vpn tra nattato e publico dinamico

[delosfast]

sto smadonnando...anche se è parecchio interessante come argomento.

tanto per gradire ho aggiornato IOS con una versione sbagliata...e mi sono chiuso fuori.

[zot]

non riesco a trovare documentazione su DMVPN che non sia per SDM...ovviamente parlo di DMVPN per un discorso di studio e scalabilità.

http://www.cisco.com/en/US/docs/ios/12_ ... reips.html

su google scrivendo "cisco dmvpn" è il primo link........
Ma per due sedi lo escluderei a priori...vai di VPN LAN 2 LAN .Fino a 10 sedi riesci a non impazzire..oltre è obbligatorio..(sempre se le varie sedi non debbano fare traffico fra loro).....Fastweb è bastarda ma bisogna riconoscere che le sue SDHL sono rock stable.....la storia del blocco VPN IPSEC non mi risulta...almeno con la connessone SHDL che abbiamo in ufficio non c'è traccia di blocco.
Okkio che sulle IOS più recenti una VPN tramite "host dynamic" vuole un certificato...

[delosfast]

ma cosa metto come ip destinazione verso B (dentro fastweb)?
è questo il mio dilemma

[zot]

L'IP pubblico ovviamente (o l'host dyndns) .

[delosfast]

quello generico con cui esco (insieme a pacchi altri utenti)?

io ci provo...ma per sicurezza di notte e metto un bel reload temporizzato

[zot]

Facciamo un pò di chiarezza : vuoi fare una VPN tra due reti ( Lan to Lan) o vuoi che 1 PC si colleghi in VPN ad un altra rete?
Nel primo caso dietro al router Fastweb te ne serve un altro e devi richiedere a Fastweb un nat 1:1 sugli IP pubblici che hai.Nel secondo....è tutta un'altra storia.....

[delosfast]

in effetti sono stato poco chiaro io, ecco lo "schema" di rete

lan1 - miocisco - cpe (no router) -> [nuvola fastweb] <-> [nuvola libero] - miocisco - lan2

lo scopo è fare la vpn tra le due sedi...utilizzando i due cisco

[delosfast]

UP!

dici che posso provare con la VPN classica?

[zot]

Per cpe intendi il "modem" shdl?

[delosfast]

no intendo l'hag...quello con ingresso adsl rj11 che fa fonia e dati (è un telsey ma prima avevo un pirelli)

[zot]

aiaiai......la cosa si complica....correggimi se sbaglio:tu attacchi un apparato (PC o router che sia) all'hag e questo gli assegna un indirizzo IP ]PUBBLICO?
Dietro all'hag ti serve cmq un router con 2 interfacce ethernet..lo sai si?
Con Libero hai IP pubblico giusto?
Essendo la linea Fastweb connessa ad un hag...potresti avere problemi a far passare l'IPSEC.
Cmq la cosa è relativamente semplice:sul router dietro a Fastweb fai puntare la VPN su l'IP di Libero e sul router con Libero fai puntare la VPN sul DNS dinamico a cui risponde il router dietro l'hag di Fasteweb.......chiarisci le cose che ti ho chiesto e poi proviamo ad andare avanti...

[delosfast]

aiaiai......la cosa si complica....correggimi se sbaglio:tu attacchi un apparato (PC o router che sia) all'hag e questo gli assegna un indirizzo IP ]PUBBLICO?

no, mi assegna un ip 23.x.x.x...che viene nattato in 85.x.x.x

Dietro all'hag ti serve cmq un router con 2 interfacce ethernet..lo sai si?

si certo, già c'è...mancherebbe solo di fargli fare sta benedetta vpn

Con Libero hai IP pubblico giusto?

si ma dinamico, per ora ho risolto facendo fare ad un pc da client no-ip

Essendo la linea Fastweb connessa ad un hag...potresti avere problemi a far passare l'IPSEC.

per il momento mi basterebbe anche non ipsec

Cmq la cosa è relativamente semplice:sul router dietro a Fastweb fai puntare la VPN su l'IP di Libero e sul router con Libero fai puntare la VPN sul DNS dinamico a cui risponde il router dietro l'hag di Fasteweb.......chiarisci le cose che ti ho chiesto e poi proviamo ad andare avanti...

attendo ansioso

[zot]

Do quindi per scontato che l'IP con cui fa NAT Fastweb sia fisso........
Do anche per scontato che la parte NAT dei client dietro al TUO router sia OK,
do per scontato che pure la parte relativa alla rotta del tuo router sia OK.

Sul Router tuo che sta dietro Fastweb vai di crypto map su dynamic host

Codice: Seleziona tutto

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2

Assegni la chiave sull'host dinamico su cui hai configurato Libero

Codice: Seleziona tutto

crypto isakmp key PASSWORD HOST.NOIP.ORG no-xauth

Assegni la modalità di scambio delle chiavi e la crittografia del flusso dati.

Codice: Seleziona tutto

crypto ipsec transform-set VPN-SHA esp-3des esp-sha-hmac

Crypto map su host dinamico

Codice: Seleziona tutto

crypto map VPN 1 ipsec-isakmp
 description Tunnel to NOME A SCELTA
 set peer HOST.NOIP.ORG dynamic
 set transform-set VPN-SHA
 match address 151

Nota che match address 151 è riferito alla ACL che dovrai fare per permettere il traffico dalla rete interna del router dietro a Fastweb verso quella interna del router di Libero.Per funzionare il tutto dovrai anche aggiungere una riga al tuo NAT0 dello stesso router che impedisce il traffico dalla rete interna a quella interna dell'host remoto.

Configura allo stesso modo il router di Libero facendo puntare il tutto sull'IP 85.xx.xx.xx che usa Fastweb per il nat.Ricordati assegnare key uguali.

[delosfast]

ok, creata la crypto map....scusa ma non sono praticissimo:

funziona come le vpn normali o devo comunque creare l'interfaccia tunnel ed applicare sta roba?

creo la rotta che punta verso l'altra sede e la acl che nega in uscita il traffico della vpn giusto?

[zot]

funziona come le vpn normali o devo comunque creare l'interfaccia tunnel ed applicare sta roba?

No,non creare tunnel et similia

creo la rotta che punta verso l'altra sede e la acl che nega in uscita il traffico della vpn giusto?

Il "deny" che nega la rotta alla rete interna verso l'altra rete interna va sul nat 0,ti consiglio,inoltre di fare il nat0 con una "route-map".
In secondo luogo(e legata alla crypto map)va una ACL con il "permit" della rete interna verso l'altra interna.

Postami il tuo nat/pat