Ipsec vpn, Phase 2 kann nicht gestartet werden

Ich bin mir ziemlich sicher, dass ich die Antwort darauf kenne, aber ich weiß nicht, wie ich sie implementieren soll.

Der Versuch, einen IPSec-VPN von einem Cisco 2811 auf eine Linux-Box einzurichten, auf der openswan ausgeführt wird. Bisher kann ich Phase 1 starten, aber Phase 2 hat ein Problem. Es ist zu 100% ein Konfigurationsproblem.

Ich versuche, das Internet und anderen Datenverkehr über die Internetverbindung am anderen Ende des Netzwerks als Gateway zum Netz aus dem VPN zu übertragen. Ich erhalte Cryptomap-Fehler. Hier ist das Setup. 1.1.1.1 ist der Cisco. Die 2.2.2.2-Adresse ist der Linux-Server, der nur eine einzige NIC hat.

192.168.xx / 24 ----- 1.1.1.1 - INTERNET 2.2.2.2 ---- >>> Internet

Ich verstehe, warum es den Phase-2-Tunnel nicht bilden kann, es kann auf der Karte nicht übereinstimmen. Aber ich habe keine Ahnung, wie die Karte in diesem Fall aussehen soll.

Ich habe es jetzt nur mit ICMP getestet.

Ich habe ICMP von NAT ausgeschlossen:

ip access-list extended NAT
deny   icmp 192.168.30.0 0.0.0.255 any

Dann ist der "interessante Verkehr" für den VPN:

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

Auf der OpenSwan-Seite verwende ich:

left=2.2.2.2
right=1.1.1.1
rightsubnet=192.168.30.3/24

Nun, der Cisco fängt sofort an zu werfen:

2d11h: map_db_find_best did not find matching map
2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
2d11h: ISAKMP:(0:26:SW:1): IPSec policy invalidated proposal
2d11h: ISAKMP:(0:26:SW:1): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)

Ich weiß, was ich möchte, aber ich weiß nicht, wie ich es einrichten soll. Wenn dies nur ein einfaches internes Subnetz wäre, wäre das kein Problem.

Jede Richtung hier wäre wirklich hilfreich.

Router-Konfiguration:

version 12.4
service timestamps debug uptime
service timestamps log datetime
service password-encryption
!
hostname Hex-2811
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-24.T5.bin
boot-end-marker
!
no logging buffered
aaa new-model
!
!
!
aaa session-id common
clock timezone EST -5
clock summer-time EDT recurring
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name hexhome.int
ip name-server 192.168.30.8
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
ipv6 unicast-routing
crypto isakmp policy 1
encr aes 192
authentication pre-share
group 5
lifetime 43200
crypto isakmp key ********** address 2.2.2.2
!
!
crypto ipsec transform-set IOFSET2 esp-aes 192 esp-sha-hmac 
!
!
crypto map IOFVPN 1 ipsec-isakmp 
description Isle Of Man
set peer 2.2.2.2
set transform-set IOFSET2 
match address 153
!
! 
!
!
interface FastEthernet0/0
description Internal 192 Network
ip address 192.168.30.1 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex full
speed 100
!
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled

crypto map IOFVPN
!

ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 174.59.28.1
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.30.45 3001
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source route-map POLICY-NAT interface FastEthernet0/1 overload

ip access-list extended NAT
deny   icmp 192.168.30.0 0.0.0.255 any
permit ip any any

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

route-map POLICY-NAT permit 10
match ip address NAT
!

UPDATE: Die ACL: Zugriffsliste 153 hat IP 192.168.30.0 0.0.0.255 Host 2.2.2.2 zugelassen und der Tunnel wird direkt hochgefahren und ich kann wie erwartet pingen.

Ich versuche jetzt, den Webdatenverkehr durchzuleiten. Das Richtlinienrouting funktioniert nicht. Ich fügte hinzu

route-map VPN_WEB permit 1
match ip address 155
set ip next-hop 2.2.2.2

access-list 155 permit tcp any any eq www

interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
ip policy route-map VPN_WEB
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN

Ich kann die Route-Map-Übereinstimmung im WWW-Verkehr sehen, aber sie wird nicht durch den Tunnel geleitet.

Ich habe die ursprüngliche Acl geändert von:

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

Zu:

access-list 153 permit icmp 192.168.30.0 0.0.0.255 2.2.2.2 0.0.0.0

Sobald dies geändert wurde, stimmten die Karten an beiden Enden überein und die Tunnel kamen hoch. Ich habe seitdem ein eth0: 0 auf der openswan-Seite mit einer Adresse im Bereich 192.168.10.0 hinzugefügt, die die acl in ändert

access-list 153 permit 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

Der Tunnel kam genau richtig, dies machte einige Dinge nur ein wenig einfacher, wenn man nun dem Standardmodell "Lan-to-Lan" folgt.