Πρόβλημα με VPN σε δυο cisco 1760's

[Jadawin]

Καλημέρα παιδιά,

μια βοήθεια σε VPN με δυο 1760 cisco routers, το οποίο δεν παίζει.

Θέλω το 192.168.0.0 να βλέπει το 192.168.15.0.

192.168.15.0/24 --> RouterB --> internet <-- RouterA <-- 192.168.0.0/23

RouterA IP = 212.x.x.x
RouterB IP = 193.x.x.x

και αποτέλεσμα (όταν κάνω ping το 192.168.15.20 απο το 192.168.0.0 δίκτυο) έχω το παρακάτω debug μήνημα:

Κώδικας:

*Mar 13 14:44:22.875: map_db_find_best did not find matching map
*Mar 13 14:44:22.875: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 212.x.x.x
*Mar 13 14:44:22.875: ISAKMP:(0:1:SW:1): IPSec policy invalidated proposal
*Mar 13 14:44:22.875: ISAKMP:(0:1:SW:1): phase 2 SA policy not acceptable! (local 212.x.x.x remote 193.x.x.x)
*Mar 13 14:44:22.879: ISAKMP:(0:1:SW:1):deleting node -277984904 error TRUE reason "QM rejected"
*Mar 13 14:44:22.879: ISAKMP (0:134217729): Unknown Input IKE_MESG_FROM_PEER, IKE_QM_EXCH:  for node -277984904: state = IKE_QM_READY
*Mar 13 14:44:22.883: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 193.x.x.x
*Mar 13 14:44:50.525: map_db_find_best did not find matching map
*Mar 13 14:44:50.525: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 212.x.x.x
*Mar 13 14:44:50.525: ISAKMP:(0:1:SW:1): IPSec policy invalidated proposal
*Mar 13 14:44:50.525: ISAKMP:(0:1:SW:1): phase 2 SA policy not acceptable! (local 212.x.x.x remote 193.x.x.x)
*Mar 13 14:44:50.529: ISAKMP:(0:1:SW:1):deleting node -128307003 error TRUE reason "QM rejected"
*Mar 13 14:44:50.533: ISAKMP (0:134217729): Unknown Input IKE_MESG_FROM_PEER, IKE_QM_EXCH:  for node -128307003: state = IKE_QM_READY

καμία ιδέα; έχει δεί κανείς τέτοιο μήνημα;
το ίδιο μήνημα μου βγάζει απο τις δυο πλευρές...

(συνημένα και τα configs των δυo router)

[cprotopapas]

1.Άλλαξε το dialer0 στο ip route με την IP Address του.
2. Δες εδώ.

[Jadawin]

1.Άλλαξε το dialer0 στο ip route με την IP Address του.
2. Δες εδώ.

Εννοείς αντι για:
ip route 0.0.0.0 0.0.0.0 dialer0

να βάλω:

ip route 0.0.0.0 0.0.0.0 193.x.x.x ???

αυτό δεν το επιτρέπει, η μήπως κάνω λάθος εγώ.

[cprotopapas]

Το επιτρέπει και μάλιστα έτσι συνίσταται από την Cisco.

[Jadawin]

cproto,

RouterB(config)#ip route 0.0.0.0 0.0.0.0 193.x.x.x
%Invalid next hop address (it's this router)

τι κάνω λάθος; μετά απο πολλές προσπαθείς σε διάφορες πιθανές λύσεις, σίγουρα έχω ζαλιστεί.
γίνεται απo telnet? - βασικά να αντικαθιστά η ip route 0.0.0.0 0.0.0.0 εντολή την παλιά ip route 0.0.0.0 0.0.0.0.0 dialer0 όταν την τρέξεις, η πρέπει απο console να αφαιρεθεί η πρώτη ip route, και να περαστεί η επόμενη? ίσως είναι εκεί το θέμα.

συγνώμη για την ταλαιπωρία, και ευχαριστώ για την βοήθεια!

[karavagos]

Γιατί έχω την εντύπωση πως το παρακάτω θα έπρεπε να είναι "192.168.0.x"?

Κώδικας:

routerA
...
interface FastEthernet0/0
 ip address 194.x.x.x 255.255.255.240

cproto,

RouterB(config)#ip route 0.0.0.0 0.0.0.0 193.x.x.x
%Invalid next hop address (it's this router)

τι κάνω λάθος; μετά απο πολλές προσπαθείς σε διάφορες πιθανές λύσεις, σίγουρα έχω ζαλιστεί.
γίνεται απo telnet? - βασικά να αντικαθιστά η ip route 0.0.0.0 0.0.0.0 εντολή την παλιά ip route 0.0.0.0 0.0.0.0.0 dialer0 όταν την τρέξεις, η πρέπει απο console να αφαιρεθεί η πρώτη ip route, και να περαστεί η επόμενη? ίσως είναι εκεί το θέμα.

συγνώμη για την ταλαιπωρία, και ευχαριστώ για την βοήθεια!

Μπορείς να έχεις πολλά default routes, οπότε πρέπει να σβήνεις κάθε ένα που δεν χρειάζεσαι.
Προσωπικά όμως δεν βλέπω τον λόγο της αλλαγής που ζήτησε ο φίλος cprotopapas.

ΥΓ: Το 193.x.x.x σημαίνει ότι πρέπει να συμπληρώσεις εσύ τα x με τα κατάλληλα νούμερα και η ip πρέπει να "δείχνει" στην peer ip.

[lacacitos]

Καλό θσ ήτσν να αποφύγεις τα any στο access-list 101

[gatoulas]

Τι πάς να κάνεις ακριβώς;;;;
Το 192.168.0.0/24 που λές στο πρώτο post που είναι και δεν το βλέπω.
Αν υποθέσω ότι είναι το fa0/0 οι access-lists σου είναι λάθος.
ΤΟ default route μην το πειράξεις, είναι σωστό.
Διόρθωσε τα δίκτυα στα interfaces και θα σου πώ μετά για τις access-lists αν δε με προλάβει κανας Καραβάγγος

[cprotopapas]

Γιατί έχω την εντύπωση πως το παρακάτω θα έπρεπε να είναι "192.168.0.x"?

Κώδικας:

routerA
...
interface FastEthernet0/0
 ip address 194.x.x.x 255.255.255.240

Μπορείς να έχεις πολλά default routes, οπότε πρέπει να σβήνεις κάθε ένα που δεν χρειάζεσαι.
Προσωπικά όμως δεν βλέπω τον λόγο της αλλαγής που ζήτησε ο φίλος cprotopapas.

ΥΓ: Το 193.x.x.x σημαίνει ότι πρέπει να συμπληρώσεις εσύ τα x με τα κατάλληλα νούμερα και η ip πρέπει να "δείχνει" στην peer ip.

just to be ok:P

[Jadawin]

ευχαριστώ για την βοήθεια παιδιά (συγνώμη για την καθυστερημένη απάντηση).

μέχρι τώρα τίποτα με το VPN, αλλά αυτό είναι επειδή το project είναι "on ice" προς το παρόν και θα το αναλαμβάνουμε την δευτέρα (να σημειώσω ότι δεν προλάβα να της δοκιμάσω μερικές προτάσεις σας).

οπότε, θα κάνω post την λύση (όποια και να είναι) από εβδομάδα για όσους ενδιαφέρονται η έχουν παρόμοιο πρόβλημα.

καλή συνέχεια.