Salve a tutti,
devo creare una vpn tra una sede remota e la sede centrale con la tecnologia easy vpn.
Qualcuno ha la configurazione degli apparati in oggetto che svolgano tale compito?
Grazie,
levis
Easy VPN - ASA 5510 e Router 877
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Hai ip statici da entrambe le parti o da una parte hai un IP dinamico?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
levis
- n00b
- Messaggi: 13
- Iscritto il: lun 21 mag , 2007 8:54 pm
Questa e' la configurazione che ho tirato fuori e devo ancora testarla.
Un dubbio immediato e' come gestire la riga
xauth userid mode interactive
creata automaticamente dall'IOS sul router.
Ringrazio anticipatamente x i suggerimenti sulla configurazione.
SEDE CENTRALE
access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list ezvpn1 extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1
crypto ipsec transform-set PrimoSet esp-3des esp-md5-hmac
crypto dynamic-map Primo_DYN-MAP 5 set transform-set PrimoSet
crypto dynamic-map Primo_DYN-MAP 5 set security-association lifetime seconds 28800
crypto dynamic-map Primo_DYN-MAP 5 set security-association lifetime kilobytes 4608000
crypto map myMAP 60 ipsec-isakmp dynamic Primo_DYN-MAP
crypto map myMAP interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy Gruppo1 internal
group-policy Gruppo1 attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ezvpn1
nem enable
tunnel-group DefaultGroup type ipsec-l2l
tunnel-group DefaultGroup general-attributes
default-group-policy Gruppo1
tunnel-group DefaultGroup ipsec-attributes
pre-shared-key *
SEDE REMOTA
crypto ipsec client ezvpn ASA
connect auto
group DefaultGroup key ******
mode network-extension
peer XXX.XX.XX.XX
xauth userid mode interactive
interface Dialer0
crypto ipsec client ezvpn ASA
ip nat inside source route-map EzVPN1 interface Dialer0 overload
!
access-list 103 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
route-map EzVPN1 permit 1
match ip address 103
Un dubbio immediato e' come gestire la riga
xauth userid mode interactive
creata automaticamente dall'IOS sul router.
Ringrazio anticipatamente x i suggerimenti sulla configurazione.
SEDE CENTRALE
access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list ezvpn1 extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1
crypto ipsec transform-set PrimoSet esp-3des esp-md5-hmac
crypto dynamic-map Primo_DYN-MAP 5 set transform-set PrimoSet
crypto dynamic-map Primo_DYN-MAP 5 set security-association lifetime seconds 28800
crypto dynamic-map Primo_DYN-MAP 5 set security-association lifetime kilobytes 4608000
crypto map myMAP 60 ipsec-isakmp dynamic Primo_DYN-MAP
crypto map myMAP interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy Gruppo1 internal
group-policy Gruppo1 attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ezvpn1
nem enable
tunnel-group DefaultGroup type ipsec-l2l
tunnel-group DefaultGroup general-attributes
default-group-policy Gruppo1
tunnel-group DefaultGroup ipsec-attributes
pre-shared-key *
SEDE REMOTA
crypto ipsec client ezvpn ASA
connect auto
group DefaultGroup key ******
mode network-extension
peer XXX.XX.XX.XX
xauth userid mode interactive
interface Dialer0
crypto ipsec client ezvpn ASA
ip nat inside source route-map EzVPN1 interface Dialer0 overload
!
access-list 103 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
route-map EzVPN1 permit 1
match ip address 103
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In sostanza la logica è questa:
- lato ip statico:
configuri la vpn mettendo come remote host 0.0.0.0
- lato ip dinamico:
configuri la vpn mettendo come remote host l'ip statico del altro fw
- lato ip statico:
configuri la vpn mettendo come remote host 0.0.0.0
- lato ip dinamico:
configuri la vpn mettendo come remote host l'ip statico del altro fw
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
levis
- n00b
- Messaggi: 13
- Iscritto il: lun 21 mag , 2007 8:54 pm
Ciao,
scusa ma non so come devo fare.
Puoi modificare cortesemente la configurazione postata con la tua indicazione?
Grazie,
Levis
P.S.: devo aggiungere nella sede centrale questa riga?
crypto map myMAP 60 set peer 0.0.0.0
Nella sede remota la riga che indica il peer c'e' gia'.
E' corretto?
scusa ma non so come devo fare.
Puoi modificare cortesemente la configurazione postata con la tua indicazione?
Grazie,
Levis
P.S.: devo aggiungere nella sede centrale questa riga?
crypto map myMAP 60 set peer 0.0.0.0
Nella sede remota la riga che indica il peer c'e' gia'.
E' corretto?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In sostanza siP.S.: devo aggiungere nella sede centrale questa riga?
crypto map myMAP 60 set peer 0.0.0.0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Automaticamente dal pdm?
Cmq mi sa che nn centra nulla, puoi anche levarlo quel comando x quanto riguarda la vpn
Cmq mi sa che nn centra nulla, puoi anche levarlo quel comando x quanto riguarda la vpn
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Prova a configurare allo stesso modo da entrambe le parti solo che sun un apparato metti l'ip statico remoto e sul altro 0.0.0.0.
Quindi sintassi x la vpn l2l non easy vpn
Quindi sintassi x la vpn l2l non easy vpn
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
levis
- n00b
- Messaggi: 13
- Iscritto il: lun 21 mag , 2007 8:54 pm
ok,
allora mi consigli di lasciare stare la tecnologia easy vpn.
Modifico lo script x la vpn l2l con crypto map dynamic non avendo un peer
con ip dinamico e provo a vedere se tutto funziona.
Dovro' poi estendere la configurazione a 10 sedi (spokes).
A tal fine devo aggiungere righe di access list x nat0, aggiungere righe di tunnel-group e crypto map per ogni sede, giusto?
Grazie in anticipo.
Levis.
allora mi consigli di lasciare stare la tecnologia easy vpn.
Modifico lo script x la vpn l2l con crypto map dynamic non avendo un peer
con ip dinamico e provo a vedere se tutto funziona.
Dovro' poi estendere la configurazione a 10 sedi (spokes).
A tal fine devo aggiungere righe di access list x nat0, aggiungere righe di tunnel-group e crypto map per ogni sede, giusto?
Grazie in anticipo.
Levis.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Certo come una vpn l2l normaleA tal fine devo aggiungere righe di access list x nat0, aggiungere righe di tunnel-group e crypto map per ogni sede, giusto?
Volendo, si potrebbe fare qualcosa x sfruttare un dyndns...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Certo, devi fare così!Stavo pensando, invece di creare nell'hub una crypto map per ogni sede, posso crearne solo una e aggiungere solo la riga che mi indichi il peer (spoke)?
Anche se la parte della crypto acl e nat0 la devi cmq sempre mettere
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
