vpn tra nattato e publico dinamico

[delosfast]

vediamo che ho toppato:

sede A

Codice: Seleziona tutto

!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 6 xyzxyz hostname sedeb.no-ip.org no-xauth
!
!
crypto ipsec transform-set VPN-SHA esp-3des esp-sha-hmac 
!
crypto map VPN 1 ipsec-isakmp 
 description "Tunnel to B"
 set peer sedeb.no-ip.org dynamic
 set transform-set VPN-SHA 
 match address CRYPTO*ACL*PER*TUNNEL
!
interface FastEthernet0/1
 description WAN
 mac-address xxxx.xxxx.xxxx
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 load-interval 30
 duplex auto
 speed auto
 no keepalive
 no cdp enable
 crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip nat inside source list ACL*PER*PAT interface FastEthernet0/1 overload
!
ip access-list extended ACL*PER*PAT
 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended CRYPTO*ACL*PER*TUNNEL
 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
 

sede B

Codice: Seleziona tutto

!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 6 xyzxyz address 85.x.x.x 255.255.0.0 no-xauth
!
!
crypto ipsec transform-set VPN-SHA esp-3des esp-sha-hmac 
!
crypto map VPN 1 ipsec-isakmp 
 description "Tunnel to sede A"
 set peer 85.x.x.x
 set transform-set VPN-SHA 
 match address CRYPTO*ACL*PER*TUNNEL
!
!
interface Dialer0
 description "WAN logica"
 mtu 1492
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 no cdp enable
 ppp chap hostname [email protected]
 ppp chap password 7 xyzxyz
 ppp pap sent-username [email protected] password xyzxyz
 ppp ipcp dns request
 ppp ipcp wins request
 crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip nat inside source list ACL*PER*PAT interface Dialer0 overload
!
ip access-list extended ACL*PER*PAT
 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended CRYPTO*ACL*PER*TUNNEL
 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!

ovviamente l'85.x.x.x è "dinamico"...tra virgolette nel senso che sono due anni che non cambia.
in caso potrei mettere un altro client no-ip...

in principio mi sono aiutato con questo

http://www.ciscoforums.it/viewtopic.php ... light=nat0

[zot]

sede B

Codice: Seleziona tutto

.......
crypto isakmp key 6 xyzxyz address 85.x.x.x 255.255.0.0 no-xauth
..................

Modifica in crypto isakmp key 6 xyzxyz address 85.x.x.x no-xauth


Posta uno sh cry ses det di entrambi i router

[delosfast]

modificato router B

come output per il comando sullla sede A non mi da nulla, sulla B:

Codice: Seleziona tutto

sedeB#sh cry ses det 
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: Dialer0
Session status: DOWN
Peer: 85.x.x.x port 500 fvrf: (none) ivrf: (none)
      Desc: (none)
      Phase1_id: (none)
  IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0 
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
  IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0 
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

[zot]

routerA(config)#cry isakmp en

Per fugare ogni ulteriore dubbio posta pure uno sh ver di entrambi i router.......

[delosfast]

il comando che hai messo non viene riconosciuto su nessuno dei 2 router...va dato senza show?

questi sono gli sh ver

Codice: Seleziona tutto

sedeA#sh ver
Cisco IOS Software, C2600 Software (C2600-ADVENTERPRISEK9-M), Version 12.4(17), RELEASE SOFTWARE (fc1)
...
ROM: System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1)
...
System image file is "flash:c2600-adventerprisek9-mz.124-17.bin"

...

Cisco 2611XM (MPC860P) processor (revision 4.1) with 253952K/8192K bytes of memory.
Processor board ID 
2 FastEthernet interfaces
2 Voice FXS interfaces
32K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Codice: Seleziona tutto

sedeB#sh ver
Cisco IOS Software, C1700 Software (C1700-ADVENTERPRISEK9-M), Version 12.4(1a), RELEASE SOFTWARE (fc2)
...
ROM: System Bootstrap, Version 12.2(1r)XE1, RELEASE SOFTWARE (fc1)
...
System image file is "flash:c1700-adventerprisek9-mz.124-1a.bin"

...

Cisco 1751-V (MPC860P) processor (revision 0x300) with 119370K/11702K bytes of memory.
Processor board ID , 
1 Ethernet interface
1 FastEthernet interface
1 ATM interface
2 Voice FXS interfaces
32K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

[zot]

il comando che hai messo non viene riconosciuto su nessuno dei 2 router...va dato senza show?

Quale comando dici "sh cry ses det" ?

Cmq su entrambi i router entri in configure terminal e digiti no crypto isakmp enable e poi crypto isakmp enable e ridai un sh cry ses det

[delosfast]

Codice: Seleziona tutto

sedeA#
sedeA#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
sedeA(config)#no crypto isakmp enable
sedeA(config)#
Sep 17 19:52:41.044 MET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
sedeA(config)#crypto isakmp enable   
sedeA(config)#
Sep 17 19:52:51.297 MET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
sedeA(config)#
sedeA(config)#end           
sedeA#
Sep 17 19:53:46.653 MET: %SYS-5-CONFIG_I: Configured from console by user on vty0 (192.168.1.101)
sedeA#
sedeA#sh cry ses det
sedeA#

Codice: Seleziona tutto

sedeB#
sedeB#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
sedeB(config)#no crypto isakmp enable
sedeB(config)#
Sep 17 19:52:44.054 MET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
sedeB(config)#crypto isakmp enable   
sedeB(config)#
Sep 17 19:52:57.602 MET: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
sedeB(config)#
sedeB(config)#end
sedeB#
Sep 17 19:53:52.021 MET: %SYS-5-CONFIG_I: Configured from console by user on vty0 (85.x.x.x)
sedeB#
sedeB#sh cry ses det
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: Dialer0
Session status: DOWN
Peer: 85.x.x.x port 500 fvrf: (none) ivrf: (none)
      Desc: (none)
      Phase1_id: (none)
  IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0 
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

Interface: Virtual-Access2
Session status: DOWN
Peer: 85.x.x.x port 500 fvrf: (none) ivrf: (none)
      Desc: (none)
      Phase1_id: (none)
  IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0 
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

sedeB#

[zot]

Allora sul router A debagga un pò....prima dai debug crypto ipsec error e posta che esce fuori........(ricordati di mandare un ping da un PC della sedeA verso un indirizzo privato della sede B....visto che ci sei dai anche un "tracert" verso un indirizzo privato della sede B.
Poi dai un undebug all e un debug crypto isakmp error,pinga e posta che esce fuori....

[delosfast]

non so come sia andata....


ho fatto come hai detto dalla sede A verso la B con i debug avviati ma niente....

Codice: Seleziona tutto

sedeA#
sedeA#debug crypto ipsec error
Crypto IPSEC Error debugging is on
sedeA#undebug all 
All possible debugging has been turned off
sedeA#debug crypto isakmp error
Crypto ISAKMP Error debugging is on
sedeA#

nessun segno di vita

facendo il contrario ho ricevuto un paio di log sulla sede A

Codice: Seleziona tutto

sedeA#
Sep 18 19:31:01.728: ISAKMP: can't initiate when IKE is turned off!
Sep 18 19:31:01.728: ISAKMP:(0:0:N/A:0):No pre-shared key with 151.x.x.x!
sedeA#
Sep 18 19:31:31.726: ISAKMP: can't initiate when IKE is turned off!
Sep 18 19:31:31.726: ISAKMP:(0:0:N/A:0):SA is still budding. Attached new ipsec request to it. (local 23.x.x.x, remote 151.x.x.x)
sedeA#

poi sulla B

Codice: Seleziona tutto

sedeB#
Sep 18 19:31:52.092: ISAKMP:(0:0:N/A:0):SA is still budding. Attached new ipsec request to it. (local 151.x.x.x, remote 85.x.x.x)
sedeB#
Sep 18 19:32:02.793: ISAKMP:(0:5:SW:1):deleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer 85.x.x.x)
Sep 18 19:32:02.793: ISAKMP:(0:5:SW:1):deleting SA reason "Death by retransmission P1" state (R) MM_SA_SETUP (peer 85.x.x.x) 
sedeB#

al momento funziona!

[zot]

Che funzia non ci dispiace...ma è palese che La VPN può venire tirata su solo dalla sede B.
Una notizia molto positiva è che l'hag di fastweb ti natta corretamente...ho il dubbio ,però che non stai lavorando in IPSEC.
Un problema è che (giustamente) il router A tenta di andare su con l'indirizzo privato della ehternet...si potrebbe risolvere inventandosi una loopback.....
altra cosa strana è Sep 18 19:31:01.728: ISAKMP: can't initiate when IKE is turned off! .........

P.S. cancella gli IP dal Log del router B.......

[delosfast]

sono contento anche io!!!!


come mai hai dei dubbi sull'ipsec?
tirare su la vpn dovrebbe essere necessario solo se uno dei due cade?
fino ad allora dovrebbe rimanere up giusto?

in caso potrei mettere un kron con un ping...dici che appesantrisce molto il router B?

[zot]

La VPN ,se non c'è traffico tra le sedi,va giù da sola..per rialzarla qualcuno deve fare traffico,visto che ,da quello che vedo,se uno inizia a fare traffico dalla sede A,la VPN non va su,ti convine si,mettere in kron un ping....dalla sede B alla A.
Se puoi prova un altro IOS sul router A,perchè il fatto che ti dica che l'IKE è OFF ,quando tu comunque hai dato cry isakmp en ,è strano.

[delosfast]

ho notato una cosa un pò strana...quando tutto è up

Codice: Seleziona tutto

sedeA#
sedeA#ping 192.16.0.254 source 192.168.1.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.16.0.254, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.254 
....U
Success rate is 0 percent (0/5)
sedeA#

Codice: Seleziona tutto

sedeB#
sedeB#ping 192.168.1.254 source 192.168.0.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.254, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.254 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/55/56 ms
sedeB#

come mai??
eppure da un pc di A riesco a pingare l'interfaccia interna di B...

Codice: Seleziona tutto

Risposta da 192.168.0.254: byte=32 durata=52ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=102ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=356ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=52ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=51ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=47ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=227ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=55ms TTL=254
Risposta da 192.168.0.254: byte=32 durata=55ms TTL=254

Statistiche Ping per 192.168.0.254:
    Pacchetti: Trasmessi = 366, Ricevuti = 366, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
    Minimo = 45ms, Massimo =  636ms, Medio =  100ms

[SuperCiuk]

ho notato una cosa un pò strana...quando tutto è up

Codice: Seleziona tutto

sedeA#
sedeA#ping 192.16.0.254 source 192.168.1.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.16.0.254, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.254 
....U
Success rate is 0 percent (0/5)
sedeA#

Sbagli ip destinazione?? Il messaggio di Unreachable sembrerebbe confermare.

[delosfast]

Codice: Seleziona tutto

ping 192.16.0.254

mi sono scordato un 8!!!!