ACCESSO VPN CLIENT A HOST RAGGIUNGIBILE CON LAN TO LAN

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
marcoexo
n00b
Messaggi: 24
Iscritto il: mar 28 ago , 2012 12:59 am

Ciao esperti,

ho un problemino con cui mi sto scontrando da un paio di giorni.

Ho un Cisco 2811 con ios 12.4 advancedenterprise in "sede 1"

Ho una VPN lan to lan configurata correttamente verso la "sede 2" e da qualsiasi host in "sede 1" raggiungo i server permessi della "sede 2".

Ho anche alcuni utenti remoti connessi allo stesso apparato da fuori, con vpn client e la VPN anch'essa configurata sullo stesso router, questi accedono correttamente ai server di "sede 1"

Il mio problema è che non riesco a permettere agli utenti remoti di raggiungere i server della "sede 2" tramite vpn client.
In sostanza il traffico diretto a host della "sede 2" da vpn client deve fluire nel 2811 verso la lan to lan

Ho provato con questo 'permit' aggiuntivo, il client vpn vede il nuovo route correttamente ma non accede ai server di "sede 2"...
access-list 120 permit ip host 10.5.37.105 10.10.1.0 0.0.0.255
Ho provato anche con un route diretto degli ip ma nulla anche qui, dove sbaglio ?

Ecco una sintesi della parte di config coinvolta l'ip esterno della "sede 1" è 7x.5.1xx.144, quello della sede 2 è indicato come 1xx.xx.xx.2
Uno dei server nella sede 2 da raggiungere è 10.5.37.105

Grazie per ogni aiuto o consiglio :-)

--------CONFIG CISCO 2811-------

!!!! VPN LAN TO LAN PER ACCESSO SERVER SEDE REMOTA
!!!!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2

crypto isakmp key ***** address 1xx.xx.xx.2

!!!
!!! VPN PER ACCESSO DA CLIENT CISCO
!!!

crypto isakmp client configuration group MYGROUP
key ******
dns 8.8.8.8
pool SDM_POOL_1
acl 120
netmask 255.255.255.0
ip local pool SDM_POOL_1 10.10.1.2 10.10.1.254

access-list 120 deny ip 192.168.0.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 120 permit ip host 192.168.0.210 10.10.1.0 0.0.0.255
access-list 120 permit ip host 151.100.100.34 10.10.1.0 0.0.0.255
access-list 120 permit ip host 151.100.100.97 10.10.1.0 0.0.0.255
access-list 120 permit ip host 10.5.37.105 10.10.1.0 0.0.0.255
!!!!!!!!

crypto isakmp profile ciscocp-ike-profile-1
match identity group MYGROUP
client authentication list ciscocp_vpn_xauth_ml_1
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile CiscoCP_Profile1
set transform-set ESP-3DES-MD5
set isakmp-profile ciscocp-ike-profile-1


!
! CRYPTO MAP PER LAN TO LAN

crypto map VPN 10 ipsec-isakmp
set peer 1xx.xx.xx.2
set transform-set ESP-3DES-SHA
match address LPN_ENC_DOMAIN

!!! HOST PERMESSI SULLA LAN SEDE REMOTA
ip access-l extended LPN_ENC_DOMAIN
permit ip host 7x.5.1xx.144 host 10.5.37.100
permit ip host 7x.5.1xx.144 host 10.5.37.105
permit ip host 7x.5.1xx.144 host 10.37.12.17
!
!
interface Loopback0
ip address 78.5.137.146 255.255.255.0


interface ATM0/IMA1.1 point-to-point
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$FW_INSIDE$$ETH-WAN$
bandwidth 4096
ip address 7x.y.z.k 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map VPN
pvc 10/100
protocol ip 7x.y.z.w broadcast
encapsulation aal5snap

interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile CiscoCP_Profile1

ip route 0.0.0.0 0.0.0.0 ATM0/IMA1.1
ip route 10.10.1.0 255.255.255.0 ATM0/IMA1.1
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

Non sono pratico purtroppo di VPN perciò provo a buttare lì l'idea: il nat?
Le rotte remote sono a posto? Cioè dai server della sede remota i pacchetti per la rete dei road warrior dove vengono diretti?
E se dai client remoti che accedono in vpn provi a fare dei traceroute dove ti si fermano?

Rizio
Si vis pacem para bellum
Top
marcoexo
n00b
Messaggi: 24
Iscritto il: mar 28 ago , 2012 12:59 am

Ciao Rizio,

l'unica differenza che vedo è questa :
il traceroute da un host nella rete di "sede 1" verso la "sede 2" da come primo ip il router stesso e poi una serie di timeout, (cmq da li funziona, i timeout forse sono dovuti al fatto che snmp non è attivato in "sede 2")

Tracing route to 10.5.37.105
1 1 ms <1 ms <1 ms 192.168.0.1
2 * * * Request timed out.
3 * * * Request timed out.

Da un client VPN, dopo aver aggiunto questo permit, che abilita l'ip 10.5.37.105 ad instradarsi sulla vpn.
access-list 120 permit ip host 10.5.37.105 10.10.1.0 0.0.0.255

ho questo trace

Traccia instradamento verso 10.5.37.105 su un massimo di 30 punti di passaggio

1 59 ms 51 ms 52 ms [7x.5.1xx.144]
2 * * * Richiesta scaduta.
3 * * * Richiesta scaduta.
dove il primo router incontrato è l'ip pubblico del cisco, penso sia corretto così ma con telnet non ho nessuna risposta da "sede 2"...

Sembra che una volta arrivato il pacchetto al cisco, poi non sappia instradarlo sulla vpn lan to lan...
Non ho grandi possibilità di debuggare il traffico ricevuto sula rete 2 in quanto non è sotto mio controllo, qualche altra idea ?

Grazie ;-)
Ultima modifica di marcoexo il ven 25 gen , 2013 12:29 pm, modificato 1 volta in totale.
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

Ma hai la possibilità di farti confermare che lato RETE2 l'instradamento da parte dei server sia corretto anche per gli ip della tua VPN road warriors?

Altro però non mi viene in mente, sorry, lascio la parola a chi ne sà di più.

Rizio
Si vis pacem para bellum
Top
marcoexo
n00b
Messaggi: 24
Iscritto il: mar 28 ago , 2012 12:59 am

Ok, cercherò di verificare quanto suggerisci, grazie...

Nel frattempo se qualche altro esperto ha soluzioni, sono in attesa :-)

Marco
Top
Rispondi

Torna a “Configurazioni”