SiteToSite VPN

dastin517

SiteToSite VPN
« kdy: 02. 07. 2014, 10:21:47 »
Zdravim, potrebujem vytvorit site to site VPN.

Mam routre cisco rv042 a cisco rv180 .
Na rv042 mam staticku verejnu IP. RV180 mam iba verejnu, dynamicku. Bude mozne vytvorit VPN medzi tymito routrami? Zatial sa mi to nedari. Skusal som DDNS ale mam moznost iba - dyndns.com, tzo.com a 3322.org. Zatial u vsetkych je ta sluzba spoplatnena a to si rovno mozem kupit dalsiu verejnu IP pre RV180. U "normalnych" cisco routrov sa to da vytvorit pomerne jednoducho http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/936-cisco-router-vpn-dynamic-endpoint.html Ale u tychto SMB zariadeni mi to jednoducho nejde :/ .

Len ci to je mozne aby som sa zbytocne netrapil..Dik


PetrP

Re:SiteToSite VPN
« Odpověď #1 kdy: 02. 07. 2014, 20:02:05 »
100% to jde, minulý týden jsem dělal to samé jak ty, ale narazil jsem na to, že se mi tunel navázal, ale šlapal pouze jednosměrně = timeouty.
Reseni je jednoduche, másto aby jsi v POLICY měl SUBNET, dej si tam RANGE 1-254 a pak to bude OK.
Zkontoluj, že máš všude správné IP, stejné zabezpečení atd. protože by default ti POLICY na RV180 dělá PHASE2 jiné šifrování jak PHASE1... Nepoužívej pokročilá nastavení z RV042, protože 180ka to neumí...

Prvně si tunel navaž po IP - PUBLIC - PUBLIC, až navážeš tunel dej si to na jakékoliv dydns, pak už nebude problém to provozovat.

dastin517

Re:SiteToSite VPN
« Odpověď #2 kdy: 03. 07. 2014, 07:29:05 »
Dakujem za odpoved. Pojdem to skusit. A tak vcera som to nevydrzal a dal som tych 18€ na dyndns. Ved niekedy sa to moze hodit :)

dastin517

Re:SiteToSite VPN
« Odpověď #3 kdy: 21. 07. 2014, 11:42:12 »
100% to jde, minulý týden jsem dělal to samé jak ty, ale narazil jsem na to, že se mi tunel navázal, ale šlapal pouze jednosměrně = timeouty.
Reseni je jednoduche, másto aby jsi v POLICY měl SUBNET, dej si tam RANGE 1-254 a pak to bude OK.
Zkontoluj, že máš všude správné IP, stejné zabezpečení atd. protože by default ti POLICY na RV180 dělá PHASE2 jiné šifrování jak PHASE1... Nepoužívej pokročilá nastavení z RV042, protože 180ka to neumí...

Prvně si tunel navaž po IP - PUBLIC - PUBLIC, až navážeš tunel dej si to na jakékoliv dydns, pak už nebude problém to provozovat.

Ahoj skúšal som to ale nedarí sa mi to spojazdnit. Nevedel by si mi sem prihodiť tvoj konfigurák z tych cisco zariadení?

Moja situácia:

Strana A:
Verejná statická adresa od ISP
Router cisco rv042
LAN rozsah 192.168.0.x

Strana B:
Dynamická adresa od ISP
Router cisco rv180
LAN rozsah 192.168.10.x

Chcel by som to stýlom site-to-site

ďakujem


dastin517

Re:SiteToSite VPN
« Odpověď #4 kdy: 01. 08. 2014, 08:50:57 »
Ozaj už netuším, čo tam robím zle....
Zapojenie siete:
https://supportforums.cisco.com/sites/default/files/media/untitled_15.png

Nastavenie routrov....
Router RV180 som pridal aj do DMZ routra "No Name" od ISP
https://supportforums.cisco.com/sites/default/files/media/untitled_1.jpg

Log from RV180 behind NAT:

Thu Jul 31 13:31:22 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Adding IPSec configuration with identifier "xxx.eu"
Thu Jul 31 13:31:22 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Adding IKE configuration with identifier "xxx.eu"
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Using IPsec SA configuration: 192.168.10.0/24<->192.168.0.0/24
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Configuration found for 87.197.xxx.166.
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Configuration found for 87.197.xxx.166.
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Initiating new phase 1 negotiation: 10.0.1.2[500]<=>87.197.xxx.166[500]
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Beginning Aggressive mode.
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  NAT-Traversal is Enabled
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:   [isakmp_agg.c:257]: XXX: NUMNATTVENDORIDS: 3
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:   [isakmp_agg.c:261]: XXX: setting vendorid: 4
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:   [isakmp_agg.c:261]: XXX: setting vendorid: 8
Thu Jul 31 13:31:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:   [isakmp_agg.c:261]: XXX: setting vendorid: 9
Thu Jul 31 13:31:55 2014 (GMT +0200): [routerBB9406] [IKE] ERROR:  Phase 2 negotiation failed due to time up waiting for phase1. ESP 87.197.xxx.166->10.0.1.2
Thu Jul 31 13:32:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Using IPsec SA configuration: 192.168.10.0/24<->192.168.0.0/24
Thu Jul 31 13:32:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Configuration found for 87.197.xxx.166.
Thu Jul 31 13:32:23 2014 (GMT +0200): [routerBB9406] [IKE] INFO:  Configuration found for 87.197.xxx.166.
Thu Jul 31 13:32:54 2014 (GMT +0200): [routerBB9406] [IKE] ERROR:  Phase 2 negotiation failed due to time up waiting for phase1. ESP 87.197.xxx.166->10.0.1.2
Thu Jul 31 13:33:13 2014 (GMT +0200): [routerBB9406] [IKE] ERROR:  Phase 1 negotiation failed due to time up for 87.197.xxx.166[500]. ee6cb4de3f2b19ff:0000000000000000

 

And Log from RV042:
Jul 31 13:54:33 2014   Connection Accepted   UDP 213.160.xxx.250:500->87.197.xxx.166:500 on MAC=
Jul 31 13:54:33 2014   VPN Log   packet from 213.160.xxx.250:500: [Tunnel Authorize Fail] no connection has been authorized with policy=PSK+AGGRESSIVE

Log hovorí, že tam je problém s phase1 overením, ale už som skúšal všetko a stále nič....


kolemjdouci

Re:SiteToSite VPN
« Odpověď #5 kdy: 01. 08. 2014, 10:20:46 »
Ten router co tam pacha NAT. Jake porty mas povolene dovnitr? Kdyby sel vyhodit a delat pripadne NAT na to RV180, asi by to take nebylo od veci - pokud nema nejaky specialni ucel.

Dalsi vec, pokud to jde, tak pouzivej MainMode a ne Aggressive - ten se pouziva primarne na Remote Access a ne L2L (a hlavne je to mene zabezpecene pri sestavovani).

dastin517

Re:SiteToSite VPN
« Odpověď #6 kdy: 01. 08. 2014, 11:43:33 »
na tom routri som dal povolit 4500 500 50 51 porty...Ale neriesil som to zatial NAT-om ale rovno pre TESTovacie ucely som to dal do DMZ.A ked to rozbeham prepnem to s DMZ(tu nemozem pouzivat stale) na NAT-ovane porty

Hej o aggressive viem ze je menej bezpecne pri nadvezovani....ale snazim sa to rozbehat tak som skusil aj tu moznost.

Lol Phirae

Re:SiteToSite VPN
« Odpověď #7 kdy: 01. 08. 2014, 11:47:32 »
na tom routri som dal povolit 4500 500 50 51 porty...

Ahem... Ale to 50 a 51 nejsou porty, ale protokol (ESP/AH). Povolit port je úplně na hovno.  ;D ;D ;D

dastin517

Re:SiteToSite VPN
« Odpověď #8 kdy: 01. 08. 2014, 12:20:29 »
ehm ale to je teraz asi nepodstatne, ved su v DMZ

Lol Phirae

Re:SiteToSite VPN
« Odpověď #9 kdy: 01. 08. 2014, 15:13:28 »
ehm ale to je teraz asi nepodstatne, ved su v DMZ

Pokud ta kraksna neumí něco, co se obvykle v GUI jmenuje IPSec Passthough (a zhusta je to na routerech úplně rozbité), tak to nebude fungovat ani v DMZ.

Re:SiteToSite VPN
« Odpověď #10 kdy: 01. 08. 2014, 16:10:39 »
Aha rozumiem, vies poradit aj neaky sposob otestovania ci je to v poriadku, ozaj by som chcel spravit tu VPN a necakal som ze to moze byt az taky problem. Davnejsie som fungoval Linux router - Linux router  s openvpn a bez problemov. Ale kvoli setreniu nakladov som dostal do ruky tieto dve krabicky...A uz nemam vlasy z toho...

Lol Phirae

Re:SiteToSite VPN
« Odpověď #11 kdy: 01. 08. 2014, 16:22:34 »
No, jak už tady někdo radil, nejlepší by bylo ten "noname router" vyhodit.

Re:SiteToSite VPN
« Odpověď #12 kdy: 03. 08. 2014, 18:45:22 »
Zdar, IPsec SA Established   :D :D

DMZ asi nefunguje ako DMZ, na No Name routri som spravil jednoduchy port forwarding s 500 a 4500 portom UDP..A hla ono to funguje ...


Dik za rady...idem si na pivo a skusim to lepsie zabezpecit...