Announcement

**dangquangminh** · 28-05-2015, 07:38 PM

Nếu cấu hình vpn trên router thì trên firewall chỉ cần cấu hình routing, NAT và các chức năng firewall khác như ACL. Trên router khi đó phải cấu hình VPN, NAT, ACL.
Nếu cấu hình vpn trên firewall thì router bên ngoài chỉ cần cấu hình routing.

**thanhlb** · 29-05-2015, 05:17 PM

em xin cảm ơn thầy Minh.

em chưa giả lập đc firewall nên lấy tạm router để thay thế, vì mục tiêu là cấu hình vpn mạng lan nằm sau 2 con router
cấu hình vpn trên con router mặt ngoài là R2 và R4 thì em làm chạy đc rồi nhưng mà cấu hình vpn trên 2 con R1 và R5 thì vẫn chưa được

thông số cấu hình trên R1 như sau

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 10.0.34.4
!
crypto ipsec transform-set myset esp-3des
!
crypto map mymap 1 ipsec-isakmp
set peer 10.0.34.4
set transform-set myset
match address 100
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.12.1 255.255.255.0
half-duplex
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 Ethernet0/0 10.0.12.2
!
access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

trên R2 như sau
interface Ethernet0/0
ip address 10.0.12.2 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!
interface Ethernet0/1
ip address 10.0.23.2 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
!
ip route 0.0.0.0 0.0.0.0 Ethernet0/1 10.0.23.3
ip route 1.1.1.0 255.255.255.0 Ethernet0/0 10.0.12.1
!
ip nat inside source list 100 interface Ethernet0/1 overload
!
access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 100 permit ip 1.1.1.0 0.0.0.255 any

còn trên R4 và R5 thì em cũng cấu hình tương tự thôi
khi debug crypto isakmp trên R1 thì ra như thế này và em ko bít lỗi nó thế nào, mong mọi người chỉ giúp :(

*Mar 1 00:10:38.167: ISAKMP: received ke message (1/1)
*Mar 1 00:10:38.167: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
*Mar 1 00:10:38.171: ISAKMP: Created a peer struct for 10.0.34.4, peer port 500
*Mar 1 00:10:38.171: ISAKMP: New peer created peer = 0x64951C00 peer_handle = 0x80000002
*Mar 1 00:10:38.171: ISAKMP: Locking peer struct 0x64951C00, IKE refcount 1 for isakmp_initiator
*Mar 1 00:10:38.171: ISAKMP: local port 500, remote port 500
*Mar 1 00:10:38.175: ISAKMP: set new node 0 to QM_IDLE
*Mar 1 00:10:38.175: insert sa successfully sa = 641F0064
*Mar 1 00:10:38.175: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
*Mar 1 00:10:38.179: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 10.0.34.4
*Mar 1 00:10:38.179: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
*Mar 1 00:10:38.179: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
*Mar 1 00:10:38.183: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
*Mar 1 00:10:38.183: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
*Mar 1 00:10:38.183: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I_MM1

*Mar 1 00:10:38.183: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
*Mar 1 00:10:38.187: ISAKMP:(0:0:N/A:0): sending packet to 10.0.34.4 my_port 500 peer_port 500 (I) MM_NO_STATE.....
Success rate is 0 percent (0/5)
R1#
*Mar 1 00:10:48.187: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Mar 1 00:10:48.187: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
*Mar 1 00:10:48.187: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Mar 1 00:10:48.191: ISAKMP:(0:0:N/A:0): sending packet to 10.0.34.4 my_port 500 peer_port 500 (I) MM_NO_STATE
R1#
*Mar 1 00:10:58.191: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Mar 1 00:10:58.191: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
*Mar 1 00:10:58.191: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Mar 1 00:10:58.195: ISAKMP:(0:0:N/A:0): sending packet to 10.0.34.4 my_port 500 peer_port 500 (I) MM_NO_STATE
R1#
*Mar 1 00:11:08.151: ISAKMP: received ke message (1/1)
*Mar 1 00:11:08.151: ISAKMP: set new node 0 to QM_IDLE
*Mar 1 00:11:08.155: ISAKMP:(0:0:N/A:0):SA is still budding. Attached new ipsec request to it. (local 10.0.12.1, remote 10.0.34.4)
*Mar 1 00:11:08.195: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Mar 1 00:11:08.195: ISAKMP (0:0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
*Mar 1 00:11:08.195: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Mar 1 00:11:08.199: ISAKMP:(0:0:N/A:0): sending packet to 10.0.34.4 my_port 500 peer_port 500 (I) MM_NO_STATE
R1#
*Mar 1 00:11:18.199: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Mar 1 00:11:18.199: ISAKMP (0:0): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
*Mar 1 00:11:18.199: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Mar 1 00:11:18.203: ISAKMP:(0:0:N/A:0): sending packet to 10.0.34.4 my_port 500 peer_port 500 (I) MM_NO_STATE
R1#
*Mar 1 00:11:28.203: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE...
*Mar 1 00:11:28.203: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
*Mar 1 00:11:28.203: ISAKMP:(0:0:N/A:0): retransmitting phase 1 MM_NO_STATE
*Mar 1 00:11:28.207: ISAKMP:(0:0:N/A:0): sending packet to 10.0.34.4 my_port 500 peer_port 500 (I) MM_NO_STATE
R1#
*Mar 1 00:11:38.151: ISAKMP: received ke message (3/1)
*Mar 1 00:11:38.151: ISAKMP:(0:0:N/A:0):peer does not do paranoid keepalives.

*Mar 1 00:11:38.155: ISAKMP:(0:0:N/A:0):deleting SA reason "P1 delete notify (in)" state (I) MM_NO_STATE (peer 10.0.34.4)
*Mar 1 00:11:38.167: ISAKMP:(0:0:N/A:0):deleting SA reason "P1 delete notify (in)" state (I) MM_NO_STATE (peer 10.0.34.4)
*Mar 1 00:11:38.167: ISAKMP: Unlocking IKE struct 0x64951C00 for isadb_mark_sa_deleted(), count 0
*Mar 1 00:11:38.167: ISAKMP: Deleting peer node by peer_reap for 10.0.34.4: 64951C00
*Mar 1 00:11:38.171: ISAKMP:(0:0:N/A:0):deleting node 699272089 error FALSE reason "IKE deleted"
R1#
*Mar 1 00:11:38.171: ISAKMP:(0:0:N/A:0):deleting node 717922079 error FALSE reason "IKE deleted"
*Mar 1 00:11:38.171: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Mar 1 00:11:38.175: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_DEST_SA
R1#
*Mar 1 00:12:28.171: ISAKMP:(0:0:N/A:0):purging node 699272089
*Mar 1 00:12:28.171: ISAKMP:(0:0:N/A:0):purging node 717922079
R1#
*Mar 1 00:12:38.171: ISAKMP:(0:0:N/A:0):purging SA., sa=641F0064, delme=641F0064

**dangquangminh** · 29-05-2015, 10:33 PM

pha 1 của VPN chưa chạy. Em phải cấu hình VPN dùng địa chỉ mặt ngoài của các router r5 và r1. hiện tại cấu hình vpn của em vẫn đang dùng của R2 và R4.

**thanhlb** · 29-05-2015, 11:42 PM

Originally posted by dangquangminh View Post

pha 1 của VPN chưa chạy. Em phải cấu hình VPN dùng địa chỉ mặt ngoài của các router r5 và r1. hiện tại cấu hình vpn của em vẫn đang dùng của R2 và R4.

dạ ý của em là giả lập R2 R4 như 2 con router mặt ngoài kết nối với ip tĩnh ngoài thực tế, còn còn R1 và R5 là router nằm nội bộ bên trong.

**dangquangminh** · 30-05-2015, 01:17 AM

trên R2 và R4 em nên cấu hình static IP vào địa chỉ của R2 và R5. Sau đó em cấu hình vpn site to site như bình thường.

**thanhlb** · 30-05-2015, 10:39 AM

Cảm ơn thầy Minh nhiều lắm, em làm được rồi.

Announcement

Thắc mắc về VPN site-to-site cơ bản

Thắc mắc về VPN site-to-site cơ bản

Comment

Comment

Comment

Comment

Comment

Comment