Pagina 1 di 1

Script DMVPN client in NAT e SPOKE con IP dinamico

Inviato: mer 08 apr , 2009 4:39 pm
da zot
Ci sono praticamente tutte le configurazioni ...tranne una DMVPN...eccola qui.

Router HUB

Codice: Seleziona tutto

!
hostname HUB
!

!
multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key "KEY" address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set DMVPN esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile VIG-DMVPN
 set security-association lifetime seconds 120
 set transform-set DMVPN
!
!
interface Tunnel0
 ip address 192.168.50.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip next-hop-self eigrp 90
 ip nhrp authentication "KEY"
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 no ip split-horizon eigrp 90
 delay 1000
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 0
 tunnel protection ipsec profile VIG-DMVPN
!
!
!
interface ATM0.1 point-to-point
 ip address 89.37.11.51 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
!
!
interface Loopback0
 description INTERFACCIA WEB
 ip address 85.11.11.10 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 no snmp trap link-status
!
interface Loopback1
 description INTERFACCIA DMVPN HUB
 ip address 85.11.11.11 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 no snmp trap link-status
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 hold-queue 100 out
!
router eigrp 90
 network 192.168.1.0
 network 192.168.50.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip nat inside source route-map NAT0-RM interface Loopback0 overload
!
access-list 100 remark --DMVPN SPOKE-01--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 remark --DMVPN sPOKE-02--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

!
route-map NAT0-RM permit 1
 match ip address 100
!
!

end
ROUTER SPOKE

Codice: Seleziona tutto

!
hostname SPOKE-01
!

multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key "KEY" address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set DMVPN esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile VIG-DMVPN
 set security-association lifetime seconds 120
 set transform-set DMVPN
!
!
interface Tunnel0
 ip address 192.168.50.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication "KEY"
 ip nhrp map 192.168.50.1 85.11.11.11
 ip nhrp map multicast 85.11.11.11
 ip nhrp network-id 1
 ip nhrp holdtime 360
 ip nhrp nhs 192.168.50.1
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source Dialer0
 tunnel mode gre multipoint
 tunnel key 0
 tunnel protection ipsec profile VIG-DMVPN
!
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp chap hostname xxxxx
 ppp chap password xxxxx
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1350
 hold-queue 100 out
!

!
router eigrp 90
 network 192.168.2.0
 network 192.168.50.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip nat inside source route-map NAT0-RM interface Dialer0 overload
!
access-list 100 remark --DMVPN HUB--
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 remark --DMVPN SPOKE-02--
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.2.0 0.0.0.255 any

!
route-map NAT0-RM permit 1
 match ip address 100
!
!
end

Inviato: mer 08 apr , 2009 9:35 pm
da Wizard
Bella zot!
Metto il topic come importante!

Inviato: mar 10 nov , 2009 4:37 pm
da infinity
Ciao a tutti...

La DMVPN...il mio cruccio e la mia delizia...

Zot...una domanda...

Si riesce ad applicare due tipi di protezione ad un tunnel ??

ad esempio questo tunnel è protetto da un 3DES...si potrebbe negoziare anche con un AES ?

Io intendo potrebbe accettare entrambi i protocolli ?

Inviato: mar 19 gen , 2010 10:02 am
da maggiore81
Buondì
questa conf potrebbe essere utilizzata per fare una VPN tra un punto statico e uno dinamico (dietro fastweb) ?

Io avrei un router zyxel in fasweb che può fare una vpn ipsec e gradirei terminarla nel C877 che ho in sede centrale.

Potrei riciclare la config?

Inviato: mer 20 gen , 2010 2:36 am
da zot
infinity ha scritto:............
Si riesce ad applicare due tipi di protezione ad un tunnel ??

ad esempio questo tunnel è protetto da un 3DES...si potrebbe negoziare anche con un AES ?

Io intendo potrebbe accettare entrambi i protocolli ?
a memotia su un crypto ipsec profile si puo' applicare un solo transform set quindi no!...ripeto,a memoria...

maggiore81 ha scritto:Buondì
questa conf potrebbe essere utilizzata per fare una VPN tra un punto statico e uno dinamico (dietro fastweb) ?
Si,se per "punto" intendo IP pubblico,dove lo statico e' il router HUB
maggiore81 ha scritto: Io avrei un router zyxel in fasweb che può fare una vpn ipsec e gradirei terminarla nel C877 che ho in sede centrale.

Potrei riciclare la config?
Non penso che zyxel supporti questo tipo di configurazione,se la connessione di FW e' una "normale" ADSL potresti fare altre cose...ma andiamo off topic

Inviato: mer 20 gen , 2010 10:24 am
da maggiore81
ciao!

Io su fastweb ho un contratto business e un canchero di HAG con 3 eth.

in una delle eth ho collegato uno zyxel zywall2 con l'ultimo firmware e in teoria potrei fare una vpn IPSEC.
Volendo potrei sostituire lo zywall2 con un 3Com Secure Router o un Ciscio 831.

Preferivo mantenere lo zyxel o il 3com altrimenti non so dove metterli :)

Una volta ho collegato con successo lo zyxel al C877 in ipsec impostando l'ip con cui usciva lo zyxel da fastweb in quel momento, solo che io non ho mai e dico mai fatto funzionare una vpn ipsec (a funziona verso B ma non viceversa, e ho postato qui le conf senza mai risolvere nulla).

Vorrei collegare le due sedi dove nella sede A con ip pubblico statico (ho una /29) ho un C877 e da fw ho ip dinamico

Inviato: mer 20 gen , 2010 2:45 pm
da zot
Ritorniamo al solito discorso : se sei dentro la rete privata di Fastweb (HUG) ed esci tramite NAT son casini su casini per una VPN.....dynamicVPN sugli zyxel non so ma dubito che possa funzionare.
Fai prima a cambiare connessione sulle sedi remote..

Inviato: mer 20 gen , 2010 3:25 pm
da maggiore81
Ciao
purtroppo devo partire dal presupposto che cè fastweb e che non si cambia.
Se richiedessi un ip statico avrei risolto 1000 problemi, ma per ora non si fa.

Oggi provo a sostiuire lo zyxel con il C831 e provo, che dici, potrebbe funzionare?

Re: Script DMVPN client in NAT e SPOKE con IP dinamico

Inviato: lun 10 ott , 2011 10:47 am
da Rhize
Chiedo scusa per l'ignoranza, ma sul router Spoke non ci dovrebbe essere anche la riga tunnel destination sotto l'interfaccia Tunnel0 ?

Re: Script DMVPN client in NAT e SPOKE con IP dinamico

Inviato: gio 19 lug , 2012 7:01 pm
da zot
Aemm no, perchè ?