Problem med IPSEC-tunnel mellan Cisco RV320 och EdgerouterX

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010

Problem med IPSEC-tunnel mellan Cisco RV320 och EdgerouterX

Jag har en Cisco RV320 och en EdgerouterX jag skulle vilja sätta upp en IPSEC-tunnel mellan. Jag har redan en IPSEC-tunnel i min RV320 mot en annan RV320 och den har fungerat fint i flera år. Dock har jag problem att få upp tunneln mellan min RV320 och EdgerouterX.

Här är min config i min Cisco.
https://imgur.com/3M8G4e9
https://imgur.com/Lvs3bYd

Detta är de enda felet jag lyckats klura fram i Ciscos loggar
[g2gips2] #28821: [Tunnel Authorize Fail] ignoring Delete SA payload: ISAKMP SA not established

Här är min config i min Edgerouter GUI, har inte hittat någt sätt att få bättre detaljerad översikt. vart inne i config tree men inte fått ut någon bra sammanfattning.
https://imgur.com/vWBHw07

Detta hittar jag i loggen i min Edgerouter
Mar 30 13:59:32 10[IKE] <8> 83.248.*.* is initiating a Main Mode IKE_SA
Mar 30 13:59:43 11[IKE] <peer-gbg.mindomän.se-tunnel-1|8> IKE_SA peer-gbg.bridholm.se-tunnel-1[8] established between 5.240.*.*[5.240.*.*]...83.248.*.*[gbg.mindomän.se]
Mar 30 13:59:53 04[IKE] <peer-gbg.mindomän.se-tunnel-1|7> deleting IKE_SA peer-gbg.mindomän.se-tunnel-1[7] between 5.240.*.*[5.240.*.*]...83.248.*.*[gbg.mindomän.se]

Kör jag detta kommando i min edgerouter show vpn ipsec sa så är den uppe cirka 60 sekunder innan den går ner och sedan upp igen
peer-gbg.mindomän.se-tunnel-1: #13, ESTABLISHED, IKEv1, c2329feff2d6aca3_i 38803c432bc44689_r*
local '5.240.*.*' @ 5.240.*.*[500]
remote 'gbg.mindomän.se' @ 83.248.*.*[500]
AES_CBC-128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
established 10s ago, reauth in 28025s

Någon som har tips hur jag kan felsöka vidare för att få fram vilken inställning som är fel? Och ja jag har satt shared-key till abc123 bara för att ha när jag testar:)

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Maj 2016

@ciscodisco:
Du saknar PFS i Cisco configgen

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2002

Jag vet inte om det är felet men dina nät överlappar varandra. Om du inte har multipla tunnlar testa any any

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2007

@ciscodisco: Du har glömt att dölja en förekomst av din domän i loggfilen

Men som @varget säger, dina nät överlappar. Jag har svårt att tro att det är särskilt uppskattat av varesig Ciscon eller Edgeroutern.

WS: Bärbar workstation, 2 * Dell U2412M
HTPC: Intel NUC, Canton GLE 496, Yamaha RV-A830, Sanyo PLV-Z700
Server: Intel Xeon E3-1240@3.4 GHz, ESXi, 32GB RAM, 8*2TB RAID-Z2 + SSD-cache
Slösurf: MacBook Air 11,6", Samsung S8
Kamera: Canon EOS 5DII + 1DIII, Canon 100/2.8 Macro, Canon 70-200/2.8L, Canon 24-70/2.8L

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010

@zyberzero: Hehe liten tabbe:) Justerat till 192.168.64.0/24 nu istället men fortfarande problem.
Får detta i Cisco nu i dens logg

2020-03-30, 14:05:45 VPN Log [g2gips0] #28546: [Tunnel Authorize Fail] ignoring Delete SA payload: PROTO_IPSEC_ESP SA(0xc5008434) not found (maybe expired)
2020-03-30, 14:05:45 VPN Log [g2gips0] #28889: [Tunnel Established] sent QI2, IPsec SA established {ESP=>0xcdea4e01 < 0xcd25dade}
2020-03-30, 14:05:44 VPN Log [g2gips2] #28888: [Tunnel Negotiation Fail] DPD: Received R_U_THERE for unestablished ISAKMP SA

Går de på något sätt slå på lite mer dubugging i Edgeroutern?

Detta är hela min config i edgeroutern för VPN-delen https://pastebin.com/8h6m2j4E och har klickat i PFS i min Cisco

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2002

Tiden går rätt i båda burkar? Verifiera att ntp funkar

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010

@varget: ja klockar är exakt samma i båda

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Tycker att det saknas phase 2 i inställningarna på edgeroutern. Men det kanske går så som du har gjort med samma på båda faserna.

Du kanske kan få något tips här. https://community.ui.com/questions/Site-to-Site-VPN-configura...

Eller här https://help.ubnt.com/hc/en-us/articles/115011058387-EdgeRout...

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010
Skrivet av jocke92:

Tycker att det saknas phase 2 i inställningarna på edgeroutern. Men det kanske går så som du har gjort med samma på båda faserna.

Du kanske kan få något tips här. https://community.ui.com/questions/Site-to-Site-VPN-configura...

Eller här https://help.ubnt.com/hc/en-us/articles/115011058387-EdgeRout...

Kikar du min config i Edgeroutern jag lyckades få fram via cli så känns både phaae 1 och 2 samma om man jämför med Ciscon, https://pastebin.com/MTjk89ht

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av ciscodisco:

Kikar du min config i Edgeroutern jag lyckades få fram via cli så känns både phaae 1 och 2 samma om man jämför med Ciscon, https://pastebin.com/MTjk89ht

tolkar jag den så har du pfs igång i edgeroutern men inte i ciscon

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010
Skrivet av jocke92:

tolkar jag den så har du pfs igång i edgeroutern men inte i ciscon

Jo så va de först men har aktiverat de i Ciscon nu med men samma problem
https://imgur.com/a/t7PSnOB

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av ciscodisco:

Jo så va de först men har aktiverat de i Ciscon nu med men samma problem
https://imgur.com/a/t7PSnOB

Vad har du för val att välja på vid security gateway type?

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010
Skrivet av jocke92:

Vad har du för val att välja på vid security gateway type?

Dessa val finns.

https://imgur.com/3dbUezx

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av ciscodisco:

Vet inte om du har fast IP eller inte. Men du kan prova med alternativet som heter dynamic IP och även bara IP.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010
Skrivet av jocke92:

Vet inte om du har fast IP eller inte. Men du kan prova med alternativet som heter dynamic IP och även bara IP.

Ingen av de valen gör någon skillnad. Fått fram lite mer debugging nu och får fram att de verkar vara mismatch i Phase2 med vilka nät som är confade vilket är skumt då de är samma på båda. Har även testat sätta båda som /24 men samma fel.
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-tr...
sudo swanctl --log

Get detta:
06[NET] received packet: from 83.*.*.*[500] to 5.*.*.*[500] (84 bytes)
06[ENC] parsed ID_PROT request 0 [ SA ]
06[IKE] 83.*.*.* is initiating a Main Mode IKE_SA
06[ENC] generating ID_PROT response 0 [ SA V V ]
06[NET] sending packet: from 5.*.*.*[500] to 83.*.*.*[500] (116 bytes)
10[NET] received packet: from 83.*.*.*[500] to 5.*.*.*[500] (244 bytes)
10[ENC] parsed ID_PROT request 0 [ KE No ]
10[ENC] generating ID_PROT response 0 [ KE No ]
10[NET] sending packet: from 5.*.*.*[500] to 83.*.*.*[500] (260 bytes)
09[NET] received packet: from 83.*.*.*[500] to 5.*.*.*[500] (76 bytes)
09[ENC] parsed ID_PROT request 0 [ ID HASH ]
09[CFG] looking for pre-shared key peer configs matching 5.*.*.*...83.*.*.*[gbg.mydomain.se]
09[CFG] selected peer config "peer-gbg.mydomain.se-tunnel-1"
09[IKE] IKE_SA peer-gbg.mydomain.se-tunnel-1[4] established between 5.*.*.*[5.*.*.*]...83.*.*.*[gbg.mydomain.se]
09[IKE] scheduling reauthentication in 27884s
09[IKE] maximum IKE_SA lifetime 28424s
09[ENC] generating ID_PROT response 0 [ ID HASH ]
09[NET] sending packet: from 5.*.*.*[500] to 83.*.*.*[500] (76 bytes)
11[NET] received packet: from 83.*.*.*[500] to 5.*.*.*[500] (76 bytes)
11[ENC] parsed INFORMATIONAL_V1 request 547622497 [ HASH N(INVAL_ID) ]
11[IKE] received INVALID_ID_INFORMATION error notify

10[IKE] deleting IKE_SA peer-gbg.mydomain.se-tunnel-1[3] between 5.*.*.*[5.*.*.*]...83.*.*.*[gbg.mydomain.se]
10[IKE] sending DELETE for IKE_SA peer-gbg.mydomain.se-tunnel-1[3]
10[ENC] generating INFORMATIONAL_V1 request 431890273 [ HASH D ]
10[NET] sending packet: from 5.*.*.*[500] to 83.*.*.*[500] (92 bytes)

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2002

Kan du testa sätta näten till 0/0 eller any?