Configurazione routing attraverso vpn ipsec - HELP

Richi_one · ven 19 set , 2014 9:44 am

Buongiorno a tutti.
Avrei bisogno di aiuto per una configurazione.
Ho una vpn ipsec site-to-site tra due sedi
Il router "Pippo" della sede A ha ip 10.10.10.1, quello "Pluto" della sede B 10.10.20.1
La vpn tra A e B è già attiva e funzionante. Nella sede B è presente anche un router "Tizio" attraverso il quale viene erogato un servizio VOIP. Ho aggiunto un router "Paperino" nella sede B per fare da tramite tra "Pluto" e "Tizio".
Ho configurato una rotta su "Pluto" affinchè il traffico verso alcune reti pubbliche passi da "Paperino".
Fin qui tutto bene.
Mi servirebbe sapere come fare per fare in modo che da "Pippo" alle reti di cui sopra si passi da "Paperino".
Quando avete finito di ridere (è venerdì, clemenza!) potreste aiutarmi?

Grazie in anticipo a tutti gli amici della casa di Topolino.

paolomat75 · ven 19 set , 2014 1:15 pm

Ciao, a parte il mal di testa con tutto il Paperopoli che hai usato, sei sicuro che serve "Paperino"?
Comunque direi che si può risolvere il tutto con un protocollo di routing.

Paolo

Richi_one · ven 19 set , 2014 3:32 pm

paolomat75 ha scritto:Ciao, a parte il mal di testa con tutto il Paperopoli che hai usato, sei sicuro che serve "Paperino"?
Comunque direi che si può risolvere il tutto con un protocollo di routing.

Paolo

Penso che Paperino mi serva perchè lato lan ha un'ip della stessa rete di Pluto,ma lato wan ha un ip specifico che devo utilizzare per connetterlo al router tramite il quale viene erogato il servizio VOIP.
Un aiuto per la configurazione?
Come dicevo mi manca il pezzo tra Pippo e Pluto (tra i quali è già in piedi una vpn ipsec)

paolomat75 · ven 19 set , 2014 4:57 pm

Metti uno schema con ip/subnet.

Paolo

Richi_one · sab 20 set , 2014 1:00 am

paolomat75 ha scritto:Metti uno schema con ip/subnet.

Paolo

Router "Pippo" della sede A - 10.10.10.1 255.255.255.0
Router "Pluto" della sede B - 10.10.20.1 255.255.255.0
La vpn tra A e B è già attiva e funzionante.
Router "Tizio" attraverso il quale viene erogato un servizio VOIP nella sede B non è gestito da me.
Router "Paperino" nella sede B per fare da tramite tra "Pluto" e "Tizio" ha ip 10.10.20.2 lato lan e 222.222.222.115 255.255.255.248 lato wan con gateway 222.222.222.113 (impostazione forzata)
Ho configurato una rotta su "Pluto" affinchè il traffico verso alcune reti pubbliche (92.0.0.0 e 222.222.222.112) passi da "Paperino".
Fin qui tutto bene.
Mi servirebbe sapere come fare per fare in modo che da "Pippo" alle reti di cui sopra si passi da "Paperino".

Su Pluto ho aggiunto alla conf attuale

ip route 222.222.222.112 255.255.255.248 10.10.20.2
ip route 92.0.0.0 255.0.0.0 10.10.20.2

Dovrei configurare "Pippo"

paolomat75 · sab 20 set , 2014 10:36 am

1) Su Pippo puoi mettere le stesse route statiche.
2) Su Paperino devi mettere un NAT, visto che su Tizio non puoi mettere mano.
3) Su Paperino devi mettere un route statica che punta alla subnet 10.10.10.0/24 tramite 10.10.20.1
4) Paperino lato lan ha un IP sbagliato (indirizzo di rete)

MI pare basta.

Paolo

Richi_one · sab 20 set , 2014 1:36 pm

paolomat75 ha scritto:1) Su Pippo puoi mettere le stesse route statiche.
2) Su Paperino devi mettere un NAT, visto che su Tizio non puoi mettere mano.
3) Su Paperino devi mettere un route statica che punta alla subnet 10.10.10.0/24 tramite 10.10.20.1
4) Paperino lato lan ha un IP sbagliato (indirizzo di rete)

MI pare basta.

Paolo

1) Ho provato, ma sembra non funzionare. L'interfaccia wan ha ip 111.111.111.114 e ho una route 0.0.0.0 0.0.0.0 111.111.111.113. Se aggiunto la route come su Pluto vedo che non cambia nulla.
2) Direi che c'è già
3) C'è già
4) Non ho capito (lato wan ha 115 finale con gateway 113)

paolomat75 · sab 20 set , 2014 5:39 pm

1) Se Pippo da LAN raggiunge la LAN di Pluto la statica dovrebbe andare (prova con un trace)
4) Ma prima c'era scritto 112 o ero ubriaco io?

Paolo

Richi_one · sab 20 set , 2014 9:09 pm

paolomat75 ha scritto:1) Se Pippo da LAN raggiunge la LAN di Pluto la statica dovrebbe andare (prova con un trace)
4) Ma prima c'era scritto 112 o ero ubriaco io?

Paolo

4) era un 112, ho corretto
1) quando aggiungo la rotta e faccio un trace verso 222.222.222.115 esce sempre da 111.111.111.113

Ho editato per chiarezza

paolomat75 · sab 20 set , 2014 9:15 pm

Beh è giusto, la rete 2.0.127.115 non è quelle che deve mandare a Pluto e usa la default route

Paolo

Richi_one · sab 20 set , 2014 9:50 pm

paolomat75 ha scritto:Beh è giusto, la rete 2.0.127.115 non è quelle che deve mandare a Pluto e usa la default route

Paolo

Ok,
quindi modifico la access-list del tunnel ipsec E aggiungo la route statica?

EDIT sorry, la rete è la 222.222.222.112 255.255.255.248 di prima

paolomat75 · lun 22 set , 2014 8:20 am

Funziona?

Paolo

Richi_one · lun 22 set , 2014 9:02 am

paolomat75 ha scritto:Funziona?

Paolo

No.
Sembra passare ancora tutto dalla route principale

paolomat75 · lun 22 set , 2014 11:21 am

Postami la configurazione che vedo.

Paolo

Richi_one · lun 22 set , 2014 1:12 pm

paolomat75 ha scritto:Postami la configurazione che vedo.

Paolo

Pippo (ho tolto parti che non sono necessarie - la configurazione di Pluto è speculare, con in più le due rotte statiche verso Paperino)

no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Pippo
!
boot-start-marker
boot-end-marker
!
enable secret XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
memory-size iomem 15
clock timezone GMT 1
clock summer-time GMT date Mar 31 2000 0:00 Sep 30 2000 0:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected

!
no ip ips deny-action ips-interface
ip name-server XXXXXXXXXXXXX
ip name-server XXXXXXXXXXXXXXXXX
!
no ftp-server write-enable
!
!

!
!

crypto isakmp policy 40
encr 3des
authentication pre-share
group 2

crypto isakmp key XXXXXXXXXXXXXXXXXXXXXXXXX address ip pubblico pluto no-xauth

!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac

crypto map rtp 40 ipsec-isakmp
description SB_VOIP
set peer ip pubblico pluto
set transform-set rtpset
match address 108

!
interface FastEthernet0/0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 111.111.111.114 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map rtp

ip route 0.0.0.0 0.0.0.0 111.111.111.113
!
no ip http server
no ip http secure-server
ip nat translation timeout 1800
ip nat translation port-timeout udp 1194 70
ip nat inside source route-map nonat interface FastEthernet0/1 overload

access-list 108 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
access-list 120 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
access-list 120 permit ip 10.10.10.0 0.0.0.255 any
route-map nonat permit 10
match ip address 120
!

Configurazione routing attraverso vpn ipsec - HELP

Login • Iscriviti