Script DMVPN client in NAT e SPOKE con IP dinamico

Virtual private networks e affini

Moderators: Federico.Lagni, Wizard, tonycimo, MaiO, CiscoBoy

Script DMVPN client in NAT e SPOKE con IP dinamico

Postby zot » Wed 08 Apr , 2009 4:39 pm

Ci sono praticamente tutte le configurazioni ...tranne una DMVPN...eccola qui.

Router HUB
Code: Select all
!
hostname HUB
!

!
multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key "KEY" address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set DMVPN esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile VIG-DMVPN
 set security-association lifetime seconds 120
 set transform-set DMVPN
!
!
interface Tunnel0
 ip address 192.168.50.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip next-hop-self eigrp 90
 ip nhrp authentication "KEY"
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 no ip split-horizon eigrp 90
 delay 1000
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 0
 tunnel protection ipsec profile VIG-DMVPN
!
!
!
interface ATM0.1 point-to-point
 ip address 89.37.11.51 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
!
!
interface Loopback0
 description INTERFACCIA WEB
 ip address 85.11.11.10 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 no snmp trap link-status
!
interface Loopback1
 description INTERFACCIA DMVPN HUB
 ip address 85.11.11.11 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 no snmp trap link-status
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 hold-queue 100 out
!
router eigrp 90
 network 192.168.1.0
 network 192.168.50.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip nat inside source route-map NAT0-RM interface Loopback0 overload
!
access-list 100 remark --DMVPN SPOKE-01--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 remark --DMVPN sPOKE-02--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

!
route-map NAT0-RM permit 1
 match ip address 100
!
!

end


ROUTER SPOKE
Code: Select all
!
hostname SPOKE-01
!

multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key "KEY" address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set DMVPN esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile VIG-DMVPN
 set security-association lifetime seconds 120
 set transform-set DMVPN
!
!
interface Tunnel0
 ip address 192.168.50.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication "KEY"
 ip nhrp map 192.168.50.1 85.11.11.11
 ip nhrp map multicast 85.11.11.11
 ip nhrp network-id 1
 ip nhrp holdtime 360
 ip nhrp nhs 192.168.50.1
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source Dialer0
 tunnel mode gre multipoint
 tunnel key 0
 tunnel protection ipsec profile VIG-DMVPN
!
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp chap hostname xxxxx
 ppp chap password xxxxx
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1350
 hold-queue 100 out
!

!
router eigrp 90
 network 192.168.2.0
 network 192.168.50.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip nat inside source route-map NAT0-RM interface Dialer0 overload
!
access-list 100 remark --DMVPN HUB--
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 remark --DMVPN SPOKE-02--
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.2.0 0.0.0.255 any

!
route-map NAT0-RM permit 1
 match ip address 100
!
!
end
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
User avatar
zot
Messianic Network master
 
Posts: 1274
Joined: Wed 17 Nov , 2004 1:13 am
Location: Teramo

Postby Wizard » Wed 08 Apr , 2009 9:35 pm

Bella zot!
Metto il topic come importante!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby infinity » Tue 10 Nov , 2009 4:37 pm

Ciao a tutti...

La DMVPN...il mio cruccio e la mia delizia...

Zot...una domanda...

Si riesce ad applicare due tipi di protezione ad un tunnel ??

ad esempio questo tunnel è protetto da un 3DES...si potrebbe negoziare anche con un AES ?

Io intendo potrebbe accettare entrambi i protocolli ?
infinity
Cisco fan
 
Posts: 38
Joined: Thu 28 Aug , 2008 3:30 pm

Postby maggiore81 » Tue 19 Jan , 2010 10:02 am

Buondì
questa conf potrebbe essere utilizzata per fare una VPN tra un punto statico e uno dinamico (dietro fastweb) ?

Io avrei un router zyxel in fasweb che può fare una vpn ipsec e gradirei terminarla nel C877 che ho in sede centrale.

Potrei riciclare la config?
Mr. Spadoni
Network Administrator
Spadhausen Internet Provider
admin@NONCISONOspadhausen.com
User avatar
maggiore81
Cisco pathologically enlightened user
 
Posts: 214
Joined: Thu 15 Feb , 2007 8:34 pm
Location: Ravenna - ITALY -

Postby zot » Wed 20 Jan , 2010 2:36 am

infinity wrote:............
Si riesce ad applicare due tipi di protezione ad un tunnel ??

ad esempio questo tunnel è protetto da un 3DES...si potrebbe negoziare anche con un AES ?

Io intendo potrebbe accettare entrambi i protocolli ?

a memotia su un crypto ipsec profile si puo' applicare un solo transform set quindi no!...ripeto,a memoria...


maggiore81 wrote:Buondì
questa conf potrebbe essere utilizzata per fare una VPN tra un punto statico e uno dinamico (dietro fastweb) ?


Si,se per "punto" intendo IP pubblico,dove lo statico e' il router HUB
maggiore81 wrote:Io avrei un router zyxel in fasweb che può fare una vpn ipsec e gradirei terminarla nel C877 che ho in sede centrale.

Potrei riciclare la config?

Non penso che zyxel supporti questo tipo di configurazione,se la connessione di FW e' una "normale" ADSL potresti fare altre cose...ma andiamo off topic
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
User avatar
zot
Messianic Network master
 
Posts: 1274
Joined: Wed 17 Nov , 2004 1:13 am
Location: Teramo

Postby maggiore81 » Wed 20 Jan , 2010 10:24 am

ciao!

Io su fastweb ho un contratto business e un canchero di HAG con 3 eth.

in una delle eth ho collegato uno zyxel zywall2 con l'ultimo firmware e in teoria potrei fare una vpn IPSEC.
Volendo potrei sostituire lo zywall2 con un 3Com Secure Router o un Ciscio 831.

Preferivo mantenere lo zyxel o il 3com altrimenti non so dove metterli :)

Una volta ho collegato con successo lo zyxel al C877 in ipsec impostando l'ip con cui usciva lo zyxel da fastweb in quel momento, solo che io non ho mai e dico mai fatto funzionare una vpn ipsec (a funziona verso B ma non viceversa, e ho postato qui le conf senza mai risolvere nulla).

Vorrei collegare le due sedi dove nella sede A con ip pubblico statico (ho una /29) ho un C877 e da fw ho ip dinamico
Mr. Spadoni
Network Administrator
Spadhausen Internet Provider
admin@NONCISONOspadhausen.com
User avatar
maggiore81
Cisco pathologically enlightened user
 
Posts: 214
Joined: Thu 15 Feb , 2007 8:34 pm
Location: Ravenna - ITALY -

Postby zot » Wed 20 Jan , 2010 2:45 pm

Ritorniamo al solito discorso : se sei dentro la rete privata di Fastweb (HUG) ed esci tramite NAT son casini su casini per una VPN.....dynamicVPN sugli zyxel non so ma dubito che possa funzionare.
Fai prima a cambiare connessione sulle sedi remote..
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
User avatar
zot
Messianic Network master
 
Posts: 1274
Joined: Wed 17 Nov , 2004 1:13 am
Location: Teramo

Postby maggiore81 » Wed 20 Jan , 2010 3:25 pm

Ciao
purtroppo devo partire dal presupposto che cè fastweb e che non si cambia.
Se richiedessi un ip statico avrei risolto 1000 problemi, ma per ora non si fa.

Oggi provo a sostiuire lo zyxel con il C831 e provo, che dici, potrebbe funzionare?
Mr. Spadoni
Network Administrator
Spadhausen Internet Provider
admin@NONCISONOspadhausen.com
User avatar
maggiore81
Cisco pathologically enlightened user
 
Posts: 214
Joined: Thu 15 Feb , 2007 8:34 pm
Location: Ravenna - ITALY -

Re: Script DMVPN client in NAT e SPOKE con IP dinamico

Postby Rhize » Mon 10 Oct , 2011 10:47 am

Chiedo scusa per l'ignoranza, ma sul router Spoke non ci dovrebbe essere anche la riga tunnel destination sotto l'interfaccia Tunnel0 ?
User avatar
Rhize
Cisco power user
 
Posts: 89
Joined: Wed 22 Apr , 2009 8:57 pm

Re: Script DMVPN client in NAT e SPOKE con IP dinamico

Postby zot » Thu 19 Jul , 2012 7:01 pm

Aemm no, perchè ?
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
User avatar
zot
Messianic Network master
 
Posts: 1274
Joined: Wed 17 Nov , 2004 1:13 am
Location: Teramo


Return to VPN

Who is online

Users browsing this forum: Google [Bot] and 2 guests