Problem VPN Client Einwahl

[Ciscler]

Hallo,

ich habe ein Problem mit einem Cisco 831 und einer Ferneinwahl mit dem Cisco VPN Client.
Ich erhalte bei der Verbindung mit dem VPN Client auf dem Router folgende Meldung:

*Jun 2 10:38:13.503: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at xxx.xxx.xxx.xxx

Version vom VPN Client ist Version 5.0.02.0090
Nicht über die ACL wundern ich wollte nur mal einen Test mit dem VPN Client machen ob ich per Remoteeinwahl das loopback Interface vom Router anpingen kann.

Anbei mal die Config vom Router:

Current configuration : 2463 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxx
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login authent local
aaa authorization network autho local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
no ip dhcp use vrf connected
!
!
ip cef
ip domain name xxxxxx
no ip ips deny-action ips-interface
!
!
!
username admin privilege 15 secret 5 xxxxxxxxxxxx

!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2

!
crypto isakmp client configuration group vpnclient
key xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
pool ippool
acl split
crypto isakmp profile vpnclient
match identity group vpnclient
client authentication list authent
isakmp authorization list autho
client configuration address initiate
client configuration address respond
!
!
crypto ipsec transform-set remote esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set remote
!
!
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface Loopback1
ip address 192.168.24.1 255.255.255.0
!
interface Ethernet0
no ip address
shutdown
!
interface Ethernet1
description Outside
ip address xxx.xxx.xxx.xxx 255.255.255.240
ip access-group Outside.in in
duplex auto
crypto map clientmap
!
interface Ethernet2
no ip address
shutdown
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip local pool ippool 14.1.1.100 14.1.1.200
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.xxx
ip http server
no ip http secure-server
!
!
!
ip access-list extended Outside.in
permit tcp any any eq 22
permit icmp any any
permit udp any any eq isakmp
permit esp any any
deny ip any any log
ip access-list extended split
permit ip 14.1.1.0 0.0.0.255 192.168.24.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

Gruß Dirk

[Ciscler]

Hallo,

jetzt kommt noch was hinzu was mir Bauchschmerzen bereitet.
Der Hintergrund ist wir haben 3 Lokationen und eine Hauptlokation. Alle 3 Außenstellen bauen eine IPSEC VPN Verbindung zu der Hauptlokation auf. Es sind alles 876er Cisco Router vor Ort.
Jetzt muss ich die Remoteeinwahl für den VPN Client auf dem Router an der Hauptlokation konfigurieren.

Die VPN Konfiguration auf dem Router in der Hauptlokation sieht wie folgt aus:

crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth
crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth
crypto isakmp key xxx address xxx.xxx.xxx.xxx no-xauth
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set VPN esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
description -> xxxx
set peer xxx.xxx.xxx.xxx
set transform-set VPN
match address Tunnel
crypto map VPN 10 ipsec-isakmp
description -> xxxx
set peer xxx.xxx.xxx.xxx
set transform-set VPN
match address Tunnel1
crypto map VPN 20 ipsec-isakmp
description -> xxxx
set peer xxx.xxx.xxx.xxx
set transform-set VPN
match address Tunnel2

Jetzt kann ich ja ohne Probleme wie ich es im ersten Beitrag geschrieben habe eine dynamic map für die Einwahl per VPN Client anlegen.
Aber ich kann ja nicht 2 Cryptomaps an mein Dialer Interface binden.
Geht das überhaupt was ich vorhabe? Hat sowas schon jemand konfiguriert?

Bin für jeden Tip Dankbar

Gruß Dirk

[onedread]

HI

setzt die dynmap denn nicht auf die konfiguriert crypto map auf?

Würd mich selber interessieren, vielleicht hat ja ein VPN Speziallist Zeit uns das zu erklären.

Müssen die Lokationen untereinander auch zugreifen, dann wär vielleicht DMVPN eine Lösung, hatten dieses Thema beim Kurs mal angeschnitten, hatte sich sehr gut angehört.

onedread

[Wordo]

Zitat von rohlmannd Jetzt kann ich ja ohne Probleme wie ich es im ersten Beitrag geschrieben habe eine dynamic map für die Einwahl per VPN Client anlegen. Aber ich kann ja nicht 2 Cryptomaps an mein Dialer Interface binden. Geht das überhaupt was ich vorhabe? Hat sowas schon jemand konfiguriert? Bin für jeden Tip Dankbar Gruß Dirk

Klar geht das, du machst ne dynmap mit eigenem Namen und klebst die an deine cryptomap mit hoechster Prio

crypto map VPN 65535 ipsec-isakmp dynamic dynmap

Wenn der Aggr. Fehler noch kommt meld dich nochmal ..

[Ciscler]

Hallo Wordo,

habe jetzt auf dem Testrouter anstatt

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

crypto map clientmap 65535 ipsec-isakmp dynamic dynmap

konfiguriert. Der Agressive-mode Fehler erscheint immer noch.

Ich hab gehört man kann irgendwie cryptomaps miteinander cascadieren ist das richtig?

Gruß Dirk
–
Hey,

so ich habs geschafft der Agressive-Mode Fehler kommt nicht mehr. Aber das mit den 2 Cryptomaps habe ich noch nicht so genau verstanden. Könntest du mir ein Beispiel geben wir ich die dynmap jetzt in die bestehende VPN Config der Hauptlokation bringe?

Gruß Dirk
–
So die Einwahl klappt jetzt soweit. Nur Pingen kann ich mein Loopback 1 Interface vom Notebook aus nicht.
Mit Ipconfig sehe ich zwar das ich aus dem IPpool den ich auf dem Router konfiguriert habe eine IP zugewiesen bekommen habe aber auf dem Client gibt es keine Route die auf das Netz vom Loopback Interface zeigt.

Gruß Dirk
–
Habe dem Log am VPN Client mal eingeschaltet.

Cisco Systems VPN Client Version 5.0.02.0090
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Programme\Cisco Systems\VPN Client\

1 21:21:34.046 06/03/08 Sev=Warning/2 CVPND/0xA3400015
Error with call to IpHlpApi.DLL: GetAdaptersInfo, error 0

2 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.116.255
Netmask 255.255.255.255
Gateway 192.168.100.1
Interface 192.168.100.6

3 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a874ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401.

4 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.113.255
Netmask 255.255.255.255
Gateway 192.168.100.1
Interface 192.168.100.6

5 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a871ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401.

6 21:21:34.265 06/03/08 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.0.255
Netmask 255.255.255.255
Gateway 192.168.100.1
Interface 192.168.100.6

7 21:21:34.265 06/03/08 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a800ff, Netmask: ffffffff, Interface: c0a86406, Gateway: c0a86401.

Ich möchte einfach nur die IP vom Loopback 1 Interface Testweise anpingen.
–
So jetzt läuft endlich alles.
Das mit der Cryptomap habe ich jetzt so gemacht.

crypto map vpnmap 1 ipsec-isakmp
description -> xxx
set peer xxx
set transform-set vpnset
match address Tunnel
crypto map vpnmap 10 ipsec-isakmp dynamic dynmap

Dennoch fügt der VPN Client dem PC keine Route hinzu sondern eine Default Route dabei läuft der ganze Traffic in den Tunnel. Surfen nebenbei ist so nicht mehr möglich. Gibts da noch ne Lösung?

@Wordo vielen Dank für den Tipp mit der cryptomap

Gruß Dirk

[Wordo]

Also falls du den Schnippsel noch brauchst:

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key sfdgdfgdfgdfgdfgdgdfg address X.X.X.X
no crypto isakmp ccm
!
crypto isakmp client configuration group VPN-Client
key XXXXXXX
pool vpn
acl 150
max-logins 10
netmask 255.255.255.0
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto dynamic-map VPN-Client 20
set transform-set 3des-md5
!
!
crypto map VPN isakmp authorization list VPN-Client
crypto map VPN client configuration address respond
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3des-md5
set pfs group2
match address 100
crypto map VPN 20 ipsec-isakmp dynamic VPN-Client


Dann gehts mit nem L2L VPN und VPN-Client ...

[Ciscler]

Hallo Wordo,

hab jetzt alles am Laufen.
Jetzt wird am Client auch die entsprechende Route gesetzt damit nicht alles in den Tunnel läuft.
Hatte die ACL fürs Split-Tunneling irgendwie verdreht. Jetzt klappts aber.

Danke!

Gruß Dirk

[Ciscler]

Die VPN Einwahl per Cisco Client funktioniert soweit.
Nur bei einem Kunden ist die Einwahl per Client nicht Möglich.
Auf dem Router taucht folgende Meldung auf:

%CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from y.y.y.y was not encrypted and it should've been.

Lässt sein Router auf seiner Seite irgendetwas nicht durch?

Gruß Dirk

[Wordo]

Hoert sich so an als haette der Router beim Kunden "ipsec pass-through" aktiviert. Soll er mal deaktivieren wenns geht.

[Ciscler]

Hallo,

das komische ist nur das der Kunde schon einige andere VPN Verbindungen im Cisco Client konfiguriert hat. Und diese kann er erfolgreich aufbauen.

Hier mal der LOG vom cisco vpn client:

Cisco Systems VPN Client Version 4.0.3 (A)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600

1 16:25:47.143 06/10/08 Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified

2 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.

3 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:899)

4 16:25:47.143 06/10/08 Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode negotiatorNavigator:2199)

5 16:27:40.177 06/10/08 Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified

6 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.

7 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:899)

8 16:27:40.177 06/10/08 Sev=Warning/2 IKE/0xE30000A5
Unexpected SW error occurred while processing Aggressive Mode negotiatorNavigator:2199)
–
Hallo,

ist IPSEC Path Through nicht das gleich wie NAT Traversal? Muss er das nicht an haben?