Xin giúp sửa lỗi site-to-site VPN kết hợp với Remote access VPN

**ttkk** · 23-05-2011, 04:01 AM

Em có topo như sau:
Vấn đề là em muốn thực hiện cấu hình site-to-site VPN kết hợp với Remote Access VPN

router Center vừa đóng vai trò là Easy VPN Server vừa thực hiện kết nối site-to-site vơi router Remote
Sau khi cấu hình xong, em thực hiện kiểm tra kết nối site-to-site giữa site A và site B --> đã kết nối thành công và đã ping thành công giữa 2 site
Về phia Client em dùng Cisco VPN Client Software, em thực hiện kết nối đến router Center --> đã kết nối thành công

Nhưng khi em thực hiện lệnh ping từ Client tới 192.168.1.1 thì lại không thành công

Em không hiểu tại sao?
Đây là cấu hình của router Center
Center

Center#show running-config
Building configuration...

Current configuration : 2029 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Center
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login VPN_AUTHEN local
aaa authorization network VPN_AUTHO local
!
!
aaa session-id common
memory-size iomem 5
ip cef
!
!
multilink bundle-name authenticated
!
!
crypto keyring L2LKeyring
pre-shared-key address 0.0.0.0 0.0.0.0 key keyring123
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ciscogroup
key ciscogroup
pool VPN_CLIENT
acl 110
netmask 255.255.255.0
crypto isakmp profile L2LProfile
keyring L2LKeyring
match identity address 0.0.0.0
crypto isakmp profile RemoteAccessProfile
match identity group ciscogroup
client authentication list VPN_AUTHEN
isakmp authorization list VPN_AUTHO
client configuration address respond
!
!
crypto ipsec transform-set MY_SET esp-3des esp-sha-hmac
!
crypto dynamic-map DYN_MAP 5
set transform-set MY_SET
set isakmp-profile RemoteAccessProfile
crypto dynamic-map DYN_MAP 10
set transform-set MY_SET
set isakmp-profile L2LProfile
!
!
crypto map MY_MAP 5 ipsec-isakmp dynamic DYN_MAP
!
!
username ccna password 0 ccna
archive
log config
hidekeys
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.0.2 255.255.255.252
clock rate 64000
crypto map MY_MAP
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip local pool VPN_CLIENT 192.168.1.10 192.168.1.20
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
!
ip http server
no ip http secure-server
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Về vấn đề định tuyến giữa các mạng thì không có lỗi gì.
Mong các pro giúp đỡ !

**ttkk** · 24-05-2011, 03:40 PM

Không ai trong diễn đàn giúp em sao?
Em đang rất cần gỡ lỗi vấn đề này
Mong các pro giúp đỡ !

**ttkk** · 26-05-2011, 12:17 AM

Buồn wa !
Không có ai trả lời câu hỏi của em sao ????

**phamminhtuan** · 26-05-2011, 12:43 AM

Chào bạn,

Bạn chạy VPN client trên máy ảo luôn để test. Đừng chạy test trên máy thật.
Thử lại nhé.

**ttkk** · 26-05-2011, 01:59 AM

Originally Posted by phamminhtuan

Chào bạn,

Bạn chạy VPN client trên máy ảo luôn để test. Đừng chạy test trên máy thật.
Thử lại nhé.

Anh ơi !
Em chạy VPN Client trên máy ảo cài XP mà, trên máy thật em cài Win 7
Em xem đi xem lại phần cấu hình mấy lần mà không phát hiện ra chỗ sai .
Em không hiểu tại sao ping lại không thành công.
Mong anh giúp đỡ !

**phamminhtuan** · 26-05-2011, 08:25 PM

Chào bạn,

Làm 2 loại VPN đó cùng lúc thì làm thêm câu lệnh này

Center(config)#crypto isakmp key xxx address IP-remote no-xauth

Remote(config)#crypto isakmp key xxx address IP-center no-xauth

Các thông số password bạn tự điền vào nhé.

**ttkk** · 26-05-2011, 10:59 PM

Originally Posted by phamminhtuan

Chào bạn,

Làm 2 loại VPN đó cùng lúc thì làm thêm câu lệnh này

Center(config)#crypto isakmp key xxx address IP-remote no-xauth

Remote(config)#crypto isakmp key xxx address IP-center no-xauth

Các thông số password bạn tự điền vào nhé.

em cám ơn anh đã giúp đỡ
anh cho em hỏi thêm !
trong bài Lab của em trên, Remote là em đặt địa chỉ IP tĩnh,thì dùng lệnh
Center(config)#crypto isakmp key xxx address IP-remote no-xauth --> em thấy rất hợp lý

còn khi remote có địa chỉ IP động thì dùng lệnh
Center(config)#crypto isakmp key xxx address IP-remote no-xauth
em nghĩ lệnh này không phù hợp cho lắm !
em chỉ phát biểu theo ý nghĩ, hi vọng không làm anh phật lòng !

**ttkk** · 26-05-2011, 11:07 PM

anh ơi !
em vẫn không hiểu tại sao từ PC (Client) chạy Cisco VPN Client software, không ping được vào mạng nội bộ của router Center ??
phần cấu hình của em có lỗi gì không ạ ?

Mong anh giúp đỡ !

**phamminhtuan** · 27-05-2011, 12:02 AM

Originally Posted by ttkk

em cám ơn anh đã giúp đỡ
anh cho em hỏi thêm !
trong bài Lab của em trên, Remote là em đặt địa chỉ IP tĩnh,thì dùng lệnh
Center(config)#crypto isakmp key xxx address IP-remote no-xauth --> em thấy rất hợp lý

còn khi remote có địa chỉ IP động thì dùng lệnh
Center(config)#crypto isakmp key xxx address IP-remote no-xauth
em nghĩ lệnh này không phù hợp cho lắm !
em chỉ phát biểu theo ý nghĩ, hi vọng không làm anh phật lòng !

Chào bạn,

Nếu IP động thì ắt hẳn bạn phải dùng thêm dịch vụ chuyển đổi hostname thành ip như dynamic DNS.

Lúc này câu lệnh sẽ như sau

R1(config)#crypto isakmp key 0 abc hostname tên-remote-site

Nếu như bạn vẫn làm chưa được thì cho mình xem show run của center và remote site lần cuối cùng bạn chỉnh sửa.

**ttkk** · 27-05-2011, 02:09 AM

thưa anh !
Yêu cầu bài Lab của em là thiết lập VPN kết hợp cả remote access và site-to-site, và từ router Center có thể thiết lập nhiều phiên kết nối site-to-site với các remote khác nhau ( Remote1, Remote 2...)
Trong phần lab trên em chỉ tạo ra một phiên kết nối site-to-site để mô phỏng có phiên kết nối site-to-site thôi ạ

Đây là các file cấu hình :

Center :

Center#sh run
Building configuration...

Current configuration : 2049 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Center
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login VPN_AUTHEN local
aaa authorization network VPN_AUTHO local
!
!
aaa session-id common
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
crypto keyring L2LKeyring
pre-shared-key address 0.0.0.0 0.0.0.0 key keyring123
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ciscogroup
key ciscogroup
pool VPN_CLIENT
acl 110
netmask 255.255.255.0
crypto isakmp profile L2LProfile
keyring L2LKeyring
match identity address 0.0.0.0
crypto isakmp profile RemoteAccessProfile
match identity group ciscogroup
client authentication list VPN_AUTHEN
isakmp authorization list VPN_AUTHO
client configuration address respond
!
!
crypto ipsec transform-set MY_SET esp-3des esp-sha-hmac
!
crypto dynamic-map DYN_MAP 5
set transform-set MY_SET
set isakmp-profile RemoteAccessProfile
crypto dynamic-map DYN_MAP 10
set transform-set MY_SET
set isakmp-profile L2LProfile
!
!
crypto map MY_MAP 5 ipsec-isakmp dynamic DYN_MAP
!
!
!
username ccna password 0 ccna
archive
log config
hidekeys
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 10.0.0.2 255.255.255.252
clock rate 64000
crypto map MY_MAP
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip local pool VPN_CLIENT 192.168.1.10 192.168.1.20
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
!
ip http server
no ip http secure-server
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Remote :

Remote#show running-config
Building configuration...

Current configuration : 1299 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Remote
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key keyring123 address 10.0.0.2
!
!
crypto ipsec transform-set MY_SET esp-3des esp-sha-hmac
!
crypto map MY_MAP 5 ipsec-isakmp
set peer 10.0.0.2
set transform-set MY_SET
match address 110
!
!
!
archive
log config
hidekeys
!
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
no ip address
shutdown
clock rate 2000000
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
ip address 10.0.0.6 255.255.255.252
clock rate 64000
crypto map MY_MAP
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Serial0/1
!
!
ip http server
no ip http secure-server
!
access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

từ mạng nội bộ của router Remote ping thành công tới mạng nội bộ của router Center

Từ PC (Client) chạy Cisco VPN Client software không thể ping tới mạng nội bộ của router Center.
Mong anh giúp đỡ !

Thread: Xin giúp sửa lỗi site-to-site VPN kết hợp với Remote access VPN

Thread Tools

Display

Xin giúp sửa lỗi site-to-site VPN kết hợp với Remote access VPN

Posting Permissions