Bei IPsec-VPNs fällt im Troubleshooting immer wieder die Frage: „Hängt es an Phase 1 oder Phase 2?“ Genau dafür sind die Begriffe IKE/ISAKMP und Transform Sets wichtig. Phase 1 (IKE/ISAKMP) baut einen sicheren Steuerkanal auf, Phase 2 (IPsec) schützt den eigentlichen Nutztraffic. Wer diese Trennung verstanden hat, erkennt Mismatches schneller, liest die Cisco-Outputs korrekt und konfiguriert Site-to-Site-Tunnel stabiler.
Begriffsordnung: IPsec, IKE und ISAKMP
IPsec ist das Daten-Sicherheitsprotokoll (ESP/AH). IKE ist das Key-Management-Protokoll, das die Schlüssel aushandelt. „ISAKMP“ ist in Cisco IOS häufig der Name für IKEv1-Mechanismen und Kommandos, die Phase 1 betreffen.
- IPsec: schützt Daten (ESP = Verschlüsselung/Integrität)
- IKE: handelt Parameter/Keys aus (Phase 1/2)
- ISAKMP: Begriffs-/CLI-Welt für IKEv1 Phase 1 auf Cisco
Phase 1: IKE/ISAKMP – der sichere Steuerkanal
Phase 1 authentifiziert die Peers und baut eine ISAKMP/IKE-SA auf. Diese SA ist der geschützte Kanal, über den Phase 2 verhandelt wird. Wenn Phase 1 nicht steht, kann Phase 2 nicht starten.
- Ziel: IKE-SA/ISAKMP-SA etablieren
- Enthält: Authentifizierung, Verschlüsselung, Hash, DH-Gruppe, Lifetime
- Typische Auth: Pre-Shared Key oder Zertifikate
Parameter, die in Phase 1 matchen müssen
- Encryption (z. B. AES-256)
- Hash/Integrity (z. B. SHA)
- Authentication (pre-share / rsa-sig)
- Diffie-Hellman Group (z. B. 14)
- Lifetime
Beispiel: ISAKMP Policy (IKEv1) auf Cisco IOS
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 14
lifetime 86400PSK an Peer binden
crypto isakmp key Str0ngPSK! address 198.51.100.2Phase 2: IPsec – Schutz für den Nutztraffic
Phase 2 verhandelt die IPsec-SA(s), die den Datenverkehr zwischen den „interessanten“ Netzen schützen. In Cisco IOS wird dafür häufig ein Transform Set definiert, das bestimmt, welche IPsec-Algorithmen genutzt werden (ESP-Verschlüsselung/Integrität) und ob Tunnel-Mode aktiv ist.
- Ziel: IPsec SAs für Datenverkehr aufbauen
- Enthält: ESP-Parameter, PFS (optional), Lifetime
- Erfordert: definierte „Interesting Traffic“-Selector (Crypto ACL)
Transform Set: was steckt drin?
- ESP Encryption: z. B.
esp-aes 256 - ESP Integrity: z. B.
esp-sha-hmac - Mode: meist
tunnelbei Site-to-Site
Beispiel: Transform Set (IKEv1/IPsec)
crypto ipsec transform-set TS_AES256_SHA esp-aes 256 esp-sha-hmac
mode tunnel„Interesting Traffic“: Crypto ACL ist keine Firewall
Ein häufiger Denkfehler: Die Crypto ACL steuert nicht, was erlaubt ist, sondern was verschlüsselt werden soll. Wenn Traffic nicht in der Crypto ACL matcht, wird er nicht in den Tunnel gelegt. Das ist besonders wichtig bei Phase-2-Problemen.
- Crypto ACL = Selector (was wird getunnelt)
- Firewall-Policy = separate ACL/Zonen-Firewall
- Crypto ACL muss spiegelbildlich sein (A↔B)
Beispiel: Crypto ACL (A → B)
ip access-list extended VPN_TRAFFIC
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255Crypto Map: die „Klammer“, die alles zusammenbindet
In klassischen IOS-Setups verbindet die Crypto Map die Phase-2-Parameter (Transform Set), den Peer und die Crypto ACL. Erst wenn die Crypto Map am WAN-Interface hängt, kann Traffic „in den Tunnel“ gehen.
Beispiel: Crypto Map (Prinzip)
crypto map CMAP 10 ipsec-isakmp
set peer 198.51.100.2
set transform-set TS_AES256_SHA
match address VPN_TRAFFIC
set pfs group14Am WAN-Interface aktivieren
interface gigabitEthernet0/1
crypto map CMAPPFS (Perfect Forward Secrecy): optional, aber häufig gefordert
PFS erzwingt eine zusätzliche Diffie-Hellman-Aushandlung in Phase 2. Das erhöht Sicherheit, kann aber bei Mismatch die Phase-2-Negotiation brechen. Beide Seiten müssen dieselbe PFS-Gruppe nutzen oder PFS deaktivieren.
- Mehr Security, aber nur wenn beide Seiten gleich konfiguriert sind
- Mismatch führt oft zu Phase-2-Fehlern
PFS setzen
crypto map CMAP 10 ipsec-isakmp
set pfs group14Woran erkennst du: Phase 1 oder Phase 2?
Die schnellste Diagnose ist: Gibt es eine IKE/ISAKMP-SA? Wenn nein, ist Phase 1 das Problem. Wenn ja, aber kein Traffic läuft oder keine IPsec-SA zustande kommt, ist Phase 2 (oder Selector/NAT/ACL) das Problem.
- Phase 1 down: keine ISAKMP/IKE-SA
- Phase 1 up, Phase 2 down: keine IPsec-SA oder Counters bleiben 0
- Phase 2 up, aber Traffic down: Routing/ACL/NAT/MTU prüfen
Cisco-Checks für Phase 1 und Phase 2
show crypto isakmp sa
show crypto ipsec saTypische Mismatches und ihre Ursache
In der Praxis scheitern IPsec-VPNs selten „zufällig“. Es sind fast immer Parameter, die nicht übereinstimmen, oder Traffic, der nicht korrekt selektiert/geroutet wird.
Phase-1-Fehler (IKE/ISAKMP)
- PSK falsch oder Peer-IP falsch
- Encryption/Hash/DH-Gruppe unterschiedlich
- Outside-ACL blockiert UDP/500 oder UDP/4500
Phase-2-Fehler (IPsec)
- Transform Set unterschiedlich (ESP-AES vs. 3DES, SHA vs. MD5)
- PFS-Mismatch (eine Seite an, andere aus)
- Crypto ACL nicht spiegelbildlich
- NAT Exemption fehlt (VPN-Traffic wird genattet)
NAT-T (NAT Traversal): wenn ein Peer hinter NAT sitzt
Wenn eine Seite hinter NAT sitzt, wird IPsec häufig über UDP/4500 gekapselt (NAT-T). Fehlt UDP/4500 in ACLs oder wird NAT-T nicht unterstützt, kann Phase 1/2 instabil werden.
- IKE: UDP/500
- NAT-T: UDP/4500
- ESP: IP-Protokoll 50 (bei nativem IPsec sichtbar)
Outside-ACL für IPsec (Prinzip)
ip access-list extended OUTSIDE_IN
permit udp host 198.51.100.2 host 203.0.113.2 eq 500
permit udp host 198.51.100.2 host 203.0.113.2 eq 4500
permit esp host 198.51.100.2 host 203.0.113.2
deny ip any anyVerifikation: Counters sind die Wahrheit
Wenn Phase 2 steht, sollten bei Traffic die IPsec-Counters steigen. Besonders wichtig sind encaps und decaps. Wenn nur eine Seite zählt, liegt meist ein Routing/ACL/NAT-Problem im Rückweg vor.
show crypto ipsec saQuick-Reference: Minimal-Checks für Troubleshooting
show crypto isakmp sa
show crypto ipsec sa
show crypto map
show access-lists VPN_TRAFFIC
show ip nat translations
show ip route | include 0.0.0.0|GatewayKonfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
