Ciao Paolo,
Nel 2801 : boot system flash:c2801-advipservicesk9-mz.124-16.bin
Nel 1801 : boot system flash:c180x-adventerprisek9-mz.124-15.T.bin
A presto.
Fabio
VPN site-to-site semmpre down
Moderatore: Federico.Lagni
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ve vuoi ti ci do un occhio in remoto
Non cade foglia che l'inconscio non voglia (S.B.)
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Ho simulato la tua rete e a me funziona. Può essere un problema di IOS, anche se dal sito Cisco non si direbbe.
Paolo
Ho simulato la tua rete e a me funziona. Può essere un problema di IOS, anche se dal sito Cisco non si direbbe.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Se vuoi quando torno a casa ti posto configurazione del lab.
Per il router come client PPTP non l'ho mai fatto.
Paolo
Per il router come client PPTP non l'ho mai fatto.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
marfab
- n00b
- Messaggi: 11
- Iscritto il: mer 11 feb , 2015 12:15 pm
Ti ringrazio.
Per la configurazione server pptp non ho avuto grossi problemi, essendo relativamente semplice, riesco infatti ad effettuare l'autenticazione con client windows e linux. Purtroppo non trovo esempi di configurazioni client di router cisco (escluso cisco client
)
A presto
Fabio
Per la configurazione server pptp non ho avuto grossi problemi, essendo relativamente semplice, riesco infatti ad effettuare l'autenticazione con client windows e linux. Purtroppo non trovo esempi di configurazioni client di router cisco (escluso cisco client
)A presto
Fabio
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
R1
R2
Per il PPTP, come ti ho detto non ho mai usato il router come client, ma questo non vuol dire che non si possa fare. In questi giorni sono preso con lavoro e studio. Se trovo un po' di tempo provo a farlo.
Paolo
Codice: Seleziona tutto
!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key paolo address 95.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map mymap 10 ipsec-isakmp
set peer 95.1.1.1
set transform-set myset
match address 100
!
!
!
!
interface Loopback0
ip address 192.168.69.50 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
ip address 217.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface Serial2/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial2/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial2/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart-delay 0
!
interface Ethernet3/0
no ip address
shutdown
duplex half
!
interface Ethernet3/1
no ip address
shutdown
duplex half
!
interface Ethernet3/2
no ip address
shutdown
duplex half
!
interface Ethernet3/3
no ip address
shutdown
duplex half
!
ip route 0.0.0.0 0.0.0.0 217.1.1.2
!
no ip http server
no ip http secure-server
!
!
access-list 100 permit ip 192.168.69.0 0.0.0.255 192.168.5.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
Codice: Seleziona tutto
!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key paolo address 217.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map mymap 10 ipsec-isakmp
set peer 217.1.1.1
set transform-set myset
match address 100
!
!
!
!
interface Loopback0
ip address 192.168.5.4 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 95.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface GigabitEthernet1/0
no ip address
shutdown
negotiation auto
!
interface Serial2/0
no ip address
shutdown
serial restart-delay 0
!
interface Serial2/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial2/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart-delay 0
!
interface Ethernet3/0
no ip address
shutdown
duplex half
!
interface Ethernet3/1
no ip address
shutdown
duplex half
!
interface Ethernet3/2
no ip address
shutdown
duplex half
!
interface Ethernet3/3
no ip address
shutdown
duplex half
!
ip route 0.0.0.0 0.0.0.0 95.1.1.2
!
no ip http server
no ip http secure-server
!
!
access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.69.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
!
!
end
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Codice: Seleziona tutto
R1#ping 192.168.5.4 source l0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.69.50
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 252/301/336 ms
R1#sh crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 95.1.1.1 port 500
IKE SA: local 217.1.1.1/500 remote 95.1.1.1/500 Active
IPSEC FLOW: permit ip 192.168.69.0/255.255.255.0 192.168.5.0/255.255.255.0
Active SAs: 2, origin: crypto map
R1#
Non cade foglia che l'inconscio non voglia (S.B.)
-
marfab
- n00b
- Messaggi: 11
- Iscritto il: mer 11 feb , 2015 12:15 pm
Credo di aver risolto ...
Ho ripristinato le configurazioni dei router alle semplici connessioni adsl.
Ho trovato molto utile la seguente documentazione:
http://www.cisco.com/c/en/us/td/docs/io ... 1632258F65
Quindi l'ho applicata al mio caso ...
Ora devo testare le condivisioni, oltre poi a integrare regole di firewall ecc ... ma quello è un altro discorso, per il quale chiederò sicuramente aiuto in questo forum.
Linea Tiscali
.
.
authentication pre-share
group 2
crypto isakmp key CHIAVE address 95.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 217.X.X.X
tunnel destination 95.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
.
.
ip route 192.168.60.0 255.255.255.0 Tunnel0
Linea Telecom
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key CHIAVE address 217.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 95.X.X.X
tunnel destination 217.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
ip route 192.168.0.0 255.255.255.0 Tunnel 0
#sh crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 95.X.X.X port 500
IKE SA: local 217.X.X.X/500 remote 95.X.X.X/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
o#sh crypto isakmp sa
dst src state conn-id slot status
95.X.X.X 217.X.X.X QM_IDLE 1 0 ACTIVE
#sh crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 217.X.X.X
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 95.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 24, #pkts encrypt: 24, #pkts digest: 24
#pkts decaps: 23, #pkts decrypt: 23, #pkts verify: 23
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 217.X.X.X, remote crypto endpt.: 95.X.X.X
path mtu 1514, ip mtu 1514, ip mtu idb Tunnel0
current outbound spi: 0xF3377CCF(4080499919)
inbound esp sas:
spi: 0xC0440187(3225682311)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3003, flow_id: FPGA:3, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4502154/2439)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
Paolo pensi che l'applicazione della crypto map direttamente sulla Dialer0, come facevo in precedenza, possa non produrre gli effetti desiderati con connessioni adsl nostrane??
Ho ripristinato le configurazioni dei router alle semplici connessioni adsl.
Ho trovato molto utile la seguente documentazione:
http://www.cisco.com/c/en/us/td/docs/io ... 1632258F65
Quindi l'ho applicata al mio caso ...
Ora devo testare le condivisioni, oltre poi a integrare regole di firewall ecc ... ma quello è un altro discorso, per il quale chiederò sicuramente aiuto in questo forum.
Linea Tiscali
.
.
authentication pre-share
group 2
crypto isakmp key CHIAVE address 95.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 217.X.X.X
tunnel destination 95.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
.
.
ip route 192.168.60.0 255.255.255.0 Tunnel0
Linea Telecom
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key CHIAVE address 217.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 95.X.X.X
tunnel destination 217.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
ip route 192.168.0.0 255.255.255.0 Tunnel 0
#sh crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 95.X.X.X port 500
IKE SA: local 217.X.X.X/500 remote 95.X.X.X/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
o#sh crypto isakmp sa
dst src state conn-id slot status
95.X.X.X 217.X.X.X QM_IDLE 1 0 ACTIVE
#sh crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 217.X.X.X
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 95.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 24, #pkts encrypt: 24, #pkts digest: 24
#pkts decaps: 23, #pkts decrypt: 23, #pkts verify: 23
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 217.X.X.X, remote crypto endpt.: 95.X.X.X
path mtu 1514, ip mtu 1514, ip mtu idb Tunnel0
current outbound spi: 0xF3377CCF(4080499919)
inbound esp sas:
spi: 0xC0440187(3225682311)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3003, flow_id: FPGA:3, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4502154/2439)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
Paolo pensi che l'applicazione della crypto map direttamente sulla Dialer0, come facevo in precedenza, possa non produrre gli effetti desiderati con connessioni adsl nostrane??
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Con il tunnel è un altro modo, ma sinceramente penso che se funziona uno dovrebbe funzionare anche l'altro.
Comunque l'importante è che funzioni.
Paolo
Comunque l'importante è che funzioni.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
marfab
- n00b
- Messaggi: 11
- Iscritto il: mer 11 feb , 2015 12:15 pm
Anche a me sembra strano che nell'altro modo non funzioni.
Hai ragione anche tu quando dici che l'importante è che funzioni. E' altrettanto vero che essendo il sottoscritto parecchio testardo riproverò a rifare la precedente configurazione da zero alla ricerca del quasi sicuro errore.
Ti ringrazio per l'aiuto, augurandoti una buona serata.
A presto
Fabio
Hai ragione anche tu quando dici che l'importante è che funzioni. E' altrettanto vero che essendo il sottoscritto parecchio testardo riproverò a rifare la precedente configurazione da zero alla ricerca del quasi sicuro errore.
Ti ringrazio per l'aiuto, augurandoti una buona serata.
A presto
Fabio
