Título: [Packet Tracer] IPSec Ike Phase 1 no funciona Publicado por: baldovi_6 en 24 Julio 2018, 12:51 pm Buenos días a tod@s,
Primero que nada muchas gracias por entrar a leer. Estoy preparando en CCNA Security, e intento utilizar el PT para resolver ejercicios. El caso es que no soy capaz de hacer que dos routers usen IPSec, ni siquiera levantan la phase1, por lo que no soy capaz de crear el tunel para los datos. He leido sobre si PT soporta IPSec o no, y sinceramente hay de todo un poco. En la versión 7 si que parece que se soporte, pero no estoy seguro. En GNS3 no he intentado nada, porque tengo unos problemillas con el CRC de las imagenes, pero esto ya lo abrire en otro hilo, si no consigo resolverlo. Os dejo el runn config de mis dos routers. R1: VLC#sh running-config Building configuration... Current configuration : 1380 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname VLC ! ! no ip cef no ipv6 cef ! ! license udi pid CISCO1941/K9 sn FTX1524O53M license boot module c1900 technology-package securityk9 ! ! crypto isakmp policy 2 encr aes 128 hash md5 authentication pre-share group 2 lifetime 21600 ! crypto isakmp key cisco123 address 43.0.0.2 ! ! crypto ipsec transform-set VLC->LHR esp-aes 256 esp-sha-hmac ! crypto map Airports 2 ipsec-isakmp set peer 43.0.0.2 set pfs group2 set security-association lifetime seconds 86400 set transform-set VLC->LHR match address 100 ! ! spanning-tree mode pvst ! ! interface GigabitEthernet0/0 ip address 23.0.0.2 255.255.255.252 duplex auto speed auto crypto map Airports ! interface GigabitEthernet0/1 ip address 10.0.1.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/0/0 no ip address shutdown ! interface Serial0/1/0 no ip address clock rate 2000000 shutdown ! interface Serial0/1/1 no ip address clock rate 2000000 shutdown ! interface Vlan1 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 23.0.0.1 ! ip flow-export version 9 ! ! access-list 100 permit ip 10.0.1.0 0.0.0.255 172.16.0.0 0.0.0.255 ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! end VLC# R2: LHR#sh running-config Building configuration... Current configuration : 1412 bytes ! version 15.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname LHR ! ! no ip cef no ipv6 cef ! ! license udi pid CISCO1941/K9 sn FTX15244PX1 license boot module c1900 technology-package securityk9 ! ! crypto isakmp policy 2 encr aes 128 hash md5 authentication pre-share group 2 lifetime 21600 ! crypto isakmp key cisco123 address 23.0.0.2 ! ! crypto ipsec transform-set LHR->VLC esp-aes 256 esp-sha-hmac ! crypto map Airports 2 ipsec-isakmp set peer 23.0.0.2 set pfs group2 set security-association lifetime seconds 86400 set transform-set LHR->VLC match address 100 ! ! spanning-tree mode pvst ! ! interface GigabitEthernet0/0 description TOWARDS-INTERNET ip address 43.0.0.2 255.255.255.252 duplex auto speed auto crypto map Airports ! interface GigabitEthernet0/1 ip address 172.16.0.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/0/0 no ip address shutdown ! interface Serial0/1/0 no ip address clock rate 2000000 shutdown ! interface Serial0/1/1 no ip address clock rate 2000000 shutdown ! interface Vlan1 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 43.0.0.1 ! ip flow-export version 9 ! ! access-list 100 permit ip 172.16.0.0 0.0.0.255 10.0.1.0 0.0.0.255 ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! end LHR# Como veis no hay nada raro, solo la configuración de la IPSec. Entre medias de los dos routers, tengo otro llamado Internet, que simula los posibles routers entre R1 y R2, por los cuales deberian pasar los paquetes. No tiene más que dos interfaces configurados, cada uno hacia uno de los routers, pero sin publicación de rutas de ninguna clase. Muchas gracias !! Título: Re: [Packet Tracer] IPSec Ike Phase 1 no funciona Publicado por: baldovi_6 en 24 Julio 2018, 13:30 pm Me respondo yo solo .....
En la configuración de la phase1, habia puesto AES 128, mientras que en la phase2, tenia AES 256. Cambiando el AES 128 por 256 se soluciona el problema. Fallo mio por no tener en cuenta ese detalle. Saludos !!! |