vpn l2l con alice business

[netdevel]

La situazione è questa:

SedeA : asa5505 (asa 8.0) ---> router alice business
SedeB : asa5505 (asa 8.0) ---> router provider locale non telecom

su entrambi i router è impostato un full nat dell'ip pubblico sull'ip privato della "wan" dell'asa.
entrambi gli asa sono configurati allo stesso modo (eccezion fatta per l'indirizzamento della lan locale, della wan, e l'indirizzo del peer per la vpn l2l.

il problema è il seguente: la vpn si stabilisce correttamente se dalla SedeA contatto un host della SedeB, ma se la vpn non è attiva, dalla SedeB non riesco a contattare nessun host della SedeA.
In pratica, la vpn non si alza se non quando un host della SedeA contatta l'host della sedeB.

Non ho accesso al router della SedeB, ma dalla SedeB riesco correttamente a pingare l'ip pubblico della SedeA.

Quello che sospetto è che la vpn non si alzi perchè il router telecom di alice business (il classico disco volante), benchè sia impostato per un full nat, non giri il traffico esp all'ip interno.

ho provveduto io a configurare il router telecom, ma mi permette di scegliere solo tcp e udp per i servizi "virtual server", mentre se non ho capito male dovrei impostarlo per girare anche l'esp (ip protocol 50 e 51).

a qualcuno è già capitato questo tipo di problema? e se sì, come lo ha risolto?

un grazie in anticipo

[pastoreerrante]

La situazione è questa:

SedeA : asa5505 (asa 8.0) ---> router alice business
SedeB : asa5505 (asa 8.0) ---> router provider locale non telecom

su entrambi i router è impostato un full nat dell'ip pubblico sull'ip privato della "wan" dell'asa.
entrambi gli asa sono configurati allo stesso modo (eccezion fatta per l'indirizzamento della lan locale, della wan, e l'indirizzo del peer per la vpn l2l.

il problema è il seguente: la vpn si stabilisce correttamente se dalla SedeA contatto un host della SedeB, ma se la vpn non è attiva, dalla SedeB non riesco a contattare nessun host della SedeA.
In pratica, la vpn non si alza se non quando un host della SedeA contatta l'host della sedeB.

Non ho accesso al router della SedeB, ma dalla SedeB riesco correttamente a pingare l'ip pubblico della SedeA.

Quello che sospetto è che la vpn non si alzi perchè il router telecom di alice business (il classico disco volante), benchè sia impostato per un full nat, non giri il traffico esp all'ip interno.

ho provveduto io a configurare il router telecom, ma mi permette di scegliere solo tcp e udp per i servizi "virtual server", mentre se non ho capito male dovrei impostarlo per girare anche l'esp (ip protocol 50 e 51).

a qualcuno è già capitato questo tipo di problema? e se sì, come lo ha risolto?

un grazie in anticipo

Secondo me, non è un problema legato al forwarding del traffico ESP sull'ip privato della sede B, perchè se così fosse la vpn non verrebbe mai attivata.

Dovresti provare a impostare sull'asa delle due sedi un meccanismo di keepalive, così che entrambi i router effettuino ping a intervalli regolari per mantenere attiva la vpn.

Potrebbe anche essere un problema di ACL non correttamente impostate sull'asa della sede B. Sei certo che il NAT0 sia configurato a dovere?

In secondo luogo, il router pirelli telecom non è adeguato a contesti aziendali, proverei a sostituirlo con qualcosa di più robusto.

Saluti

[netdevel]

potrebbe essere comunque un problema di esp in quanto una volta che l'asa dietro al router telecom contatta l'altro asa il router telecom non sta forwardando niente all'interno, sta facendo uscire e natta semplicemente.

le acl sono corrette, anche perchè le configurazioni sono identiche, se fosse sbagliata da una parte sarebbe sbagliata anche dall'altra. Ovviamente sulla sedeA c'è l'acl che identifica il traffico verso la sedeB e sulla sedeB viceversa, la configurazione l'avevo provata prima con i due apparati in laboratorio, dal cliente ho cambiato solo gli indirizzi delle WAN, che sono su reti diverse dalle reti lan (le lan sono 172.16.101.x sedeA, 172.16.102.x sedeB, le WAN sono rispettivamente 192.168.2.x e 10.252.253.x).

il nat0 è sicuramente a posto, visto che se dalla SedeA contatto la SedeB la vpn sale e il traffico scorre correttamente in entrambe le direzioni, se il nat0 fosse configurato erroneamente su anche solo uno dei due apparati una volta salita la vpn non passerebbe traffico...

[pastoreerrante]

potrebbe essere comunque un problema di esp in quanto una volta che l'asa dietro al router telecom contatta l'altro asa il router telecom non sta forwardando niente all'interno, sta facendo uscire e natta semplicemente.
.

Questo vale solo per la fase in cui l'asa sede B INIZIA la comunicazione con l'asa della sede A. Una volta che quest'ultimo risponde, invia traffico ESP al router telecom e se l'ESP non venisse forwardato correttamente, la vpn non salirebbe nemmeno.

Inoltre, se hai fatto un NAT 1 a 1 ip pubblico-ip privato mi sembra difficile che ESP non venga correttamente inoltrato a destinazione.

Se le ACL sono corrette, ti rimangono i keepalive.

[netdevel]

potrebbe essere comunque un problema di esp in quanto una volta che l'asa dietro al router telecom contatta l'altro asa il router telecom non sta forwardando niente all'interno, sta facendo uscire e natta semplicemente.
.

1) Questo vale solo per la fase in cui l'asa sede B INIZIA la comunicazione con l'asa della sede A. Una volta che quest'ultimo risponde, invia traffico ESP al router telecom e se l'ESP non venisse forwardato correttamente, la vpn non salirebbe nemmeno.

2) Inoltre, se hai fatto un NAT 1 a 1 ip pubblico-ip privato mi sembra difficile che ESP non venga correttamente inoltrato a destinazione.

Se le ACL sono corrette, ti rimangono i keepalive.

1) se l'asa della SedeA (dietro router telecom) contatta l'asa della SedeB, il router telecom prende il pacchetto sulla "inside" e lo gira verso la "outside", e lo fa con qualsiasi protocollo senza il bisogno di essere forwardato. per girare il traffico dal pubblico al privato hai invece bisogno di configurargli i "virtual server", e se il router non supporta il forward di traffico esp, non funziona, esattamente come adesso.

2) invece può essere quello il problema, sul router quando lo configuri per il nat 1 a 1, puoi scegliere tcp o udp, oppure mettere un asterisco.
il problema è che il traffico esp non è nè tcp nè udp, ma corrisponde all'ip protocol 50. da qui nasce il mio sospetto, perciò sto chiedendo se qualcuno ha tirato in piedi vpn l2l con alice business e se sì,come ha fatto...

[netdevel]

nessuno?

[zot]

Non ti arrabbiare.....brucia il disco volante e mettici un 857...

[netdevel]

Non ti arrabbiare.....brucia il disco volante e mettici un 857...

figurati se mi arrabbio
il problema è che è una alice business, e la linea è bloccata su quel router...

[SocciO]

bè...se ti può interessare io ho fatto andare un 877 su alice business base, quindi 1 solo indirizzo IP statico...c'erano delle info quì sul forum e sembra che funzionino. Non mi ricordo il topic, ma questa è la configurazione del router!

interface ATM0
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
no atm ilmi-keepalive
dsl operating-mode ansi-dmt
!
interface ATM0.1 point-to-point
ip nat outside
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
interface Dialer0
ip address <indirizzo IP> 255.255.255.0 (non so perchè ma con la \24 funziona....)
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <mac address del modem fornito da alice>-[email protected]
ppp chap password 0 alicenewag
ppp pap sent-username <mac address del modem fornito da alice>-[email protected] password 0 alicenewag

molte cose sono un pò oscure....ma se funziona a me va bene così!! Vedi che ip address hai utilizzando il modem fornito e poi lo metti sulla conf!!

[netdevel]

bè...se ti può interessare io ho fatto andare un 877 su alice business base, quindi 1 solo indirizzo IP statico...c'erano delle info quì sul forum e sembra che funzionino. Non mi ricordo il topic, ma questa è la configurazione del router!

interface ATM0
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
no atm ilmi-keepalive
dsl operating-mode ansi-dmt
!
interface ATM0.1 point-to-point
ip nat outside
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
interface Dialer0
ip address <indirizzo IP> 255.255.255.0 (non so perchè ma con la \24 funziona....)
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <mac address del modem fornito da alice>-[email protected]
ppp chap password 0 alicenewag
ppp pap sent-username <mac address del modem fornito da alice>-[email protected] password 0 alicenewag

molte cose sono un pò oscure....ma se funziona a me va bene così!! Vedi che ip address hai utilizzando il modem fornito e poi lo metti sulla conf!!

il problema, se non ho capito male però, è contrattuale:
devi usare il router fornito in comodato, perchè questo router permette la telegestione.
Nel momento in cui lo sostituisci con un router tuo, la linea può anche funzionare per grazia ricevutta, ma essendo una violazione del contratto possono staccarti la linea in qualunque momento.

qualcuno che ci ha già sbattuto la capocchia sa darmi una "versione ufficiale" di come stanno veramente le cose?

ovviamente verrà ricompensato con un mezzobusto in marmo e una birra appena capita dalle mie parti

[zot]

Brucia il disco volante...l'unico problema eventuale sarebbe la perdita dell IP fisso pubblico....

[netdevel]

Brucia il disco volante...l'unico problema eventuale sarebbe la perdita dell IP fisso pubblico....

beh, detto nulla, in pratica è l'unica cosa utile di quella linea

[zot]

Con il metodo che ti ha postato SocciO io ho configurato più di una decina di alice business..nuove e vecchie...ed ho sempre ottenuto l'IP fisso...
Il mio "eventuale" è riferito cmq al fatto che non puoi avere garanzia che telecom non cambi qualcosa in "corso d'opera".
Scegli tu se vuoi continuare a scommettere con il disco volante o se vuoi "rischiare" mettendo su un cisco.