CiscoForums.it

Inviato: **mar 10 mar , 2009 5:15 pm**

Debbo mettere su una VPN tra un PIX ed un 877 IOs advance ip.Il problema è che il PIX ha già un botto di VPN ed ha anche abilitato un Server VPN Client .Il problema è che nessuno ci sa/vuole mettere le mani sul PIX...mi hano detto "vabè,ti diamo la password e lo configuri tu".....seee aspetta che mo vengo......
Ho pensato di risolvere sfruttando la possibilità di IOS di fare da client VPN....male che va dovrò aggiungere sul PIX una regola per lo split tunnel...
Per testare stà cosa che non ho mai provato sto sfruttando un 1812 che ha configurato un Server VPN Client ed il mio 877 di casa...solo che non và...so che dovrò fare qualche operazone di nat ma il problema è proprio che non parte la negoziazione cioè dal mio 877 ottengo:

Codice: Seleziona tutto

ilmondoemio#show cry ipsec client ezvpn
Easy VPN Remote Phase: 8

Tunnel name : TEST
Inside interface list:
Outside interface: Dialer0 
Current State: IDLE
Last Event: CRYPTO_SS_UNUSED
Save Password: Allowed
Current EzVPN Peer: YY.YY.YY.YY

mentre dal 1841:

Codice: Seleziona tutto

team-centro#sh cry isakmp peer
Peer: XX.XX.XX.XX Port: 500 Local: YY.YY.YY.YY
 Phase1 id: XX.XX.XX.XX
Peer: CC.CC.CC.CC Port: 9851 Local: YY.YY.YY.YY
 Phase1 id: VPNCLIENT
Peer: HH.HH.HH.HH Port: 500 Local: YY.YY.YY.YY
 Phase1 id: HH.HH.HH.HH
Peer: TT.TT.TT.TT Port: 500 Local: YY.YY.YY.YY
 Phase1 id: TT.TT.TT.TT
Peer: QQ.QQ.QQ.QQ Port: 500 Local: YY.YY.YY.YY
 Phase1 id: QQ.QQ.QQ.QQ

Quel "Phase1 id: VPNCLIENT" è di un client che non centra nulla che in quel momento era connesso.Da tutto ciò deduco chiaramente che il tunnel non viene neppure lanciato.Ho conferma di ciò dal fatto di aver messo in debug sull'877 debug crypto ipsec client ezvpn e non ricevo nessun messaggio.
Ho provato anche la connessione manuale cry ipsec client ezvpn connect ma sempre nulla,neanche il debug riporta qualcosa.
Se qualche anima pia.....

Configurazione del Server VPN Client

Codice: Seleziona tutto

aaa group server radius IAS
 server 192.168.0.2 auth-port 1812 acct-port 1813
!
aaa authentication login default group IAS local
aaa authentication login userauthen group IAS local
aaa authorization network VPNCLIENT local
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNCLIENT
 key **********
 pool remote-pool
 acl 199
 max-users 5
 max-logins 3
 banner ^C
 ..............................
       ^C
!
crypto ipsec transform-set VPN-CLI esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
 set transform-set VPN-CLI
!
!
crypto map VPN local-address Loopback0
crypto map VPN client authentication list userauthen
crypto map VPN isakmp authorization list VPNCLIENT
crypto map VPN client configuration address respond
crypto map VPN 65535 ipsec-isakmp dynamic remote-dyn
!
interface Loopback0
 ip address XX.XX.XX.XX 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip virtual-reassembly
 no ip mroute-cache
 no snmp trap link-status
!
interface ATM0.1 point-to-point
 ip address YY.YY.YY.YY 255.255.255.252
 ip access-group 131 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35
  encapsulation aal5snap
 !
 crypto map VPN
!
interface FastEthernet0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1350
 no ip mroute-cache
 duplex auto
 speed auto
!
ip local pool remote-pool 192.168.30.240 192.168.30.254
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map NAT0-RM interface Loopback0 overload
!
access-list 100 remark ****ACL NAT0-RM****
access-list 100 remark --vpn client--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 199 permit ip 192.168.30.0 0.0.0.255 any
!
route-map NAT0-RM permit 1
 match ip address 100

Configurazione del router client

Codice: Seleziona tutto

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto ipsec client ezvpn TEST
 connect auto
 group VPNCLIENT key *********
 local-address Vlan1
 mode client
 peer XX.XX.XX.XX
 username ********* password **********
 xauth userid mode local
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 ip tcp adjust-mss 1350
 no ip mroute-cache
 hold-queue 100 out
!
interface Dialer0
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp chap hostname **********
 ppp chap password **********
 ppp pap sent-username ********** password ************
 crypto ipsec client ezvpn TEST
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.255.0 Dialer0
!
ip nat inside source route-map NAT0 interface Dialer0 overload
!
access-list 100 remark #############################################
access-list 100 remark **NAT 0**
access-list 100 remark --vpn client--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

Inviato: **mar 10 mar , 2009 6:24 pm**

crypto ipsec client ezvpn ez inside

va sull'interfaccia che natta inside ...su alcune guide cisco non è riportato come comando.
Ora,superato il primo scalino,me ne aspettano molti altri....
Primo:l'autenticazione ...se il Server VPN non supporta la memorizzazione della password....bisogna inserirla a mano...come prova ho dato xauth userid mode interactive sotto crypto ipsec client ezvpn TEST
e poi da console si va così:

Codice: Seleziona tutto

ilmondoemio#crypto ipsec client ezvpn xauth TEST 
Username: *********
Password: **********

e magicamnete una fantomatica interfaccia loopbak 1000 andrà su

Codice: Seleziona tutto

ilmondoemio#sh int loo 10000    
Loopback10000 is up, line protocol is up 
  Hardware is Loopback
  Description: *** Internally created by EzVPN ***
  Internet address is 192.168.30.252/32
  MTU 1514 bytes, BW 8000000 Kbit/sec, DLY 5000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation LOOPBACK, loopback not set
  Last input 00:03:48, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     2 packets output, 56 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out

e ci potremo connettere alla rete inside del VPN Server avendo cmq a disposizione la nostra rete locale...tutto molto bello ma:
secondo scalino: tutte le altre "rotte" verranno tagliate,infatti sull'877 c'è anche una VPN L2L che non è più raggiungibile....
Soluzioni
1) riuscire a far andare il xauth userid mode http-intercept che dovrebbe intercettare le richieste http dela rete interna e far apparire un form dove inserire nome utente e password(figata mostruosa!!!) risolvendo la conf del Server che vieta il salvataggio password.
2)Un pò di networking creativo e,lavorando sulle rotte,nat e quant'altro evitare di scrivere una regola di split tunnel sul VPN Server.

Il secondo punto è un argometo che meriterebbe un post a parte...il famoso split tunnel è un'implementazione Cisco,ovvero se io mi collego con tecnologia Cisco(Client VPN sofware) le rotte vengono impostate da Cisco ed io poco ci posso fare..se però uso altri client tipo VPNC ( http://www.vpnc.org/ ) me ne sbatto di split tunnel e rotte "obbligate" e le imposto come voglio....
Ora,lavorando su un apparato Cisco ho il forte dubbio che non riuscirò a scavalcare il suo split tunnel...

Ogni aiuto,spunto,trik&trak è ben accetto.

Inviato: **mer 11 mar , 2009 1:43 am**

Fatta configurazione per prompt su browser con form per nomeutente e password....c'è solo un piccolo problema: su 3 IOS,s'impallano tutte!!!!! e che cazzoo!

metto la conf cmq

Codice: Seleziona tutto

crypto ipsec client ezvpn TEST
 connect auto
 group ****** key ******
 mode client
 peer XX.XX.XX.XX
 xauth userid mode http-intercept
!
no ip http secure-server
ip http server

il no ip http secure-server l'ho dovuto mettere altrimenti mi viene visualizzato il prompt SSH da browser per accedere il router...come se richiamasse SDM.....certo che è bello buggato sto Easy VPN Client su IOs.....

Inviato: **mer 11 mar , 2009 3:31 am**

L'http-intercept sembra proprio che non venga digerito....spero di trovare una IOS che non faccia riavviare il router usando questa funzione....
Brutta storia quella dello split tunnel...infatti una volta stabilito il collegamento(a mano)ottengo

Codice: Seleziona tutto

ilmondoemio#sh ip route                                                                                                   
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP                                                            
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area                                                     
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2                                                     
       E1 - OSPF external type 1, E2 - OSPF external type 2                                                               
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2                                              
       ia - IS-IS inter area, * - candidate default, U - per-user static route                                            
       o - ODR, P - periodic downloaded static route                                                                      
                                                                                                                          
Gateway of last resort is 0.0.0.0 to network 0.0.0.0                                                                      
                                                                                                                          
     192.168.30.0/32 is subnetted, 1 subnets                                                                              
C       192.168.30.242 is directly connected, Loopback10000                                                               
     80.0.0.0/32 is subnetted, 1 subnets                                                                                  
C       XX.XX.XX.XX is directly connected, Dialer0                                                                     
C    192.168.1.0/24 is directly connected, Vlan1                                                                          
     192.168.100.0/32 is subnetted, 1 subnets                                                                             
C       192.168.100.1 is directly connected, Dialer0                                                                      
S*   0.0.0.0/0 is directly connected, Dialer0

da cui deduco ciò che ipotizzavo,ovvero che il client VPN mette su una rotta

Codice: Seleziona tutto

192.168.30.0/32 is subnetted, 1 subnets                                                                              
C       192.168.30.242 is directly connected,

ma non riesco a capire come faccia anche a "negare" le altre rotte presenti nella tabella....
Altra cosa

Codice: Seleziona tutto

ilmondoemio#sh cry isakm sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
XX.XX.XX.XX     YY.YY.YY.YY  QM_IDLE           2003    0 ACTIVE

dove XX è l'Ip del peer ezvpn(Server VPN Client)e YY e l'Ip del mio router...ma ci dovrebbe essere un'altra associazione ISAKMP che è quella della VPN L2L che stava già su sto router..in pratica il client VPN (ezvpn)oltre a smadruppare le rotte butta giù pure le VPN esistenti...altro scalino...ufff

che bel monologo.... ma almeno prendo appunti....

Inviato: **ven 13 mar , 2009 12:14 pm**

Bravo zot!

Inviato: **gio 19 mar , 2009 12:31 am**

Sto seriamente pensando di abbandonare l'idea di usare ezvpn...sembra che sia proprio bacato almeno su gli 877 con IOS
c870-advipservicesk9-mz.124-15.T7.bin
c870-advipservicesk9-mz.124-20.T1.bin
c870-advipservicesk9-mz.124-22.T.bin
c870-advipservicesk9-mz.124-24.T.bin
c870-advsecurityk9-mz.124-4.T7.bin
c870-advsecurityk9-mz.124-15.T5.bin
c870-advsecurityk9-mz.124-20.T.bin
c870-advsecurityk9-mz.124-22.T.bin

Provato su due 877 diversi.Quello che è bacato è il modulo per l'autenticazione xauth userid mode.... se è in htt-intercept fa riavviare il router,se è in local dopo un paio di sessioni perde la password.Altra cosa è l'interfaccia loopback1000 che viene creata all'instaurarsi del tunnel EZVPN che va giù senza un motivo apparente(dopo 50 secondi...ma potrei anche non sapere qualcosa io).......morale....ci ho speso un paio di nottate e non ci farò su la terza...
Non mi resta che smandruppare il PIX per fare una L2L con il mio 877....a sapere come si fa.....

Inviato: **gio 19 mar , 2009 1:27 am**

DEVO ANDARE A DORMIREEEEEEE!!!!!!!!!!!!!!!!!!!!!
ditemi perchèèèè se la mucca fa muuuu il merlo non fa meeeee????....aehm ditemi perche la loopback va giù......

Codice: Seleziona tutto

*Mar 19 00:10:13.396: EZVPN(XXXXXX): Pending XAuth Request, Please enter the following command:
*Mar 19 00:10:13.396: EZVPN: crypto ipsec client ezvpn xauth
router#crypto ipsec client ezvpn xauth
Username: ********
Password: ********
*Mar 19 00:10:29.635: %LINK-3-UPDOWN: Interface Loopback10000, changed state to up
*Mar 19 00:10:30.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to up
*Mar 19 00:11:18.249: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)  User=  Group=********  Client_public_addr=XX.XX.XX.XX  Server_public_addr=XX.XX.XX.XX 
*Mar 19 00:11:19.649: %LINK-5-CHANGED: Interface Loopback10000, changed state to administratively down
*Mar 19 00:11:20.649: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to down
*Mar 19 00:11:21.109: EZVPN(TERCOM): Pending XAuth Request, Please enter the following command:
*Mar 19 00:11:21.109: EZVPN: crypto ipsec client ezvpn xauth

Inviato: **gio 19 mar , 2009 1:47 am**

zot ha scritto:....ci ho speso un paio di nottate e non ci farò su la terza...
.....

see come no......

Inviato: **sab 21 mar , 2009 4:39 pm**

Zot scusa ma l'obiettivo è far connettere qualcuno con il cisco vpn client o vuoi fare una vpn l2l e dal altro lato nn hai ip statico?

Inviato: **sab 21 mar , 2009 5:14 pm**

La situazione di produzione e' un PIX 6.3(4) con IP fisso con Server VPN.
A questo PIX ci si devono collegare degli utenti che stanno dietro un 877 che ha già ha una L2Lcon un'altra sede.Il problema è che se gli utenti si collegano tramite il client software Cisco,non riescono a raggiungere più nulla se non gli host ce stanno dietro al PIX.
Volevo sorpassare il problema dello slit-tunnel non abilitato sul PIX (che alla fine è quello che obbliga il PC collegato a "vedere" solo la rete dietro al PIX) tramite qualche alchimia del modulo crypto ipsec client ezvpn e mi ci sono messo a giocare un pò.....nel frattempo ero stufo di perdere tempo al telefono,sono andato dove c'è il PIX,mi sono fatto dare la passowrd ed ho configurato un gruppo con attivo lo split-tunnel.Ora i client si possono collegare al PIX tramite software e comq vedere le altre reti...in pratica quello che mi è stato richiesto è stato fatto.
Solo che c'è un problema : sono più cocciuto di un trattore fiat 120c e,avendo scoperto questa funzionalità,vorrei imparare a padroneggiarla per bene...solo che dalle prove che sto facendo incontro numerosi problemi,tra router che si riavviano comportamneti che si modificano senza nessuna apparente ragione.....

Inviato: **lun 23 mar , 2009 9:52 pm**

sono andato dove c'è il PIX,mi sono fatto dare la passowrd ed ho configurato un gruppo con attivo lo split-tunnel

Ottima scelta!

Inviato: **mar 24 mar , 2009 2:57 pm**

zot ha scritto:DEVO ANDARE A DORMIREEEEEEE!!!!!!!!!!!!!!!!!!!!!
ditemi perchèèèè se la mucca fa muuuu il merlo non fa meeeee????....aehm ditemi perche la loopback va giù......

Codice: Seleziona tutto

*Mar 19 00:10:13.396: EZVPN(XXXXXX): Pending XAuth Request, Please enter the following command:
*Mar 19 00:10:13.396: EZVPN: crypto ipsec client ezvpn xauth
router#crypto ipsec client ezvpn xauth
Username: ********
Password: ********
*Mar 19 00:10:29.635: %LINK-3-UPDOWN: Interface Loopback10000, changed state to up
*Mar 19 00:10:30.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to up
*Mar 19 00:11:18.249: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)  User=  Group=********  Client_public_addr=XX.XX.XX.XX  Server_public_addr=XX.XX.XX.XX 
*Mar 19 00:11:19.649: %LINK-5-CHANGED: Interface Loopback10000, changed state to administratively down
*Mar 19 00:11:20.649: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to down
*Mar 19 00:11:21.109: EZVPN(TERCOM): Pending XAuth Request, Please enter the following command:
*Mar 19 00:11:21.109: EZVPN: crypto ipsec client ezvpn xauth

Cretino prchè il pix non ha 3des ma solo des quindi devi fare una crypto map con des...o no???
E la notte dormi che ce ne hi bisogno....

Inviato: **gio 26 mar , 2009 3:37 pm**

Cretino prchè il pix non ha 3des ma solo des quindi devi fare una crypto map con des...o no???

Supporta anche il 3des, la licenza è gratuita

Inviato: **ven 27 mar , 2009 9:08 pm**

Si ma a questo non gliela hanno messa....

Inviato: **sab 24 ott , 2009 9:38 am**

Domandone
se io mi trovassi un 877 come sede 1 con ip statico
e come sede2 un 831 da fastweb, siccome da fastweb esce sempre con ip dinamico, non posso fare la lan2 lan classica se ho uno dei due ip dinamici vero?

dovrei usare la ezvpn anche io?

CiscoForums.it

VPN Client tramite IOS.....si può ma come!!??

VPN Client tramite IOS.....si può ma come!!??