Ho creato una connessione vpn fra il mio UC520 e un client cisco vpn. Questa vpn serve per consentire l'utilizzo di un softphone X-lite verso gli interni telefonici SCCP Cisco registrati sull'UC520 (che è un call manager express).
Se la connessione vpn viene creata da un host Windows XP, tutto funziona regolarmente. X-lite si registra e la chiamata avviene senza problemi. Se la connessione viene avviata da un host Mac OS X 10.4, la voce di chi viene chiamato non si sente.
Secondo me, è un problema di routing, perchè se dal mac utilizzo X-lite localmente (cioè non attraverso la vpn), la comunicazione avviene senza problemi. Il firewall di Mac è disabilitato.
Dall'host Mac riesco a pingare sia l'interfaccia inside dell'UC520, sia gli host della LAN dell'UC e viceversa. Se mi collego anche con Windows XP, riesco sia a pingare l'host MAC collegato in VPN sia ad essere pingato da quest'ultimo.
L'unica cosa che non riesco ad ottenere è di essere pingato dall'UC520 verso gli host collegati in VPN (ma dagli host riesco a pingare l'UC e a collegarmici in telnet/ssh).
Un'altra cosa che ho notato è che dal client Cisco vpn su MAC il contatore dei pacchetti Dropped e Bypassed tende ad aumentare notevolemente durante il periodo della connessione, mentre gli stessi contantori su host Windows XP sono fissi a zero.
Grazie a tutti per l'aiuto
Ecco le parti rilevanti della mia configurazione:
Codice: Seleziona tutto
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname uc520
!
boot-start-marker
boot-end-marker
!
enable password
!
aaa new-model
!
aaa authorization network remote_clients local
!
!
aaa session-id common
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local remote_clients_pool
crypto isakmp client configuration group remote_clients
key
domain
pool remote_clients_pool
acl 150
netmask 255.255.255.0
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
crypto map dynmap isakmp authorization list jgmartin_remote_clients
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
ip cef
interface FastEthernet0/0
ip address 93.62.XXX.XXX 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map dynmap
interface Vlan1
no ip address
bridge-group 1
bridge-group 1 spanning-disabled
!
interface Vlan100
ip address 10.1.1.254 255.255.255.0
ip virtual-reassembly
!
interface BVI1
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip local pool remote_clients_pool 192.168.100.1 192.168.100.254
no ip classless
ip route 0.0.0.0 0.0.0.0 93.62.XXX.XXX
!
ip nat inside source route-map nonat interface FastEthernet0/0 overload
!
access-list 150 deny ip 192.168.0.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 150 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 permit ip 192.168.100.0 0.0.0.255 any
!
!
route-map nonat permit 10
match ip address 150
