Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

vpn tunnel up ma hai dau ko connect

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    vpn tunnel up ma hai dau ko connect

    minh vua cau hinh vpn tren cisco 1841 ket noi voi draytek 2910, nhung khi cau hinh xong vao phan status cua ca 2 con cisco va draytek thi thay tunnel da thiet lap roi, nhung 2 LAN ko ping thay nhau duoc, minh khong biet co phai do bang route tren con cisco cua mimh co bi sai bang route ko nua, tren con cisco ket noi internet bang PPPoe
    day la file cau hinh cua minh.
    !
    version 12.4
    service timestamps debug datetime msec
    service timestamps log datetime msec
    service password-encryption
    !
    hostname Router
    !
    boot-start-marker
    boot-end-marker
    !
    !
    no aaa new-model
    memory-size iomem 5
    !
    !
    ip cef
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    crypto isakmp policy 10
    hash md5
    authentication pre-share
    lifetime 3600
    crypto isakmp key 123456 address 58.186.45.205
    !
    crypto ipsec security-association lifetime seconds 28800
    !
    crypto ipsec transform-set myset esp-des esp-md5-hmac
    !
    crypto map hochiminh 10 ipsec-isakmp
    set peer 58.186.45.205
    set transform-set myset
    match address 101
    reverse-route
    !
    !
    !
    !
    interface FastEthernet0/0
    no ip address
    duplex auto
    speed auto
    pppoe enable
    pppoe-client dial-pool-number 1
    !
    interface FastEthernet1/0
    ip address 192.168.4.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface Dialer1
    ip address negotiated
    ip mtu 1492
    ip nat outside
    ip virtual-reassembly
    encapsulation ppp
    dialer pool 1
    ppp pap sent-username hanhtinhco password 7 10430C1E04011C055D
    crypto map hochiminh
    !
    ip http server
    no ip http secure-server
    !
    ip route 0.0.0.0 0.0.0.0 Dialer1
    ip route 192.168.11.0 255.255.255.0 58.186.45.205
    !
    ip nat inside source list 1 interface Dialer1 overload
    !
    access-list 1 permit 192.168.4.0 0.0.0.255
    access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.11.0 0.0.0.255
    !
    !
    control-plane
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    line con 0
    exec-timeout 0 0
    logging synchronous
    line aux 0
    line vty 0 4
    !
    !
    end
    Tags: None
  • #2
    bạn cho xem cấu hình trên con draytek 2910 luôn đi bạn
    Trịnh Anh Luân
    - Email : trinhanhluan@vnpro.org
    - Search my site
    - Search VNPRO.ORG

    Trung Tâm Tin Học VnPro
    Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    Network channel: http://www.dancisco.com
    • Chuyên đào tạo quản trị mạng và hạ tầng Internet
    • Phát hành sách chuyên môn
    • Tư vấn và tuyển dụng nhân sự IT
    • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Blog: http://www.vnpro.org/blog
    Wifi forum: http://www.wifipro.org

    Comment

    • #3
      hi thangmaster,

      sau khi cấu hình , bạn nên dùng các câu lệnh kiểm tra kết nối VPN phase 1 và phase 2 đã kết nối thành công chưa?
      "show crypto isakmp sa" "show crypto ipsec sa" "show crypto isakmp policy" là những câu lệnh phổ biến để cho bạn biết VPN đang hoạt động như thế nào. Sau khi phase 2 thành công thì traffic giữa 2 site mới trao đổi traffic cho nhau được
      Nguyễn Quốc Lễ, CCNP CCSP
      Email: nguyenquocle@wimaxpro.org

      Viet Professionals Co. Ltd. VnPro ®
      ---------------------------------------
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel: (08) 35124257
      Fax: (08) 5124314
      Support Forum : http://www. vnpro.org
      Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
      Blog VnPro : http://www.vnpro.org/blog
      Cộng Đồng Mạng Không Dây Việt Nam

      Comment

      • #4
        hi nguyenquocle
        sau khi mình dùng lệnh "show crypto isakmp sa" thì thấy báo như sau
        dst src state conn-id slot status
        123.20.105.240 58.186.126.67 QM_IDLE 1 0 ACTIVE

        còn dùng lệnh "show crypto ipsec sa" thì báo như sau

        Router#sh crypto ipsec sa

        interface: Dialer1
        Crypto map tag: vinhtra, local addr 123.20.105.240

        protected vrf: (none)
        local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
        current_peer 58.186.126.67 port 500
        PERMIT, flags={origin_is_acl,}
        #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
        #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 74

        local crypto endpt.: 123.20.105.240, remote crypto endpt.: 58.186.126.67
        path mtu 1492, ip mtu 1492, ip mtu idb Dialer1
        current outbound spi: 0x0(0)

        inbound esp sas:

        inbound ah sas:

        inbound pcp sas:

        outbound esp sas:

        outbound ah sas:

        outbound pcp sas:

        interface: Virtual-Access1
        Crypto map tag: vinhtra, local addr 123.20.105.240

        protected vrf: (none)
        local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
        current_peer 58.186.126.67 port 500
        PERMIT, flags={origin_is_acl,}
        #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
        #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 74

        local crypto endpt.: 123.20.105.240, remote crypto endpt.: 58.186.126.67
        path mtu 1492, ip mtu 1492, ip mtu idb Dialer1
        current outbound spi: 0x0(0)

        inbound esp sas:

        inbound ah sas:

        inbound pcp sas:

        outbound esp sas:

        outbound ah sas:

        outbound pcp sas:

        mình không biết như vậy là đúng chưa nữa, bạn xem giùm mình nha

        Comment

        • #5
          hi nguyenquocle
          sau khi mình dùng lệnh "show crypto isakmp sa" thì thấy báo như sau
          dst src state conn-id slot status
          123.20.105.240 58.186.126.67 QM_IDLE 1 0 ACTIVE

          còn dùng lệnh "show crypto ipsec sa" thì báo như sau

          Router#sh crypto ipsec sa

          interface: Dialer1
          Crypto map tag: vinhtra, local addr 123.20.105.240

          protected vrf: (none)
          local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
          current_peer 58.186.126.67 port 500
          PERMIT, flags={origin_is_acl,}
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts compr. failed: 0
          #pkts not decompressed: 0, #pkts decompress failed: 0
          #send errors 0, #recv errors 74

          local crypto endpt.: 123.20.105.240, remote crypto endpt.: 58.186.126.67
          path mtu 1492, ip mtu 1492, ip mtu idb Dialer1
          current outbound spi: 0x0(0)

          inbound esp sas:

          inbound ah sas:

          inbound pcp sas:

          outbound esp sas:

          outbound ah sas:

          outbound pcp sas:

          interface: Virtual-Access1
          Crypto map tag: vinhtra, local addr 123.20.105.240

          protected vrf: (none)
          local ident (addr/mask/prot/port): (192.168.4.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
          current_peer 58.186.126.67 port 500
          PERMIT, flags={origin_is_acl,}
          #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts compr. failed: 0
          #pkts not decompressed: 0, #pkts decompress failed: 0
          #send errors 0, #recv errors 74

          local crypto endpt.: 123.20.105.240, remote crypto endpt.: 58.186.126.67
          path mtu 1492, ip mtu 1492, ip mtu idb Dialer1
          current outbound spi: 0x0(0)

          inbound esp sas:

          inbound ah sas:

          inbound pcp sas:

          outbound esp sas:

          outbound ah sas:

          outbound pcp sas:

          mình không biết như vậy là đúng chưa nữa, bạn xem giùm mình nha

          Comment

          • #6
            trên con vigor thi trong phần vpn connection management thì mình xem thấy là vpn đã up và kết nối rồi, còn hình thì mình ko biết up lên, sorry mọi người:(

            Comment

            • #7
              Phase 2 của bạn hiện tại chưa thiết lập thành công, bạn dùng câu lệnh như sau và copy kết quả lại đưa lên forum mình xem cho.
              router#debug crypto ipsec
              Nguyễn Quốc Lễ, CCNP CCSP
              Email: nguyenquocle@wimaxpro.org

              Viet Professionals Co. Ltd. VnPro ®
              ---------------------------------------
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel: (08) 35124257
              Fax: (08) 5124314
              Support Forum : http://www. vnpro.org
              Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
              Blog VnPro : http://www.vnpro.org/blog
              Cộng Đồng Mạng Không Dây Việt Nam

              Comment

              • #8
                hi ban le
                mình đã dùng lệnh "debug crypto ipsec" và đây là kết quả
                Router#debug crypto ipse
                Crypto IPSEC debugging is on
                Router#
                *Mar 1 02:44:30.855: IPSEC(key_engine): got a queue event with 1 kei messages
                *Mar 1 02:44:30.983: IPSEC(validate_proposal_request): proposal part #1,
                (key eng. msg.) INBOUND local= 123.20.119.99, remote= 58.186.126.67,
                local_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
                remote_proxy= 192.168.11.0/255.255.255.0/0/0 (type=4),
                protocol= ESP, transform= esp-des esp-md5-hmac (Tunnel),
                lifedur= 0s and 0kb,
                spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
                *Mar 1 02:44:30.987: Crypto mapdb : proxy_match
                src addr : 192.168.4.0
                dst addr : 192.168.11.0
                protocol : 0
                src port : 0
                dst port : 0
                *Mar 1 02:44:30.991: IPSEC(key_engine): got a queue event with 1 kei messages
                *Mar 1 02:44:30.995: IPSEC(spi_response): getting spi 471786351 for SA
                from 123.20.119.99 to 58.186.126.67 for prot 3
                *Mar 1 02:44:31.011: IPSEC(key_engine): got a queue event with 2 kei messages
                *Mar 1 02:44:31.011: IPSEC(initialize_sas): ,
                (key en
                Router#g. msg.) INBOUND local= 123.20.119.99, remote= 58.186.126.67,
                local_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
                remote_proxy= 192.168.11.0/255.255.255.0/0/0 (type=4),
                protocol= ESP, transform= esp-des esp-md5-hmac (Tunnel),
                lifedur= 3600s and 0kb,
                spi= 0x1C1EE36F(471786351), conn_id= 0, keysize= 0, flags= 0x2
                *Mar 1 02:44:31.015: IPSEC(initialize_sas): ,
                (key eng. msg.) OUTBOUND local= 123.20.119.99, remote= 58.186.126.67,
                local_proxy= 192.168.4.0/255.255.255.0/0/0 (type=4),
                remote_proxy= 192.168.11.0/255.255.255.0/0/0 (type=4),
                protocol= ESP, transform= esp-des esp-md5-hmac (Tunnel),
                lifedur= 3600s and 0kb,
                spi= 0x79F3F7CE(2046031822), conn_id= 0, keysize= 0, flags= 0xA
                *Mar 1 02:44:31.019: Crypto mapdb : proxy_match
                src addr : 192.168.4.0
                dst addr : 192.168.11.0
                protocol : 0
                src port : 0
                dst port : 0
                *Mar 1 02:44:31.023: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the
                Router#same proxies and 58.186.126.67
                *Mar 1 02:44:31.023: IPSec: Flow_switching Allocated flow for sibling 80000005
                *Mar 1 02:44:31.027: IPSEC(policy_db_add_ident): src 192.168.4.0, dest 192.168.11.0, dest_port 0

                *Mar 1 02:44:31.027: IPSEC(create_sa): sa created,
                (sa) sa_dest= 123.20.119.99, sa_proto= 50,
                sa_spi= 0x1C1EE36F(471786351),
                sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2002
                *Mar 1 02:44:31.027: IPSEC(create_sa): sa created,
                (sa) sa_dest= 58.186.126.67, sa_proto= 50,
                sa_spi= 0x79F3F7CE(2046031822),
                sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2001
                *Mar 1 02:44:31.043: IPSEC(key_engine): got a queue event with 1 kei messages
                *Mar 1 02:44:31.047: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
                *Mar 1 02:44:31.047: IPSEC(key_engine_enable_outbound): enable SA with spi 2046031822/50
                Router#
                *Mar 1 02:45:07.115: IPSEC(epa_des_crypt): decrypted packet failed SA identity check
                *Mar 1 02:45:07.955: IPSEC(epa_des_crypt): decrypted packet failed SA identity check

                Comment

                • #9
                  bạn kiểm tra lại các yếu tố trong phase 2 là transform-set, access-list bảo vệ 2 mạng inside ở 2 site, địa chỉ peer của 2 site không được phép sai. các yếu tố này cần bảo đảm phải chính xác vì bạn chưa thiết lập được phase 2.
                  Ví dụ:
                  router 1841 bạn đang sử dụng là: "access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.11.0 0.0.0.255" thì bên vigor bạn phải có gán traffic được bảo vệ ngược lại là 192.168.11.0/24 -> 192.168.4.0/24.
                  bạn đang sử dụng transform-set là :"crypto ipsec transform-set myset esp-des esp-md5-hmac " thì bên vigor bạn vẫn phải sử dụng esp-des và esp-md5-hmac.

                  Ngoài ra bạn phải bảo đảm nếu có firewall đứng trước router or vigor thì phải mở hết các port sau đây : 500,50,4500.

                  Bạn dùng câu lệnh "show crypto engine connection active" ,kết quả post lên cho mình xem nha.
                  Sau khi bạn chỉnh sửa chính xác các yếu tố trên thì dùng câu lênh "clear crypto sa" để 2 site thiết lập ipsec lại với nhau sau đó khởi tạo traffic (ví dụ như ping từ 1 host nào đó trong mạng của router đến host nằm ở vigor)
                  Mình sẽ cố gắng giúp bạn.
                  Nguyễn Quốc Lễ, CCNP CCSP
                  Email: nguyenquocle@wimaxpro.org

                  Viet Professionals Co. Ltd. VnPro ®
                  ---------------------------------------
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel: (08) 35124257
                  Fax: (08) 5124314
                  Support Forum : http://www. vnpro.org
                  Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                  Blog VnPro : http://www.vnpro.org/blog
                  Cộng Đồng Mạng Không Dây Việt Nam

                  Comment

                  • #10
                    Ở cấu hình sh run thì :
                    Originally posted by thangmaster
                    crypto map hochiminh 10 ipsec-isakmp
                    set peer 58.186.45.205
                    set transform-set myset
                    match address 101
                    reverse-route
                    còn debug thì
                    Originally posted by thangmaster View Post
                    hi nguyenquocle
                    [B]Router#sh crypto ipsec sa

                    interface: Dialer1
                    Crypto map tag: vinhtra, local addr 123.20.105.240

                    interface: Virtual-Access1
                    Crypto map tag: vinhtra, local addr 123.20.105.240

                    có giống nhau ko vậy bạn ?

                    và có cần ???
                    Originally posted by thangmaster
                    ip route 192.168.11.0 255.255.255.0 58.186.45.205
                    trong running config ko?
                    Last edited by soibien; 23-03-2009, 11:27 AM.

                    Comment

                    • #11
                      bạn thangmaster đang cấu hình peer với 58.186.45.205. nhưng sau đó ipsec lại thiết lập với 58.186.126.67 là thế nào hả bạn?

                      crypto map vinhtra là cấu hình bạn đang peer với 58.186.126.67. còn crypto map hochiminh là peer với 58.186.45.205. vậy bạn đang peer với ai?

                      câu hỏi của bạn soibien là có cần câu lệnh "ip route 192.168.11.0 255.255.255.0 58.186.45.205" . câu trả lời là mình khuyên bạn nên sử dụng. như bạn đã biết router ưu tiên chọn route dựa trên AD mà static có AD là 1 sẽ ưu tiên hơn routing protocol như eigrp ,ospf..chọn lựa sau cùng sẽ là default-route nếu như không kiếm thấy route trong bảng routing table.
                      Trường hợp bạn không sử dụng câu lệnh trên thì router sẽ sử dụng default-route.nếu bạn có một bảng routing table lớn thì router sẽ mất thời gian nhiều để chọn đường đi,sau khi không biết đường đi đến đích thì router sẽ chọn default-route. như vậy sẽ mất thời gian.
                      Static route sẽ giúp router chọn đường đi đến đích nhanh hơn
                      Last edited by nguyenquocle; 23-03-2009, 04:40 PM.
                      Nguyễn Quốc Lễ, CCNP CCSP
                      Email: nguyenquocle@wimaxpro.org

                      Viet Professionals Co. Ltd. VnPro ®
                      ---------------------------------------
                      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                      Tel: (08) 35124257
                      Fax: (08) 5124314
                      Support Forum : http://www. vnpro.org
                      Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                      Blog VnPro : http://www.vnpro.org/blog
                      Cộng Đồng Mạng Không Dây Việt Nam

                      Comment

                      • #12
                        nếu bạn thangmaster đang peer với 58.186.126.67 thì bạn phải sửa lại câu lệnh ip route là:
                        Router(config)#no ip route 192.168.11.0 255.255.255.0 58.186.45.205
                        Router(config)#ip route 192.168.11.0 255.255.255.0 58.186.126.67
                        Nguyễn Quốc Lễ, CCNP CCSP
                        Email: nguyenquocle@wimaxpro.org

                        Viet Professionals Co. Ltd. VnPro ®
                        ---------------------------------------
                        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                        Tel: (08) 35124257
                        Fax: (08) 5124314
                        Support Forum : http://www. vnpro.org
                        Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                        Blog VnPro : http://www.vnpro.org/blog
                        Cộng Đồng Mạng Không Dây Việt Nam

                        Comment

                        • #13
                          sorry các pro tại mình làm trên adsl ko có ip tĩnh nên mỗi lần làm ip khác nhau, thank ban quocle nhiều mình đang kiểm tra lại hết những gì bạn nói lần nữa, có gì mình sẽ post kết quả sau nha

                          Comment

                          • #14
                            bạn nên suy nghĩ đến giải pháp VPN cấu hình trên router "Building Dynamic Crypto Maps" .Giải pháp này thích hợp đối với trường hợp của bạn vì 1 trong 2 site của bạn đang sử dụng ip động. bạn không thể cấu hình VPN cứ mỗi lần thay đổi ip như vậy.
                            Nguyễn Quốc Lễ, CCNP CCSP
                            Email: nguyenquocle@wimaxpro.org

                            Viet Professionals Co. Ltd. VnPro ®
                            ---------------------------------------
                            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                            Tel: (08) 35124257
                            Fax: (08) 5124314
                            Support Forum : http://www. vnpro.org
                            Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                            Blog VnPro : http://www.vnpro.org/blog
                            Cộng Đồng Mạng Không Dây Việt Nam

                            Comment

                            Previous template Next
                            Working...
                            X