Vpn L2L redirigere traffico WEB da SEDEA a SEDEB

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
smoke
n00b
Messaggi: 9
Iscritto il: gio 30 lug , 2009 9:42 am

Salve a tutti, vi vorrei porgere questo quesito:

Questo e' lo schemino, spero si achiaro ...


SEDEA cisco 1841

LAN 192.168.23.156
WAN 10.85.229.254
GW WAN : 10.85.229.5

ROUTER INTERNET 192.168.23.129 ( e' il gw dei pc )



SEDEB cisco 877

LAN 192.168.1.10
WAN 10.85.203.254
GW WAN: 10.85.203.5


Io devo far navigare i pc della SEDEB 192.168.1.x attraverso il tunnel vpn arrivando nella sede A nattandoli
con l' ip 192.168.23.156 in quanto internet e' sulla "LAN" della SEDE A. il gateway della lan SEDE A per
navigare e' 192.168.23.129

La vpn e' configurata e funziona correttamente, ovviamente ho messo una rotta statica sui pc di SEDEA
visto che hanno come gw il 192.168.23.129 ( route add 192.168.1.0 mask 255.255.255.0 192.168.23.156 )


Come faccio ? Ho cercato per un sacco di tempo su inetrnet, ma non riesco a trovare una soluzione.
Non capisco se devo usare nat, acl, source route ? Indirizzatemi sulla "retta via" .....

Non posso farli navigare dalle "WAN" perche' e' una mpls e fa solo da collegamento fra le due sedi...

Grazie

posto le config:

SEDE A:

Codice: Seleziona tutto

SEDEA CISCO 1841


version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname 1841
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging message-counter syslog
logging buffered 51200
logging console critical


no aaa new-model
dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
!
!
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
crypto isakmp key PWDVPN address 10.85.203.254
!
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
 set peer 10.85.203.254
 set transform-set vpn1
 match address acl_vpn
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.85.229.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map vpn
!
interface FastEthernet0/1
 ip address 192.168.23.156 255.255.255.224
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.85.229.5
!
!
no ip http server
no ip http secure-server
ip nat inside source list acl_nat interface FastEthernet0/1 overload
!
ip access-list extended acl_nat
 deny   ip 192.168.23.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.23.0 0.0.0.255 any
ip access-list extended acl_vpn
 permit ip 192.168.23.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
 logging synchronous
 login local
 transport output none
 stopbits 1
line aux 0
 login local
 transport output none
 stopbits 1
line vty 0 4
 privilege level 15
 logging synchronous
 login local
 transport input telnet ssh
 transport output telnet
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
SEDE B

Codice: Seleziona tutto

SEDEB CISCO 877

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname SEDEB
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging buffered 51200
logging console critical

!
no aaa new-model
!
!
dot11 syslog
no ip source-route
ip cef
!
!
!
no ip bootp server
no ip domain lookup
!
multilink bundle-name authenticated
!
!

!
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
crypto isakmp key PWDVPN address 10.85.229.254
!
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
 set peer 10.85.229.254
 set transform-set vpn1
 match address acl_vpn
!
archive
 log config
  hidekeys
!
!
ip ssh time-out 60
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 ip address 10.85.203.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map vpn
!
interface Vlan1
 ip address 192.168.1.10 255.255.255.224
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.85.203.5

!
!
no ip http server
no ip http secure-server
ip nat inside source list acl_nat interface FastEthernet4 overload
!
ip access-list extended acl_nat
 deny   ip 192.168.1.0 0.0.0.255 192.168.23.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended acl_vpn
 permit ip 192.168.1.0 0.0.0.255 192.168.23.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
line con 0
 logging synchronous
 login local
 no modem enable
 transport output none
 stopbits 1
line aux 0
 login local
 transport output none
 stopbits 1
line vty 0 4
 privilege level 15
 password 7 111D160A05
 logging synchronous
 login local
 transport input telnet ssh
 transport output telnet
!
scheduler max-task-time 5000
end
smoke
n00b
Messaggi: 9
Iscritto il: gio 30 lug , 2009 9:42 am

Ma non mi sono spiegato o e' troppo difficile ?
CiscoBGP
Cisco power user
Messaggi: 90
Iscritto il: ven 26 dic , 2008 3:02 pm
Località: Reggio Emilia

Ciao Smoke

Prova a mettere nella extended acl_nat del 1841 un:
C1841(config)#permit ip 192.168.1.0 0.0.0.255 any

aggiungi sul C877:

C877(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.156

e togli l'altra che fa riferimento all'IP pubblico
smoke
n00b
Messaggi: 9
Iscritto il: gio 30 lug , 2009 9:42 am

CiscoBGP ha scritto:Ciao Smoke

Prova a mettere nella extended acl_nat del 1841 un:
C1841(config)#permit ip 192.168.1.0 0.0.0.255 any

aggiungi sul C877:

C877(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.156

e togli l'altra che fa riferimento all'IP pubblico
Ciao CiscoBGP,

innanzitutto grazie per l' aiuto.

allora, premetto che non ho potuto ancora provare le modifiche suggerite, in quanto i router non sono raggiungibili dall' esterno e quindi devo andare fisicamente sul posto.

Ok per la extended nella acl_nat del 1841, non ci avevo pensato.

ma ho dei dubbi sulla modifica al' 877, o meglio la rotta e' corretta ma se lascio solo quella mi sa che la vpn non va su.
non credi che vadano fatte due rotte ? ossia:

Per il traffico internet

C877(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.156

Per la vpn: ( per raggiungere il peer remoto 10.85.229.254 , deve passare
per 10.85.203.5 )

C877(config)#ip route 10.85.229.254 255.255.255.255 10.85.203.5

l' altro dubbio era se erano corretti i vari ip nat inside, outside ?

se ho scritto cacchiate come sicuramente credo, ti autorizzo a insultarmi !!!

Grazie in anticipo.
smoke
n00b
Messaggi: 9
Iscritto il: gio 30 lug , 2009 9:42 am

e' sempre piu' difficile ? no, è che sono io che forse sarò stordito ..... ma e' la prima volta che configuro i cisco .....
nessuno ?
smoke
n00b
Messaggi: 9
Iscritto il: gio 30 lug , 2009 9:42 am

Quindi non si puo' fare ? mi sembra un po strano ...
smoke
n00b
Messaggi: 9
Iscritto il: gio 30 lug , 2009 9:42 am

CiscoBGP ha scritto:Ciao Smoke

Prova a mettere nella extended acl_nat del 1841 un:
C1841(config)#permit ip 192.168.1.0 0.0.0.255 any

aggiungi sul C877:

C877(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.156

e togli l'altra che fa riferimento all'IP pubblico


Provato quanto suggerito e molto altro, non c'e' stato verso, possibile che con cisco non si riesca a fare ?
mlanzani
n00b
Messaggi: 1
Iscritto il: ven 06 apr , 2012 5:01 pm

Messaggio all'Amministratore - prego gentilmente la rimozione del seguente articolo poichè contiene informazioni riservate di un Ns. Cliente.
Per informazioni potete contattare Datanex Srl al numero +39 02 66227696.

Ringraziando per l'attenzione, cordiali saluti,
Marco Lanzani
IT Manager
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

(parere personale)
Sinceramente, non vedo nulla di male... sono tutti IP RFC1918.

Francamente, non eliminerei nessun 3d.


Saluti
bike70
Cisco fan
Messaggi: 55
Iscritto il: sab 15 set , 2007 8:55 am

nterface FastEthernet0/0
ip address 10.85.229.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map vpn
!
interface FastEthernet0/1
ip address 192.168.23.156 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.85.229.5
!
!
no ip http server
no ip http secure-server
ip nat inside source list acl_nat interface FastEthernet0/1 overload
.....mmmm,forse non ho capito bene, ma perchè fai overload sulla fa0/1?? non sarebbe corretto farlo sulla fa0/0 ???
Rispondi