Aiuto VPN Server su C837
Inviato: mer 18 mar , 2009 7:41 pm
Buongiorno a tutti..
Spero qualcuno mi possa dare qualche dritta perchè a spizzichi e bocconi, sono ormai 3 giorni che divento matto per configurare un easy server vpn per accedere da client. (windows o client cisco che sia... meglio se ci riesco con client windows)
Cerco di postare tutte le informazioni a rigurado, poi se potete dare un occhiata...
Ho provato sia con SDM che con la procedura di Wizard.. ma il risultato è lostesso e non capisco dove sbaglio.
Allora la mia rete è 192.168.1.0;
Il router è un 857 con IOS 12.3T;
Ho qualche porta accessibile dall' esterno per servizi vari su di un pc della rete;
Le prove le ho fatte cercando di connettermi da un' altra LAN che ha rete 192.168.0.0, ed è dietro ad un router che non ha porte aperte, ma nemmeno un firewall attivo.
Quando ho tentato la connessione con client windws XP, mi da un messaggio che è necessario un certificato.. alchè ho impostato la parola chiave ( la stessa che ho configurato sotto crypto isakmp client configuration group remote-vpn) sotto impostazioni IPSEC, e quanto tento di connettermi così, praticamente mi va in timeout e mi dà un errore di negoziazione nelle fasi iniziali...(messaggio di windows)
Con il client cisco invece, mi va in timeout e mi dice che la connessione è stata chiusa dal client (cioè io) perchè il server non ha risposto...
Poi mi chiedevo.. ma dove la devo indicare la key nel client cisco, che mi da solo da configurare un certificato?... e se io non voglio utilizzare un certificato?
Se non ho capito male la pre-shared key dovrebbe essere un alternativa al certificato no?
In fine posto la mia config.....
Current configuration : 4603 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
logging exception 100000
logging count
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 $1$eY7K$LgEL1W10.T5VnQVOvIn/e1
!
username **** password 7 094D4C0C0B0C1411025B5C
username **** password 7 020B05550E155879
no aaa new-model
ip subnet-zero
no ip source-route
!
!
!
!
ip name-server 88.149.128.12
ip name-server 88.149.128.22
ip inspect log drop-pkt
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group remote-vpn
key (mia key alfanumerica di 8 caratteri)
domain prova.local
pool remote-pool
acl 158
save-password
split-dns prova.local
max-users 10
max-logins 10
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address Dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
!
!
interface Ethernet0
description $ETH-LAN$
ip address 192.168.1.253 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp pap sent-username ******** password 7 06500C301A175C4004
crypto map remotemap
!
ip local pool remote-pool 192.168.100.0 192.168.100.100
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.100.0 255.255.255.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.254 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.254 5969 interface Dialer0 5969
ip nat inside source static tcp 192.168.1.254 6881 interface Dialer0 6881
ip nat inside source static udp 192.168.1.254 4444 interface Dialer0 4444
ip nat inside source static udp 192.168.1.254 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.254 4711 interface Dialer0 4711
ip nat inside source static tcp 192.168.1.254 4662 interface Dialer0 4662
!
!
logging history notifications
no logging trap
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 remark *** ACL PER PAT ***
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
banner motd ^C
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
^C
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input telnet
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end
Grazie anticipatamente..
Spero qualcuno mi possa dare qualche dritta perchè a spizzichi e bocconi, sono ormai 3 giorni che divento matto per configurare un easy server vpn per accedere da client. (windows o client cisco che sia... meglio se ci riesco con client windows)
Cerco di postare tutte le informazioni a rigurado, poi se potete dare un occhiata...
Ho provato sia con SDM che con la procedura di Wizard.. ma il risultato è lostesso e non capisco dove sbaglio.
Allora la mia rete è 192.168.1.0;
Il router è un 857 con IOS 12.3T;
Ho qualche porta accessibile dall' esterno per servizi vari su di un pc della rete;
Le prove le ho fatte cercando di connettermi da un' altra LAN che ha rete 192.168.0.0, ed è dietro ad un router che non ha porte aperte, ma nemmeno un firewall attivo.
Quando ho tentato la connessione con client windws XP, mi da un messaggio che è necessario un certificato.. alchè ho impostato la parola chiave ( la stessa che ho configurato sotto crypto isakmp client configuration group remote-vpn) sotto impostazioni IPSEC, e quanto tento di connettermi così, praticamente mi va in timeout e mi dà un errore di negoziazione nelle fasi iniziali...(messaggio di windows)
Con il client cisco invece, mi va in timeout e mi dice che la connessione è stata chiusa dal client (cioè io) perchè il server non ha risposto...
Poi mi chiedevo.. ma dove la devo indicare la key nel client cisco, che mi da solo da configurare un certificato?... e se io non voglio utilizzare un certificato?
Se non ho capito male la pre-shared key dovrebbe essere un alternativa al certificato no?
In fine posto la mia config.....
Current configuration : 4603 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
logging exception 100000
logging count
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 $1$eY7K$LgEL1W10.T5VnQVOvIn/e1
!
username **** password 7 094D4C0C0B0C1411025B5C
username **** password 7 020B05550E155879
no aaa new-model
ip subnet-zero
no ip source-route
!
!
!
!
ip name-server 88.149.128.12
ip name-server 88.149.128.22
ip inspect log drop-pkt
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group remote-vpn
key (mia key alfanumerica di 8 caratteri)
domain prova.local
pool remote-pool
acl 158
save-password
split-dns prova.local
max-users 10
max-logins 10
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address Dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
!
!
interface Ethernet0
description $ETH-LAN$
ip address 192.168.1.253 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp pap sent-username ******** password 7 06500C301A175C4004
crypto map remotemap
!
ip local pool remote-pool 192.168.100.0 192.168.100.100
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.100.0 255.255.255.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.254 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.254 5969 interface Dialer0 5969
ip nat inside source static tcp 192.168.1.254 6881 interface Dialer0 6881
ip nat inside source static udp 192.168.1.254 4444 interface Dialer0 4444
ip nat inside source static udp 192.168.1.254 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.254 4711 interface Dialer0 4711
ip nat inside source static tcp 192.168.1.254 4662 interface Dialer0 4662
!
!
logging history notifications
no logging trap
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 remark *** ACL PER PAT ***
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
banner motd ^C
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
^C
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input telnet
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end
Grazie anticipatamente..
