Cisco 837+smart5+vpn

[raulico]

Salve Ragazzi,
complimenti vivissimi per il sito e la quantità di informazioni che date, ho gia letto molti link, ma ho dei dubbi su un deployment di una seguente topologia:
internet<->cisco837<->sofaware-vpn-firewall<->clients
i clients useranno come default gateway il sofaware, e nel suddetto viene stabilita una vpn client-to-site, su una subnet esclusa dai range interni.
posseggo una smart 5 (8 ip) e il cisco è così configurato:
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname mango
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxx
!
username mango password 7 xxxxxxxxxxxxxxxx
no aaa new-model
ip subnet-zero
ip name-server 217.22.208.37
ip name-server 151.99.0.100
ip dhcp excluded-address xxx.xxx.xxx.118
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address xxx.xxx.xxx.114 255.255.255.248
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xxx.xxx.xxx.62 255.255.255.252
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static xxx.xxx.xxx.118 interface ATM0.1
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
access-list 23 permit xxx.xxx.xxx.112 0.0.0.7
access-list 102 permit ip xxx.xxx.xxx.112 0.0.0.7 any
!
line con 0
exec-timeout 120 0
password 7 xxxxxxxxxxxxxx
login
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
password 7 xxxxxxxxxxxxxxx
login local
length 0
!
scheduler max-task-time 5000
!
end

la prima domanda riguarda questa riga:

access-list 102 permit ip xxx.xxx.xxx.112 0.0.0.7 any

a quale interfaccia è associata?
non è la acl che permette il passaggio dalla lan alla wan?
quindi da associare alla atm?

seconda domanda:
siccome dei 5 ip ne devo usare solo uno, al massimo due, il sofaware permette solo due proxy arp,e questo tunnel vuole un ip pubblico da dare alla wan del firewall/vpn la riga:
ip nat inside source list 102 interface ATM0.1 overload
e
ip nat inside source static xxx.xxx.xxx.118 interface ATM0.1
creano conflitti?

terza domanda(magari sto esagerando):
devo far passare ipsec, ma client-to-site(3Des+Sha1+Preshared_secret gestiti da checkpoint),sapete se ci sono restrizioni o abilitazioni particolari a riguardo?
ciao a tutti e grazie

[tonycimo]

bene... diciamo che la conf non mi piace esageratamente
quanti client hai internamente la lan ??

access-list 102 permit ip xxx.xxx.xxx.112 0.0.0.7 any

serve per fare un pat dagli indirizzi che sono nella acl all'indirizzo di atm.
Per la seconda domanda, no,non dovrebbe creare problemi quella riga, ma se tu hai solo due client che devono essere publici internamente io toglierei il pat.
La riga:

ip nat inside source static xxx.xxx.xxx.118 interface ATM0.1

crea un nat statico dall'indirizzo di atm ad un idirizzo interno (??)
Per la terza, no non preoccuparti, non ci sono restrizioni.
Un consiglio: io proverei a riscrivere la conf con le tue reali esigenze.

[raulico]

ciao e grazie per la risposta;
<cut>
bene... diciamo che la conf non mi piace esageratamente
quanti client hai internamente la lan ??
<cut>
solo uno, il firewall/vpn che necessita di un ip pubblico.
ieri sono stato dal cliente e naviga e porta a buon fine anche la ike phase 2 della vpn, ma facendo un traceroute vedo che il fw/vpn incapsula nel tunnel le subnets corrette, ma non ritornano in dietro.
quindi mi servirebbe sapere se esiste un tcpdump sui cisco da poter associare alle interface atm&eth.

<cut>
Un consiglio: io proverei a riscrivere la conf con le tue reali esigenze
<cut>

di solito li trovo gia configurati, e con cisco ci smanetto non troppo, quindi non mi sento sicuro, ma prima ho fatto così, e ho visto che non funzionava, poi senza cambiare niente ha funzionato, poi ha smesso di nuovo, e così per altre 3 volte; allora ho chiamato l'help desk, e ho fatto controllare la linea.
stamattina non mi hanno chiamato quindi suppongo che duri, comunque questa volta ho provato con il configuratore web e poi ho cancellato tutto quello che pensavo inutile da console.
mi sono accertato che l'ipsec non ha problemi visto che coi miei vpn gateway funziona correttamente, e secondo me, come spesso accade è un loop di subnet lato remoto, visto che al client non viene chiesto/rilasciato un pool di ip privati da escludere.
Ma tu cosa ritieni superfluo nella conf che ho scritto?
ciao e grazie

[tonycimo]

secondo me devi disabilitare il pat overload, visto che hai indirizzi pub.
poi un'altra cosa a cosa ti serve un nat statico dell'indirizzo di atm ptp ?
io toglierei anche quello e punterei il tunnel direttamente agli indirizzi interni...
ci sono troppi passaggi nat/pat static nat secondo me superflui.
credo che puoi alleggerire tanto la conf ed il router

[raulico]

<cut>
secondo me devi disabilitare il pat overload, visto che hai indirizzi pub
<cut>

lo pensavo, tanto a me serve solo un ip da dare/demendare al fw/vpn, più tardi provo.

<cut>
poi un'altra cosa a cosa ti serve un nat statico dell'indirizzo di atm ptp ?
<cut>

in che senso ptp? ti riferisci al nat statico per l'ip del fw/vpn?

[tonycimo]

sull'atm tu hai un indirizzo point to point che ti ha dato il tuo isp, io di solito non utilizzo mai quell'indirizzo perchè non sai quali restrizioni possano esserci.
Un consiglio togli il nat, pat e se hai qualche macchina che punta all'indirizzo:
xxx.xxx.xxx.62 255.255.255.252
falla puntare direttamente agli indirizzi che hai sulla eth.
Ciauz

[raulico]

<cut>
perchè non sai quali restrizioni possano esserci
<cut>
infatti in attesa dei requisiti hardware c'era uno zyxel che aveva come pubblico, un ip del range diciamo "interni", lato lan del router odierno per capirci,ma adesso mi serve questa topologia, visto che lo zyxel ha il "sua mode" e non mi fido, e il fw/vpn vuole un ip pubblico, visto che ho abilitato anche un vpn-server che mi permetterà di gestire i clients interni e quindi di bounce il router lato interno.
Comunque mi ha chiamato l'helpd-desk lato vpn server e ci siamo resi conto che il cliente ha comunicato un ip errato, e quindi ok fino alla phase2 ma poi niente routing, quindi dovrebbero già funzionare.
E' stato piacevole trovare gente appassionata e motivata che regala consigli utili, e al giorno d'oggi tutti si fanno pagare, quindi Vi regalerò consigli , sempre che tornino utili, anche se il mio campo è più spostato verso i firewall e core switch, e su piattaforme diverse dai cisco, anche se gestisco dei clusters di 4506 ma coi routers hanno ben poco da condividere.
ciao

[tonycimo]

tu puoi capire bene, che se sei motivato e ti piace la materia hai voglia di sapere sempre + cose anche di altri rami.
I tuoi consigli non solo sono ben accetti, ma siamo onorati.
Ciauz

[mirio]

visto che lo zyxel ha il "sua mode" e non mi fido, e il fw/vpn vuole un ip pubblico.

Se parli di zyxel (R) e' errato, il sua e' abilitato se lo configuri in nat.
Ciao.