最近使用Cisco路由器设置了vpn来连接Check Point防火墙。这个任务看似很简单,但是“ IPSec策略使提议无效并出现错误32”使我经历了下面显示的所有故障排除步骤。
解决IPSec 虚拟专用网问题的其他示例:
- 对Cisco IPSec站点到站点VPN进行故障排除–“原因:未知的删除原因!”第一阶段完成后
- Troubleshooting 思科公司 IPSec Site to Site 虚拟专用网 – “IPSec策略使提案无效,出现错误32”
拓扑非常简单:
远程站点正在使用Check Point防火墙对VPN网关进行操作,并且它已用于各种VPN连接。
这是我原始的VPN配置。
接口GigabitEthernet0 / 0
IP地址19.24.11.142 255.255.255.0 duplex auto speed auto crypto map vpn crypto isakmp策略1 encr 3des 验证预共享 group 2 lifetime 3600 加密isakmp密钥cisco123地址19.9.17.1 crypto isakmp主动模式禁用 ! ! 加密ipsec转换集VPN设置ah-sha-hmac esp-3des ! 加密地图VPN 10 ipsec-isakmp description 虚拟专用网 虚拟专用网 设置对等体198.96.178.1 设置转换集VPN集 set pfs group2 匹配地址VPN-VPN ip访问列表扩展VPN-VPN |
Check Point防火墙位于远程位置,我没有管理。从收集的信息中,检查点的配置如下所示:
- 中心网关:代表Check Point强制点的对象
- 卫星网关:代表思科路由器的对象– 思科公司VPN
- 加密:
- 加密方法:仅IKEv1
- 加密套件:具有以下属性的自定义
- IKE(第一阶段)属性
- 通过以下方式执行密钥交换加密:3Des
- 通过以下方式执行数据完整性:SHA-1
- IPSec(第2阶段)属性
- 使用以下命令执行IPSec数据加密:3Des
- 通过以下方式执行数据完整性:SHA-1
- 隧道管理:VPN隧道共享:每个子网对一个VPN隧道
- 高级设置
- 虚拟专用网路由:仅中心
- 共享密钥:仅对所有外部成员使用共享密钥,然后将共享密钥添加到CiscoVPN
- 高级VPN属性:IKE(第1阶段):使用Diffie-Helman组:第2组
看起来很讲究,应该没有任何惊奇。
不幸的是,隧道没有按预期上升。我收到以下调试消息:
000421:Apr 26 21:40:20.568 EDT:ISAKMP(0):从19.9.17.1 dport 500 sport 500 Global 500(N)NEW SA接收到数据包 000422:Apr 26 21:40:20.568 EDT:ISAKMP:为19.9.17.1创建了一个对等结构,对等端口500 000423:4月26日21:40:20.568 EDT:ISAKMP:新对等体创建对等体= 0x2B149B28 peer_handle = 0x8000000D 000424:4月26日21:40:20.568 EDT:ISAKMP:锁定对等结构0x2B149B28,refcount 1 for crypto_isakmp_process_block 000425:4月26日21:40:20.568 EDT:ISAKMP:本地端口500,远程端口500 000426:4月26日21:40:20.568 EDT:ISAKMP:(0):成功插入sa = 2A25BEAC 000427:4月26日21:40:20.568 EDT:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH 000428:Apr 26 21:40:20.568 EDT:ISAKMP:(0):旧状态= IKE_READY New State = IKE_R_MM1 000429:Apr 26 21:40:20.568 EDT:ISAKMP:(0):处理SA有效负载。消息ID = 0 000451:4月26日21:40:20.588 EDT:ISAKMP:(0):处理供应商ID有效负载 000457:4月26日21:40:20.588 EDT:ISAKMP:(0):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_SA_SETUP 000461:4月26日21:40:20.616 EDT:ISAKMP(0):从19.9.17.1 dport 500 sport 500 Global(R)MM_SA_SETUP接收到数据包 000464:4月26日21:40:20.620 EDT:ISAKMP:(0):处理KE有效载荷。消息ID = 0 000469:4月26日21:40:20.644 EDT:ISAKMP:(1006):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_KEY_EXCH 000473:Apr 26 21:40:20.676 EDT:ISAKMP(1006):从19.9.17.1 dport 500 sport 500 Global(R)MM_KEY_EXCH接收到数据包 000476:Apr 26 21:40:20.680 EDT:ISAKMP:(1006):处理ID有效负载。消息ID = 0 000485:4月26日21:40:20.680 EDT:ISAKMP:(1006):SA正在使用ID类型ID_IPV4_ADDR执行预共享密钥身份验证 000492:4月26日21:40:20.680 EDT:ISAKMP:(1006):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE 000494:Apr 26 21:40:20.708 EDT:ISAKMP(1006):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包 R-IPSEC1#显示crypto isakmp sa |
有“ IPSec策略无效建议,错误32”。我没有足够的细节可以得出原因。 L2L 虚拟专用网 TroubleShooting :”IPSec策略使提案无效,出现错误32″ 情况不适用于我。
经过深思熟虑,我认为这可能与两端误镜像的访问列表有关,因为那是Check Point和Cisco之间常见的问题。远程站点VPN可以使用更广泛的VPN加密域,例如/ 24网络。但是我改用/ 32。因此,我将访问列表更改为以下内容:
R-IPSEC1(config-ext-nacl)#do sh访问列表VPN-VPN
扩展IP访问列表VPN-VPN 50个许可ip主机19.24.11.245 19.9.17.0 0.0.0.255 60许可ip主机19.24.11.53 19.9.17.0 0.0.0.255 |
得到了更好的结果,但消息仍然相似。
001319:4月26日22:26:41.310 EDT:ISAKMP:(1010):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
001320:4月26日22:26:41.310 EDT:ISAKMP:(1010):旧状态= IKE_P1_COMPLETE 新状态= IKE_P1_COMPLETE 001321:Apr 26 22:26:41.362 EDT:ISAKMP(1010):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包 001343:Apr 26 22:26:41.366 EDT:ISAKMP:(1010):清除节点1666670311 |
经过深思熟虑,并与远程防火墙管理员进行了讨论,由于他的加密域包括特定的ip和整个网络,因此我再次更改了访问列表,使所有列表都具有了。
R-IPSEC1(config-ext-nacl)#确实显示访问列表VPN-VPN
扩展IP访问列表VPN-VPN 110许可ip主机19.24.11.53主机19.9.17.41 120许可ip主机19.24.11.245主机19.9.17.41 130许可ip主机19.24.11.53 19.9.17.0 0.0.0.255 140许可ip主机19.24.11.245 19.9.17.0 0.0.0.255 |
这次调试结果显示了更多详细信息:
001565:4月26日22:40:20.200 EDT:ISAKMP:(1012):SA正在使用ID类型ID_IPV4_ADDR执行预共享密钥身份验证
001566:4月26日22:40:20.200 EDT:ISAKMP(1012):ID有效载荷 next-payload : 8 type : 1 address : 19.24.11.142 protocol : 17 port : 500 length : 12 001567:4月26日22:40:20.200 EDT:ISAKMP:(1012):总有效载荷长度:12 001568:4月26日22:40:20.200 EDT:ISAKMP:(1012):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_KEY_EXCH 001569:4月26日22:40:20.200 EDT:ISAKMP:(1012):发送IKE IPv4数据包。 001570:4月26日22:40:20.200 EDT:ISAKMP:(1012):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE 001571:4月26日22:40:20.200 EDT:ISAKMP:(1012):旧状态= IKE_R_MM5 新状态= IKE_P1_COMPLETE 001572:4月26日22:40:20.200 EDT:ISAKMP:(1012):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE 001574:4月26日22:40:20.264 EDT:ISAKMP(1012):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包 |
“ IPSEC(ipsec_process_proposal):身份不支持转换提议:
{esp-3des esp-sha-hmac}” 显示我使用了错误的转换集。我正在使用ah-sha-hmac.
迅速更改为esp-sha-hmac:
加密ipsec转换集VPN设置esp-3des esp-sha-hmac
|
这次,最终vpn隧道在第1阶段和第2阶段完全启动。从“ show crypto ipsec sa”的输出,进行测试时,加密和解密的数量正在增加。
测试 001701:4月26日22:46:39.512 EDT:ISAKMP:(1013):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE 001702:4月26日22:46:39.512 EDT:ISAKMP:(1013):旧状态= IKE_P1_COMPLETE New State = IKE_P1_COMPLETE 001703:Apr 26 22:46:39.560 EDT:ISAKMP(1013):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包 001741:Apr 26 22:46:39.612 EDT:IPSEC(create_sa): 被创造 |
调试命令:
- 调试加密引擎-显示有关执行加密和解密的加密引擎的调试消息。
- 调试crypto isakmp-显示有关IKE事件的消息。
- 调试加密ipsec-显示IPSec事件。
- 清除加密isakmp—清除所有活动的IKE连接。
- 清除加密sa—清除所有IPSec SA。
- IPSEC1#显示crypto isakmp sa
IPv4加密ISAKMP SA
dst src state conn-id status
19.24.11.142 19.9.17.1 QM_IDLE 1014 活性
19.24.11.142 19.9.17.1 QM_IDLE 1013 活性 - 清除密码isakmp 1013—清除SA的连接ID。
参考:
- 1. L2L 虚拟专用网 TroubleShooting :”IPSec策略使提案无效,出现错误32″
- 2. 在Cisco路由器和Checkpoint NG之间配置IPSec隧道
- 3. IPSec故障排除:问题场景第1部分