l2tp vrf vpngreen
  pre-shared-key address 0.0.0.0 0.0.0.0 key ewetel
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key ewetel address 10.1.1.1
crypto isakmp key ewetel address 10.1.1.4
crypto isakmp keepalive 45 3
!
!
crypto ipsec transform-set l2tp esp-3des esp-sha-hmac 
!
crypto dynamic-map vpn-dyn 10
 set transform-set l2tp 
!
!
!
!
!
!
!
crypto map vpn 6000 ipsec-isakmp dynamic vpn-dyn 
!
!
!
interface Loopback1
 crypto map vpn
!
access-list 100 permit ip any 192.168.1.0 0.0.0.255
access-list 100 permit ip any 192.168.100.0 0.0.0.255

Code:

1841
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 500
crypto isakmp key ewetel address 10.5.5.5 
crypto ipsec transform-set ts_cisco_170 esp-3des esp-sha-hmac
!
crypto map cm_D1 17 ipsec-isakmp 
set peer 10.5.5.5
set transform-set ts_cisco_170
match address 170
!
interface Dialer1
crypto map cm_D1
!
access-list 170 permit ip 192.168.1.0 0.0.0.255 any