Ciao a tutti, devo creare una vpn ipsec tra due firewall, collegati all'interfaccia ethernet 0 di due soho 97.
La vpn sui due sistemi firewall è già configurata correttamente, ma non funziona.
Vorrei sapere come abilitare l'ipsec sui due soho97. Cercando in giro ho trovato solo documentazione per abilitare la vpn sul soho97, ma a serve solo che il soho97 faccia passare l'ipsec.
Grazie.
Gabriele
Abiltare IPSEC su soho 97
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In parole povere vuoi fare gestire la vpn ad un apparato che è dietro al tuo router? Se è così le soluzioni sono 2:
1) Natti le porte che servono (500 e 4500 udp e il protocollo esp);
2) Disabiliti il nat e altra roba sul router e pubblichi la machina che hai dietro*
* La macchina che hai dietro deve potere fare nat e company (è un firewall?)
1) Natti le porte che servono (500 e 4500 udp e il protocollo esp);
2) Disabiliti il nat e altra roba sul router e pubblichi la machina che hai dietro*
* La macchina che hai dietro deve potere fare nat e company (è un firewall?)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
La soluzione 2 è la consigliata ma anche la più lunghina e difficile...
Inatnto, hai un altro ip pubblico da dare alla outside del firewall?
Se non ce la hai non puoi fare in questo modo ma devi fare per forza la prima.
Inatnto, hai un altro ip pubblico da dare alla outside del firewall?
Se non ce la hai non puoi fare in questo modo ma devi fare per forza la prima.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ok, allora:
1) Togli tutte le regole di nat dal router
2) Alla eth del router dai un ip pubblico
3) Togli tutte le acl in entrata sul router
4) Dai alla int esterna del firewall un ip pubblico (stessa subnet della eth del touter)
5) Colleghi fisicamente le 2 interfaccie del router e firewall
6) La int interna del firewall deve avere l'ip interno che aveva il router (il gateway diventa lui)
7) Configuri nat e acl sul firewall
Configuri acl sul router
9)...
1) Togli tutte le regole di nat dal router
2) Alla eth del router dai un ip pubblico
3) Togli tutte le acl in entrata sul router
4) Dai alla int esterna del firewall un ip pubblico (stessa subnet della eth del touter)
5) Colleghi fisicamente le 2 interfaccie del router e firewall
6) La int interna del firewall deve avere l'ip interno che aveva il router (il gateway diventa lui)
7) Configuri nat e acl sul firewall
Configuri acl sul router9)...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
gabis
- n00b
- Messaggi: 9
- Iscritto il: gio 24 mag , 2007 8:41 am
In parte ho già fatto quello che mi hai detto tu, solo che attualmente l'interfaccia ethernet0 del router è in ip privato con il firewal.
Il router atm0 ha un ip pubblico.
Viene effettuato un nat tra ip pubblico firewall ed ip private firewall su ethernet0.
Quindi se ho capito bene mi dici:
1) atm0 rimane lo stesso ip pubblico di adesso
2) disabilitare il nat
3)asseganre ip pubblico 2 a ethernet0
4) assegnare ip pubblico3 a wan del firewall e collegarlo su una porta di ethernet0
poi che cosa devo fare?
Grazie
Il router atm0 ha un ip pubblico.
Viene effettuato un nat tra ip pubblico firewall ed ip private firewall su ethernet0.
Quindi se ho capito bene mi dici:
1) atm0 rimane lo stesso ip pubblico di adesso
2) disabilitare il nat
3)asseganre ip pubblico 2 a ethernet0
4) assegnare ip pubblico3 a wan del firewall e collegarlo su una porta di ethernet0
poi che cosa devo fare?
Grazie
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
I punti da te elencati sono giusti.1) atm0 rimane lo stesso ip pubblico di adesso
2) disabilitare il nat
3)asseganre ip pubblico 2 a ethernet0
4) assegnare ip pubblico3 a wan del firewall e collegarlo su una porta di ethernet0
Dopo avere fatto questo devi configurare il firewall perchè faccia routing verso l'esterno e natti lui le macchine della rete.
Una volta che uscite verso internet con questa configurazione puoi configurare sul firewall la vpn ipsec.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
No, ip della punto-punto sulla atm0.1 e ip pubblico usabile sulle eth.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Non è un solo comando...
Fammi vedere la tua attuale configurazione (sh run)
Fammi vedere la tua attuale configurazione (sh run)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
gabis
- n00b
- Messaggi: 9
- Iscritto il: gio 24 mag , 2007 8:41 am
interface Ethernet0
ip address 10.10.10.1 255.255.255.248
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.47.142.298 255.255.255.0
ip nat outside
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip nat inside source list 23 interface ATM0.1 overload
ip nat inside source static tcp 10.10.10.1 23 interface ATM0.1 23
ip nat inside source static 10.10.10.6 88.54.219.214
!
!
control-plane
!
!
line con 0
ip address 10.10.10.1 255.255.255.248
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.47.142.298 255.255.255.0
ip nat outside
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip nat inside source list 23 interface ATM0.1 overload
ip nat inside source static tcp 10.10.10.1 23 interface ATM0.1 23
ip nat inside source static 10.10.10.6 88.54.219.214
!
!
control-plane
!
!
line con 0
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Codice: Seleziona tutto
interface Ethernet0
no ip address
ip address IP_PUB 255.255.255.248
no ip nat inside
interface ATM0.1 point-to-point
no ip nat outside
no ip nat inside source static tcp 10.10.10.1 23 interface ATM0.1 23
no ip nat inside source static 10.10.10.6 88.54.219.214
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
