Pagina 1 di 3
Aiuto configurazione Cisco 1841 con due WAN
Inviato: ven 06 mar , 2009 3:39 pm
da Richi_one
Salve a tutti,
vorrei configurare il mio Cisco 1841 (collegato a due adsl) per fare in modo che i pc della lan si connettano ad internet usando una adsl (fastethernet0/1) e ad una sede remota in vpn usando l'altra adsl (fastethernet0/0).
Al momento il router è già configurato per l'uso di una adsl (quindi vpn e navigazione sono ok),dovrei modificare la conf per collegare ed utilizzare la seconda adsl.
Suggerimenti?
Grazie in anticipo a tutti!!
Inviato: ven 06 mar , 2009 3:50 pm
da Gianremo.Smisek
davanti al cisco ci sono altri due router ? oppure ha due wic adsl?
Andrebbe sistemato:
- ip route per la default che esce sull'adslX
- altra regola di ip route per fargli scegliere l'adslY verso l'host del peer VPN
- cryptomap
- eventualmente ACL per il NAT, che va' negato per il traffico verso la VPN.
ciao
Inviato: ven 06 mar , 2009 3:58 pm
da Richi_one
Le due fastethernet sono collegate a due modem.
Al momento il router è configurato correttamente per usare una sola adsl,
dovrei introdurre i comandi per sfruttare la seconda...
Diciamo...
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 (adsl per traffico internet)
ip route 10.0.0.0 255.0.0.0 FastEthernet 0/0 (adsl per VPN)
Per il nat come mi comporto?
Inviato: ven 06 mar , 2009 4:08 pm
da Gianremo.Smisek
com'e' l'indirizzamento attuale?
gli host che vanno sulla VPN riescono anche a navigare correttamente ? Se sì, non hai bisogno di toccare l'ACL.
Inviato: ven 06 mar , 2009 4:21 pm
da Richi_one
Sì,al momento tutto il traffico esce dall'interfaccia sulla quale termina anche la vpn.I pc navigano senza problemi.
Quindi dici che mi basta configurare la seconda adsl sulla fastethernet0/1 e poi modificare solo le route?
ad esempio dovrei aggiungere alla conf attuale
int fastethernet0/1
ip address dhcp
ip nat outside
ip route 0.0.0.0 0.0.0.0 192.168.1.254 (ip del modem collegato alla fe0/1)
ip nat inside source route-map sinat interface FastEthernet0/1 overload
access-list 121 permit ip 10.5.3.0 0.0.0.255 any
route-map sinat permit 10
match ip address 121
e aggiungere le rotte
ip route xxx.xxx.xxx.xxx 255.255.255.255 fastethernet0/0 (peer della vpn)
ip route 10.0.0.0 255.0.0.0 fastethernet0/0 (adsl per le vpn)
????
Inviato: ven 06 mar , 2009 4:35 pm
da Gianremo.Smisek
Richi_one ha scritto:
ip route 10.0.0.0 255.0.0.0 fastethernet0/0 (adsl per le vpn)
????
perche' questo? non dovrebbe servire, dato che l'adsl per la vpn e' selezionata dall'altro ip route
Inviato: ven 06 mar , 2009 4:39 pm
da Richi_one
intel ha scritto:Richi_one ha scritto:
ip route 10.0.0.0 255.0.0.0 fastethernet0/0 (adsl per le vpn)
????
perche' questo? non dovrebbe servire, dato che l'adsl per la vpn e' selezionata dall'altro ip route
Non ho capito...nell'altro ip route dico solo di passare dalla fastethernet0/0 per andare verso il peer della vpn (che ho indicato con xxx.xxx.xxx.xxx)
O non serve perchè è già specificato nella access-list del tunnel vpn?
Inviato: ven 06 mar , 2009 4:42 pm
da Gianremo.Smisek
ti ho detto semplicemente di rimuovere
ip route 10.0.0.0 255.0.0.0 fastethernet0/0
ciao!
Inviato: ven 06 mar , 2009 4:43 pm
da Richi_one
Provo a postare la conf così vediamo se per voi potrebbe andare
version 12.3
no parser cache
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
service udp-small-servers
!
hostname 1841_dual_wan
!
boot-start-marker
boot-end-marker
!
enable secret xxx
enable password xxx
!
memory-size iomem 15
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
no ip source-route
ip cef
!
!
!
!
ip ips po max-events 100
no ip domain lookup
ip name-server 208.67.222.222
ip name-server 208.67.220.220
no ftp-server write-enable
!
!
!
username xxx privilege 15 password xxx
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 2
hash md5
authentication pre-share
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 5
hash md5
authentication pre-share
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 15
encr aes 256
authentication pre-share
group 5
lifetime 7200
crypto isakmp key xxxxxxxxxxx address xxx.xxx.xxx.xxx
no crypto isakmp ccm
!
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 10 ipsec-isakmp
description BBC
set peer xxx.xxx.xxx.xxx
set transform-set rtpset
match address 105
!
!
!
interface FastEthernet0/0
ip address dhcp diciamo che sarà un 192.168.1.x
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
crypto map rtp
!
interface FastEthernet0/1
ip address dhcp diciamo che sarà un 192.168.0.x
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
ip address 10.5.3.254 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.254
ip route xxx.xxx.xxx.xxx 255.255.255.255 192.168.1.254 (peer della vpn)
ip route 10.0.0.0 255.0.0.0 192.168.1.254
ip route 10.5.3.0 255.255.255.0 vlan1
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source route-map nonat interface FastEthernet0/0 overload
!
ip nat inside source route-map sinat interface FastEthernet0/1 overload
!
access-list 105 permit ip 10.5.3.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 120 deny ip 10.5.3.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 120 permit ip 10.5.3.0 0.0.0.255 any
access-list 121 permit ip 10.5.3.0 0.0.0.255 any
route-map nonat permit 10
match ip address 120
!
route-map sinat permit 10
match ip address 121
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password xxx
login
transport input telnet ssh
!
end
Inviato: ven 06 mar , 2009 4:46 pm
da Gianremo.Smisek
perche' hai messo questa?
ip route 10.0.0.0 255.0.0.0 192.168.1.254
la vpn passa dall'altra adsl con questa
ip route xxx.xxx.xxx.xxx 255.255.255.255 192.168.1.254
Inviato: ven 06 mar , 2009 4:48 pm
da Richi_one
Come dicevo sopra...in teoria per far uscire il traffico verso la sede remota dalla fastethernet0/0...o non serve perchè lo specifico già nella acl 105?
Inviato: ven 06 mar , 2009 4:49 pm
da Gianremo.Smisek
e io ti ripeto che non serve, perche' il tunnel VPN viene alzato dall'altra adsl e poi specificato dalla 105
prova e fammi sapere
Inviato: ven 06 mar , 2009 4:53 pm
da Richi_one
a parte questo dici che dovrebbe funzionare??
Inviato: ven 06 mar , 2009 4:54 pm
da Gianremo.Smisek
In pratica, quando il router matcha l'ACL vedendo traffico per 10.0.0.0, lui lo manda tramite ACL alla cryptomap, che richiama l'addr xxx.xxx.xxx.xxx. ip route lo matcha e lo routa sull'altra ADSL.
Inviato: ven 06 mar , 2009 5:03 pm
da Richi_one
Ah,ok grazie!
Il resto ti sembra corretto?Dovrebbe funzionare?