VPN - Backup ADSL e object tracking

Virtual private networks e affini

Moderatore: Federico.Lagni

davjava
n00b
Messaggi: 18
Iscritto il: sab 19 apr , 2008 6:11 pm

Buona sera a tutti i frequentatori del forum.
Utilizzando un 1841 con due WIC ADSL vorrei raggiungere l'obiettivo di "ridondare" il collegamento verso la rete internet della sede principale e il tunnel VPN IPsec verso la sede periferica.
Cosa ne pensate? Può andare?
Grazie

ip sla monitor 1
type echo protocol ipIcmpEcho 74.125.39.147 source-interface FastEthernet0/0
timeout 1000
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
!
!
track 123 rtr 1 reachability
!
!
crypto isakmp policy 4
encr 3des
authentication pre-share
group 2
lifetime 18000
crypto isakmp key AAAAAA address 80.1.1.1 no-xauth
!
!
crypto ipsec transform-set pippo esp-3des esp-md5-hmac
!
crypto map VPN local-address Loopback1
crypto map VPN 10 ipsec-isakmp
set peer 80.1.1.1
set security-association idle-time 1800
set transform-set pippo
match address 101
!
interface Loopback1
ip address 88.11.11.11 255.255.255.248
!
interface Loopback2
ip address 88.12.12.12 255.255.255.248
!
interface FastEthernet0/0
ip address 10.120.20.68 255.255.255.224
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.35 point-to-point
ip address 81.81.81.81 255.255.255.0
ip mtu 1500
ip inspect firewall out
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map VPN
pvc 8/35
protocol ip 81.81.81.254 broadcast
!
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.35 point-to-point
ip address 82.82.82.82 255.255.255.252
ip mtu 1500
ip inspect firewall out
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map VPN
pvc 8/35
protocol ip 82.82.82.81 broadcast
!
!
ip local policy route-map BackupADSL
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.35 track 123
ip route 0.0.0.0 0.0.0.0 ATM0/1/0.35 254
!
ip nat inside source list 120 interface Loopback1 overload
!
access-list 101 permit ip 10.120.20.64 0.0.0.31 192.168.43.96 0.0.0.15
access-list 120 deny ip 10.120.20.64 0.0.0.31 192.168.43.96 0.0.0.15
access-list 120 permit ip 10.120.20.64 0.0.0.31 any
access-list 199 permit icmp any host 74.125.39.147 echo

route-map BackupADSL permit 10
match ip address 199
set interface ATM0/1/0 Null0
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Direi che questo lo metto come importante...

Hai già provato?

Quando si attiva la seconda linea però, ti presenti dal altro lato della vpn con un altro ip?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
davjava
n00b
Messaggi: 18
Iscritto il: sab 19 apr , 2008 6:11 pm

Wizard ha scritto:Direi che questo lo metto come importante...

Hai già provato?

Quando si attiva la seconda linea però, ti presenti dal altro lato della vpn con un altro ip?!
Anzitutto mille grazie per l'attenzione.
Il tuo dubbio/osservazione è esattamente uguale alla mia...in tarda serata proverò a "mettere in pista il tutto" e vi aggiornerò.
Ciao
davjava
n00b
Messaggi: 18
Iscritto il: sab 19 apr , 2008 6:11 pm

Wizard ha scritto:Direi che questo lo metto come importante...

Hai già provato?

Quando si attiva la seconda linea però, ti presenti dal altro lato della vpn con un altro ip?!
Funziona che è una meraviglia :D ...unico errore che avevo commesso:

ip sla monitor 1
type echo protocol ipIcmpEcho 74.125.39.147 source-interface FastEthernet0/0

altrimenti il "monitor" era sempre ko :lol:
No problem per quanto riguarda l'indirizzo con il quale mi presento, usando sempre lo stesso loopback.

Se può interessare posto anche la conf del router sull'altro lato del tunnel VPN.
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Ottimo! :D Molto interessante...

Se puoi metti anche la configurazione del'altro router, grazie. Così il quadro è completo!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Perfetto bravo!
Ho modificato il primo post con la confg aggiornata!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
davjava
n00b
Messaggi: 18
Iscritto il: sab 19 apr , 2008 6:11 pm

Ciao a tutti. Grazie per l'interesse mostrato verso il mio "problema".
Come promesso posto la configurazione dell'altro lato, implementata su un Cisco 857k9 collegato ad una ADSL PPPoA.
Per qualsiasi cosa contattatemi pure. Ciao


crypto isakmp policy 4
authentication pre-share
encryption 3des
group 2
lifetime 18000

crypto isakmp key AAAAAA address 88.53.255.9
crypto isakmp key AAAAAA address 88.33.181.9

crypto isakmp keepalive 60 3

crypto ipsec transform-set pippo esp-3des esp-md5-hmac

crypto map VPN 10 ipsec-isakmp
set peer 88.33.181.9
set peer 88.53.255.9

set transform-set pippo
match address 101
set security-association idle-time 1800

interface FastEthernet0
no shutdown

interface FastEthernet1
no shutdown

interface FastEthernet2
no shutdown

interface FastEthernet3
no shutdown

interface vlan1
no shutdown
ip address 192.168.43.97 255.255.255.240
ip nat inside
no cdp enable

interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip mroute-cache
no shutdown
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1

dsl operating-mode auto
hold-queue 224 in

interface Dialer1
ip mtu 1492
ip address negotiated
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect firewall out
encapsulation ppp
dialer pool 1
ppp chap hostname paperinio
ppp chap password topolino
ppp pap sent-username paperino password topolino
crypto map VPN
exit

crypto map VPN local-address Dialer1

ip nat translation timeout 180
ip nat translation tcp-timeout 180
ip nat translation udp-timeout 180
ip nat inside source list 120 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
ip pim bidir-enable


access-list 101 permit ip 192.168.43.96 0.0.0.15 10.120.20.64 0.0.0.31
access-list 101 permit ip 192.168.43.96 0.0.0.15 10.0.0.0 0.255.255.255
access-list 101 permit ip 192.168.43.96 0.0.0.15 192.168.0.0 0.0.255.255
access-list 101 permit ip 192.168.43.96 0.0.0.15 172.31.0.0 0.0.255.255

access-list 120 deny ip 192.168.43.96 0.0.0.15 10.120.20.64 0.0.0.31
access-list 120 deny ip 192.168.43.96 0.0.0.15 10.0.0.0 0.255.255.255
access-list 120 deny ip 192.168.43.96 0.0.0.15 192.168.0.0 0.0.255.255
access-list 120 deny ip 192.168.43.96 0.0.0.15 172.31.0.0 0.0.255.255

access-list 120 permit ip 192.168.43.96 0.0.0.15 any
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Ciao , ho trovato utilissimo il tuo post, grazie mille
Ad ora però ho ancora un problema nel caso in cui voglia voglia avere un NAT outside differente. Nel mio caso ho una connessione ethernet ed una ADSL. L'IP Pubblico di uscita deve essere differente... come posso farlo?


interface Loopback0
description IP PUBBLICO ADSL
ip address 1.1.1.1 255.255.255.255
!
interface Loopback1
description IP PUBBLICO FIBRA
ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0/0
description SCHEDA LAN LOCALE
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1
description INTERFACCIA COLLEGATA A FASTWEB
ip address 10.0.0.1 255.255.255.0
ip nat outside
ip virtual-reassembly
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
ip address XX.XX.XX.XX 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.0.0.254 trank 1
ip route 0.0.0.0 0.0.0.0 ATM0/1/0.1 254
!

ip nat pool INTERNET-FIBRA 1.1.1.1 1.1.1.1 netmask 255.255.255.252
ip nat pool INTERNET-ADSL 2.2.2.2 2.2.2.2 netmask 255.255.255.252
ip nat inside source list 100 pool INTERNET-ADSL overload
ip nat inside source list 101 pool INTERNET-FIBRA overload
!
ip sla 1
icmp-echo 74.125.39.147 source-interface FastEthernet0/0
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
access-list 100 remark *** REGOLE PER UTILIZZARE LA ADSL ***
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 remark *** REGOLE PER UTILIZZARE LA FIBRA ***
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 199 permit icmp any host 74.125.39.147 echo
!
ip local policy route-map BackupADSL
route-map BackupADSL permit 10
match ip address 199
set interface ATM0/1/0 Null0

Non funziona
sicuramente sto sbagliando qualcosa
bisogna metterlo il "source-interface FastEthernet0/0" ?

Potete darmi una mano su come poter fare un NAT outside differente?
nel ATM non ho l'ip pubblico con cui deve uscire ma la punto punto, quindi non posso fare l'overload dell'ip presente su quella interfaccia.
Grazie
Ultima modifica di weblaboratory il mar 13 mar , 2012 5:06 pm, modificato 1 volta in totale.
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Va bene mettere i due relativi IP Pubblici su due loopback differenti e mettere un IP NAT OUTSIDE su queste due interfacce?

Ho creato due POOL, uno per la fibra e uno per la ADSL

ip nat pool INTERNET-FIBRA 10.0.0.1 10.0.0.1 netmask 255.255.255.0
ip nat inside source route-map ISP1 pool INTERNET-FIBRA overload
ip nat pool INTERNET-ADSL 1.1.1.1 1.1.1.1 netmask 255.255.255.0
ip nat inside source route-map ISP1 pool INTERNET-ADSL overload

poi ho creato le route-map come mi hai suggerito e le due relative access list naturalmente

route-map ISP1 permit 10
match ip address 101
match interface fastethernet0/0

route-map ISP2 permit 10
match ip address 102
match interface atm0/1/0


il track dovrebbe andare bene quello che avevo trovato in questo post?

ip sla 1
icmp-echo 74.125.39.147 source-interface FastEthernet0/0
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now

Alla fine basta mettere le due rotte? Quella principale con track 1 e la seconda con peso 254?

ip route 0.0.0.0 0.0.0.0 10.0.0.254 trank 1
ip route 0.0.0.0 0.0.0.0 ATM0/1/0.1 254

Purtroppo non ha funzionato :-(
Ora aspetto che il router si riavvi, per poterlo raggiungere nuovamente...

bisogna mettere una "ip local policy" ?
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Ti ringrazio tantissimo per il tuo aiuto

Ci sono quasi , ma non è ancora perfetto

io avevo messo

ip sla monitor 1
type echo protocol ipIcmpEcho 8.8.8.8 source-interface FastEthernet0/1
timeout 1000
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
track 101 rtr 1 reachability

come suggerito in questo posto dove la FE0/1 è la mia LAN.... purtroppo, emulando un DOWN della rotta principale, è salita la seconda rotta correttamente, ma il TRACK è sempre reachable in quando cambiate GW raggiungevo ugualmente l'host

Immagino che la source-interface debba fare riferimento a quella esterna ...
Purtroppo come faccio dirgli testare se l'ho è di nuovo disponibile passando dalla rotta principale con track 101?

In questo momento rimane attiva la seconda rotta, invece di tornare UP la rotta principale con il Track
Devo aggiungere qualcosa?

Grazie ancora! Ti devo sicuramente una birra :-)
Avatar utente
anubisg1
Cisco pathologically enlightened user
Messaggi: 218
Iscritto il: lun 18 ott , 2010 11:05 am
Località: Brno

se non sbaglio devi usare il "delay"...

questa è la mia config, con 2 adsl

Codice: Seleziona tutto

!
track 100 interface ATM0/0/0 line-protocol
 delay down 10 up 20
!
ip route 0.0.0.0 0.0.0.0 Dialer0 10 track 100
ip route 0.0.0.0 0.0.0.0 Dialer1 254
!
ip nat inside source route-map PRI-WAN interface Dialer0 overload
ip nat inside source route-map SEC-WAN interface Dialer1 overload
!
ip access-list extended WAN-1
 permit ip 192.168.10.0 0.0.0.255 any
ip access-list extended WAN-2
 permit ip 192.168.10.0 0.0.0.255 any
!
route-map SEC-WAN permit 1
 match ip address WAN-2
 match interface Dialer1
!
route-map PRI-WAN permit 1
 match ip address WAN-1
 match interface Dialer0
!

ovviamente solo le parti che ci interessano.. non include la config di atm e dialer che non serve a nulla
Cisco CCIE #46985 Immagine
CCNP R&S, CCNA Wireless and Security
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Grazie a tutti ragazzi, mi siete stati UTILISSIMI!

Vi chiedo ancora una cosa

Se avessi 2 router, in due sedi differenti, con 2 connettività ognuno, come posso fare un TUNNEL ridondato?

Se cadesse un provider su uno dei due router, anche il secondo dovrebbe dirottare la rotta sul secondo router...
Sempre con il Track e l'IP SLA o con qualcos'altro?

ciao e grazie
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

Purtroppo ho ancora qualche problemino nel far tornare UP la prima rotta....
Non capisco come mai

Anche senza connessioni di NAT appese, rimane attiva la rotta di backup
Se faccio un

Codice: Seleziona tutto

clear ip nat translation *
allora ecc che il track torna a essere UP
:-|

però subito dopo, torna a essere DOWN e così in loop...

Codice: Seleziona tutto

#clear ip nat translation *
FW4#
02:29:35: Track: 100 Up change delayed for 10 secs
02:29:45: Track: 100 Up change delay expired
02:29:45: Track: 100 Change #19 rtr 100, reachability Down->Up
02:29:55: Track: 100 Change #20 rtr 100, reachability Up->Down
02:30:05: Track: 100 Up change delayed for 10 secs
02:30:15: Track: 100 Up change delay expired
02:30:15: Track: 100 Change #21 rtr 100, reachability Down->Up
Ho notato che se invece mettiamo il suo NEXT-HOP allora funziona
e non fa UP & Down...

come mai?

Perchè devo fare un FLUSH dei nat e perchè non posso mettere un IP che sta oltre il mio next-hop? Il problema potrebbe non essere nel router subito successivo ma potrebbe essere 3 o 4 hop successivi...

Ecco qui esempio...

Codice: Seleziona tutto

FW4#
FW4#
Mar 20 12:51:23: %SYS-5-CONFIG_I: Configured from console by **** on vty0 (192.168.10.221)
Mar 20 12:51:24: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
Mar 20 12:51:25: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
FW4#
FW4#cle
FW4#clear ip nat tr
FW4#clear ip nat translation *
02:34:25: Track: 100 Up change delayed for 10 s      
FW4#
02:34:35: Track: 100 Up change delay expired
02:34:35: Track: 100 Change #27 rtr 100, reachability Down->Upsh ip rou
FW4#sh ip route 
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.30.254 to network 0.0.0.0

C    192.168.30.0/24 is directly connected, FastEthernet0/0
C    192.168.10.0/24 is directly connected, FastEthernet0/1
     88.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       88.59.51.248/29 is directly connected, Loopback0
C       88.61.128.0/24 is directly connected, ATM0/0/0.1
     91.0.0.0/32 is subnetted, 1 subnets
S       91.121.5.190 [1/0] via 192.168.30.254
S    192.168.100.0/24 [1/0] via 192.168.10.254
S*   0.0.0.0/0 [10/0] via 192.168.30.254

Questa è la mia configurazione attuale

Codice: Seleziona tutto

clock timezone Rome 1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip cef

ip sla monitor 100
 type echo protocol ipIcmpEcho 192.168.30.254 source-interface FastEthernet0/0
 timeout 300
 threshold 3
 frequency 10
ip sla monitor schedule 100 life forever start-time now
!
!
track 100 rtr 100 reachability
 delay up 10

!
interface Loopback0
 description IP PUBBLICO ADSL
 ip address 1.1.1.1 255.255.255.248
!
interface FastEthernet0/0
 description FASTWEB LAN
 ip address 192.168.30.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 descriptio LAN LOCALE
 ip address 192.168.10.253 255.255.255.0
 ip nbar protocol-discovery
 ip nat inside
 duplex auto
 speed auto
!
interface ATM0/0/0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0/0/0.1 point-to-point
 ip address 2.2.2.2 255.255.255.0
 ip nat outside
 no snmp trap link-status
 pvc 8/35 
  encapsulation aal5snap
 !
!
ip route 0.0.0.0 0.0.0.0 192.168.30.254 10 track 100
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.1 254
!
no ip http server
no ip http secure-server
ip nat translation timeout 600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 10
ip nat translation max-entries 8192
ip nat pool INTERNET-FASTWEB 192.168.30.1 192.168.30.1 netmask 255.255.255.0
ip nat pool INTERNET-ADSL 1.1.1.1 1.1.1.1 netmask 255.255.255.248
ip nat inside source route-map ISP1 pool INTERNET-FASTWEB overload
ip nat inside source route-map ISP2 pool INTERNET-ADSL overload
!
access-list 100 remark ********* NAVIGAZIONE **********
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 100 permit ip host 192.168.30.1 any
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 permit ip host 192.168.30.1 any
!
route-map ISP2 permit 10
 match ip address 101
 match interface ATM0/0/0.1
!
route-map ISP1 permit 10
 match ip address 100
 match interface FastEthernet0/0
!
!
Grazie ancora per l'aiuto
Avatar utente
anubisg1
Cisco pathologically enlightened user
Messaggi: 218
Iscritto il: lun 18 ott , 2010 11:05 am
Località: Brno

domanda "stupida"...

ma non basta fare come il BGP ? si crea un loopback e si imposta il tunnel per puntare a quella?
Cisco CCIE #46985 Immagine
CCNP R&S, CCNA Wireless and Security
weblaboratory
Cisco fan
Messaggi: 71
Iscritto il: gio 17 dic , 2009 5:27 pm

purtroppo da quello che so e ho testato, non è possibile vedere se un tunnel è up o down, quindi bisogna monitorare il next-hop per sapere se funziona o no e da li cambiare la rotta

Qualcuno sa perchè devo fare il clear nat per far variare il track?
Rispondi