Chắc chắn phải cấu hình VPN trên 3 Router. Để bảo mật hơn thì bạn cũng phải cấu hình luôn VPN trên 3 Firewall.

Ai có cao kiến khác, xin chỉ giáo

Thân

bạn nên dùng VPN trên 3 Router còn bảo mật thì cấu hình trên firewall

cảm ơn các bạn rất nhiều, mình tưởng đã dùng MPLS thì không cần phải cấu hình VPN nữa, các bạn có thể giúp mình cấu hình VPN cho 3 con router HN, DN, HCM đuợc không.

bạn tham khảo link này thử xem

Thanks bro nhe, đúng là cái mình đang cần.

Cho mình hỏi về DMVPN!

Trong DMVPN mình có thể cấu hình ca server để cấp phát certificate cho các spoke đựơc ko ? Nếu được nhờ các bạn chỉ mình cách cấu hình ca trên hub và spoke ? Cám ơn các bạn nhiều nhiều!

Trong DMVPN mình có thể cấu hình ca server để cấp phát certificate cho HUB và các spoke được đó bạn, còn cấu hình thì bạn cấu hình router xin cert từ ca server sau đó chuyển câu lệnh "authentication pre-share-key" thành câu lệnh "authentication rsa-sig" thôi bạn.

Làm ơn cho mình hỏi về cái lỗi này:
Jul 13 08:23:04.175: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has
invalid spi for destaddr=172.26.26.51, prot=50, spi=0xEE0E479(249619577), srcad
dr=193.1.2.2

Hôm trước mình cấu hình thì ping được rùi hôm nay copy paste lại thì no hiện lỗi này và hông ping được! Không biết bị sao nữa? Mình đã kiểm tra hết file rùi!
SPOKE1:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key phuc123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
mode transport!
crypto ipsec profile vpn
set transform-set vpn!
!
crypto map test 10 ipsec-isakmp
set peer 172.26.26.51
set security-association level per-host
set transform-set vpn
match address 101!
!
!
!
!
interface Tunnel0
ip address 194.1.1.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp authentication phuc123
ip nhrp map 194.1.1.3 172.26.26.51
ip nhrp map multicast 172.26.26.51
ip nhrp network-id 100
ip nhrp holdtime 600
ip nhrp nhs 194.1.1.3
tunnel source 193.1.1.2
tunnel mode gre multipoint
tunnel key 1000
tunnel protection ipsec profile vpn
!!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/0
ip address 193.1.1.2 255.255.255.0
serial restart-delay 0
crypto map test!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
router eigrp 1
network 192.168.1.0
network 194.1.1.0
no auto-summary
eigrp stub connected
!ip route 0.0.0.0 0.0.0.0 193.1.1.1
!
!
ip http server
no ip http secure-server
!
access-list 101 permit gre 193.1.1.0 0.0.0.255 host 172.26.26.51
!!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
ntp clock-period 17179891
ntp server 172.26.26.51
!
end


SPOKE2:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key phuc123 address 0.0.0.0 0.0.0.0
!!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
mode transport!
crypto ipsec profile vpn
set transform-set vpn
!!
crypto map vpn 10 ipsec-isakmp
set peer 172.26.26.51
set security-association level per-host
set transform-set vpn
match address 101
!
!
!
!
!
interface Tunnel0
ip address 194.1.1.2 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp authentication phuc123
ip nhrp map 194.1.1.3 172.26.26.51
ip nhrp map multicast 172.26.26.51
ip nhrp network-id 100
ip nhrp holdtime 600
ip nhrp nhs 194.1.1.3
tunnel source 193.1.2.2
tunnel mode gre multipoint
tunnel key 1000
tunnel protection ipsec profile vpn
!interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/0
ip address 193.1.2.2 255.255.255.0
serial restart-delay 0
crypto map vpn!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
router eigrp 1
network 192.168.2.0
network 194.1.1.0
no auto-summary
eigrp stub connected
!
ip route 0.0.0.0 0.0.0.0 193.1.2.1
!
!
ip http server
no ip http secure-server
!
access-list 101 permit gre 193.1.2.0 0.0.0.255 host 172.26.26.51
!!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
ntp clock-period 17179872
ntp server 172.26.26.51
!
end


HUB:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HUB
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
clock timezone CST -6
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key phuc123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile vpn
set transform-set vpn
!
!
!
!
!
interface Tunnel0
ip address 194.1.1.3 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp authentication phuc123
ip nhrp map multicast dynamic
ip nhrp holdtime 600
no ip split-horizon eigrp 1
tunnel source 172.26.26.51
tunnel mode gre multipoint
tunnel key 1000
tunnel protection ipsec profile vpn
!interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/0
ip address 172.26.26.51 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
router eigrp 1
network 172.26.0.0
network 192.168.0.0
network 194.1.1.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 172.26.26.50
!
!
ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
ntp master 5
!
end


Nhờ các bạn giúp đở giùm!!

hi bạn,

bạn xem lại cấu hình của mình nha. Mình sẽ bỏ các câu lệnh không cần thiết ở dưới đây, sau khi bạn apply thì theo dõi xem còn bị nữa không hah.

HUB:
router eigrp 1
no network 172.26.0.0

SPOKE1:
interface Serial1/0
no crypto map test
no crypto map test 10 ipsec-isakmp
no access-list 101 permit gre 193.1.1.0 0.0.0.255 host 172.26.26.51

SPOKE2:
interface Serial1/0
no crypto map vpn
no crypto map vpn 10 ipsec-isakmp
no access-list 101 permit gre 193.1.2.0 0.0.0.255 host 172.26.26.51

Mình đã làm theo cách của bạn nhưng nó đã hiện lỗi đó ? Mình đã thử các các kiểu xác thực như: authentication rsa-encr và rsa-sig (mình đã issue certificate và các thông số đều giống nhau ) nhưng vẫn hông được, thử lại với preshred-key nhưng vẫn có lỗi. Cho mình hỏi cái lỗi Spi đó khắc phục thế nào vì mình dùng giao thức esp cho cả 2 node!

Ngoài ra, bi giờ nó báo thêm lỗi "error in decapsulation crypto_ipsec_les_fs"
Nhờ các bạn giúp đỡ! Xin cám ơn nhiều nhiều!

Cho mình hỏi thêm là hnay mình cấu hình lại nhưng lúc show run thì ở dòng:
crypto isakmp policy 1 hong thấy hiện dòng authentication ?

R1(config-isakmp)#authentication rsa-sig
Bạn dùng authen rsa-sig thì nó sẽ không hiện lên.

Chào bạn,

Còn về lỗi bạn nêu trên thì bạn hãy thêm lệnh ip nhrp network-id 100 trên Hub thử xem.
Tunnel up mà ping không được, bởi vì không có nó thì NHRP không được bật lên trên interface.

Bật câu lệnh này ở cả 2 peer lên rồi test lại nha bạn

router(config)#crypto isakmp invalid-spi-recovery

Bạn dùng thêm 1 số câu lệnh xem trạng thái phase 1 và 2 , debug , càng đầy đủ thông tin càng tốt. làm cho chạy bằng pre-share-key trước đi bạn rồi làm rsa-sig sau

Mình nghĩ lỗi chắc ở hub!

hub#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 193.1.1.2 port 500
IKE SA: local 172.26.26.51/500 remote 193.1.1.2/500 Active
IPSEC FLOW: permit 47 host 172.26.26.51 host 193.1.1.2
Active SAs: 2, origin: crypto map

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 193.1.2.2 port 500
IKE SA: local 172.26.26.51/500 remote 193.1.2.2/500 Active
IPSEC FLOW: permit 47 host 172.26.26.51 host 193.1.2.2
Active SAs: 2, origin: crypto map

hub#show crypto isakmp sa
dst src state conn-id slot status
172.26.26.51 193.1.1.2 QM_IDLE 1 0 ACTIVE
172.26.26.51 193.1.2.2 QM_IDLE 2 0 ACTIVE

hub#show ip nhr
194.1.1.1/32 via 194.1.1.1, Tunnel0 created 00:01:34, expire 00:08:25
Type: dynamic, Flags: authoritative unique registered
NBMA address: 193.1.1.2
194.1.1.2/32 via 194.1.1.2, Tunnel0 created 00:02:25, expire 00:07:35
Type: dynamic, Flags: authoritative unique registered
NBMA address: 193.1.2.2