Vpn
Cisco IOS 路由器和 Azure VPN - 已建立隧道,但流量不流動
我正在嘗試通過 IPSec VPN 將 Cisco IOS 路由器連接到 Azure。我使用 Cisco ISR 模板建立了從路由器到 Azure 的隧道。在 Azure 控制面板中,我可以看到連接已建立。但是,雖然“數據輸出”似乎工作正常,但“數據輸入”顯示為零,並且我無法通過 SSH、RDP 或 nslookup 向或從本地網路到 Azure 的任一方向。
建立隧道後,我確定問題出在我的路由器上。我不是一個真正的網路人(小型企業的唯一 IT 人),所以任何幫助將不勝感激。
這是我的路由器的一些輸出:
murasaki#sh 加密會話 加密會話目前狀態 介面:Virtual-Access2 會話狀態:DOWN 對端:xxxx 埠 500 IPSEC 流:允許 ip 192.168.1.0/255.255.255.0 192.168.5.0/255.255.255.0 活動 SA:0,來源:加密地圖 介面:撥號器1 會話狀態:UP-ACTIVE 對端:xxxx 埠 500 IKE SA:本地 xxxx/500 遠端 xxxx/500 活動 IPSEC 流:允許 ip 192.168.1.0/255.255.255.0 192.168.5.0/255.255.255.0 活動 SA:2,來源:加密地圖 murasaki #sho crypto isakmp sa IPv4 加密 ISAKMP SA dst src 狀態 conn-id 狀態 xxxx xxxx QM_IDLE 2002 活動 IPv6 加密 ISAKMP SA
這是刪除/清除敏感位的路由器配置:
! 15.0 版 沒有服務墊 服務時間戳調試日期時間毫秒 服務時間戳記錄日期時間毫秒 ! 主機名 murasaki ! 引導開始標記 引導結束標記 ! ! aaa 新型號 ! ! aaa 認證 ppp 預設本地 aaa 授權網路 預設本地 ! ! ! ! ! aaa session-id 通用 記憶體大小 iomem 10 ! 加密 pki 信任點 TP-self-signed-4045734018 報名自簽 主題名稱 cn=IOS-Self-Signed-Certificate-4045734018 撤銷檢查無 rsakeypair TP-self-signed-4045734018 ip 源路由 ! ! ip 頭孢 ip 檢查名稱 normal_traffic tcp ip 檢查名稱 normal_traffic udp ipv6 單播路由 ipv6 頭等艙 ! ! ! 對象組網路 INTERNAL_LAN 描述 應該允許到 Internet 的所有內部子網 192.168.1.0 255.255.255.0 192.168.20.0 255.255.255.0 10.10.10.0 255.255.255.0 192.168.40.0 255.255.255.0 192.168.6.0 255.255.255.0 ! ! ! ip ssh 超時 60 ip ssh 版本 2 ! ! 加密 isakmp 策略 10 增加AES 256 認證預共享 第 2 組 壽命28800 加密 isakmp 密鑰地址 ! ! 加密 ipsec 轉換集 AzureIPSec esp-aes 256 esp-sha-hmac ! 加密地圖 AzureCryptoMap 10 ipsec-isakmp 設置對等 設置安全關聯生命週期千字節 102400000 設置轉換集 AzureIPSec 匹配地址 AzureCloudVMs ! 橋IRB ! ! ! ! 介面 BRI0 沒有IP地址 封裝 hdlc 關閉 isdn 終止多點 ! 介面 ATM0 男人1492 沒有IP地址 沒有自動取款機 ilmi-keepalive 聚氯乙烯 8/35 封裝 aal5mux ppp 撥號器 撥號池成員 1 ! ! 介面 Vlan1 描述 主區域網路 ip地址192.168.1.97 255.255.255.0 ip nat 裡面 ip 虛擬重組 ! 介面 Vlan5 說明 Azure VLAN ip地址192.168.5.97 255.255.255.128 ! 介面撥號器1 男人1492 協商的ip地址 ip 訪問組 PORTS_ALLOWED_IN 在 ip 流量入口 ip nat 外面 ip 檢查 normal_traffic out ip 虛擬重組 封裝ppp ip tcp 調整-mss 1350 撥號池 1 撥號器組 1 ipv6 地址自動配置 啟用 IPv6 ppp ipcp 路由預設 沒有啟用 cdp 加密地圖 AzureCryptoMap ! 沒有 ip 轉發協議 nd 沒有ip http伺服器 沒有 ip http 安全伺服器 ! ip nat 翻譯超時 360 ip nat inside source list SUBNETS_AND_PROTOCOLS_ALLOWED_OUT interface Dialer1 過載 ip nat inside source static tcp 192.168.xx 55663 interface Dialer1 55663 ip nat inside source static tcp 192.168.xx 22 interface Dialer1 22 ip nat inside source static udp 192.168.xx 55663 interface Dialer1 55663 ! ip 訪問列表擴展 AzureCloudVMs 允許ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 ip 訪問列表擴展 GUEST_VLAN 允許 tcp any any eq 22 允許 tcp any any eq www 允許 tcp any any eq 443 允許 tcp 任何任何 eq 域 允許 udp 任何任何 eq 域 允許 icmp 任何 任何 ip 訪問列表擴展 PORTS_ALLOWED_IN 備註 允許輸入的埠列表 允許 gre 任何 任何 允許特別是任何任何 允許 udp 任何任何 eq non500-isakmp 允許 udp 任何任何 eq isakmp 允許 tcp any any eq 55663 允許 udp 任何任何 eq 55663 允許 tcp any any eq 22 允許 tcp any any eq 222 允許 tcp any any eq 1723 允許 tcp any any eq 443 允許 icmp 任何任何 echo-reply 允許 icmp 任何任何 traceroute 允許 icmp 任何任何無法訪問的埠 允許 icmp 任何任何時間超過 拒絕任何 IP ip 訪問列表擴展 SUBNETS_AND_PROTOCOLS_ALLOWED_OUT 拒絕 tcp 對象組 INTERNAL_LAN 任何 eq smtp 允許 tcp 對象組 INTERNAL_LAN 任何 允許 udp 對象組 INTERNAL_LAN 任何 允許 icmp 對象組 INTERNAL_LAN 任何 拒絕任何 IP ! 沒有 cdp 執行 ipv6 路由 ::/0 Dialer1 !
原來我只需要從 Cisco 路由器中刪除 VLAN 5 和 IP 地址!