CiscoForums.it

Inviato: **mar 20 apr , 2010 12:05 pm**

Ciao a tutti,
dopo aver risolto grazie a voi la configurazione del mio cisco 1801 per la navigazione internet e l'assegnazione degli ip pubblici, vorrei configurare una vpn verso un abbonamento fastweb casalingo, ovvero senza ip pubblico, dove è utilizzato un NetGear ProSafe FVS114 come gateway/firewall...
ho appena fatto una prova di configurazione dello stesso netgear verso un apparato netgear con ip pubblico fisso e la vpn è andata su senza problemi, vorrei quindi ora replicare quelle impostazioni sul mio cisco e configurare la vpn la senza dover utilizzare altre periferiche...

la configurazione del cisco è quella postata nel topic di seguito:

http://www.ciscoforums.it/viewtopic.php ... 2&start=15

la configurazione delle caratteristiche della vpn invece ve le vado ad elencare:

Policy IKE:

Type: Responder
Exchange Method: Aggressive
Local username: VPN-Office
Remote username: VPN-Site
Encryption Algorithm: 3DES
Authentication Algorithm: SHA-1
Authentication Method: Pre-shared key
Pre-Shared Key: chiavecondivisa
DH Group: Group 2 (1024 bit)
Lifetime: 3600 sec
XAUTH: nessuno

VPN Policies:

Remote Endpoint: ippubblicofastweb
Netbios: Enabled
Keepalive: no
Local subnet: 192.168.0.0/24
Remote subnet: 192.168.1.0/24
Sa Lifetime: 3600 sec
Encryption Algorithm: 3DES
Integrity Algorithm: SHA-1
Perfect Forward Secrecy: abilitato
DH Group: Group2 (1024bit)

ora però non so come configurare il cisco con questi parametri, potete aiutarmi per favore o dirmi dove posso vedere come configurarli?

Grazie mille.

PS: ho provato ad usare l'sdm ma non funzionano i wizard...

EDIT: ho verificato che nelle policy ike, affinchè funzioni correttamente la vpn, devo usare un fullyqualified username anzichè gli indirizzi ip, in quanto con fastweb si ha il problema che l'ip assegnato non è quello pubblico... così la vpn funziona sempre e senza problemi.

Inviato: **ven 23 apr , 2010 12:16 pm**

prova con questo:
spero ti sia utile

crypto isakmp policy 10
hash sha
encrypthion 3des
authentication pre-share
group 2
crypto isakmp key chiavecondivisa address ippubblicofastweb
!
!
crypto ipsec transform-set MioSet esp-3des esp-sha-hmac
!
crypto map VPN1 local-address Loopback0
crypto map VPN1 10 ipsec-isakmp
set peer ippubblicofastweb
set transform-set MioSet
match address 101
!
!
!
!
interface Loopback0
ip address tuo_indirizzo_pubblico 255.255.255.xxx
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!

!

!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 85.xx.xx.xx 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
oam-pvc manage
encapsulation aal5snap
!
crypto map VPN1
!
interface Vlan1
description "LAN PRIVATA"
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
load-interval 30
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 123 interface ATM0.1 overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 123 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 123 permit ip 192.168.1.0 0.0.0.255 any
!

Inviato: **mar 04 mag , 2010 3:02 pm**

rieccomi a postare i miei progressi...

ispirandomi un po' a tutti i topic presenti sul forum, ma di più a questo qua:
http://www.ciscoforums.it/viewtopic.php ... highlight=

sono arrivato ad una fase intermedia della mia configurazione, ovvero... stabilisco la vpn in fase1 ma la fase2 si ferma con l'errore (sul netgear): "No proposal chosen"

vi posto la configurazione attuale del cisco:

Codice: Seleziona tutto

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 0 htgroup2010 hostname ht-casa.dyndns.org no-xauth
crypto isakmp keepalive 30 5
!
crypto isakmp peer address 93.40.131.252
 set aggressive-mode password htgroup2010
 set aggressive-mode client-endpoint user-fqdn HT-Casa
!
!
crypto ipsec transform-set VPN-SHA esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
 description Tunnel to HT-Casa
 set peer ht-casa.dyndns.org dinamic
 set transform-set VPN-SHA
 set pfs group2
 match address 100
!
interface Loopback0
 ip address 80.21.44.17 255.255.255.0
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 crypto map VPN
!
interface ATM0.1 point-to-point
 description INTERFACCIA PER ACCESSO AD INTERNET
 mtu 1500
 ip address 88.48.29.178 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip inspect IDS out
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35
  encapsulation aal5snap
 !
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat pool INTERNET 80.21.44.18 80.21.44.18 netmask 255.255.255.240
ip nat inside source list 100 pool INTERNET overload

ip access-list extended sdm_vlan1_in
 remark SDM_ACL Category=1
 remark Nega NAT per Traffico VPN
 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip any any
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 100
!


sul netgear le impostazioni invece sono:


[b]IKE[/b]

Type: Initiator
Exchange Method: Aggressive
Local fqdn: ht-casa.dyndns.org
Remote ip: 80.21.44.17
Encryption Algorithm: 3DES
Authentication Algorithm: MD5
Authentication Method: Pre-shared key
Pre-Shared Key: htgroup2010
DH Group: Group 2 (1024 bit)
Lifetime: 28800 sec

[b]IPSEC[/b]

Remote Endpoint: 80.21.44.17
Netbios: Enabled
Keepalive: si
Ping: 192.168.0.254
Local subnet: 192.168.1.0/24
Remote subnet: 192.168.0.0/24
Sa Lifetime: 3600 sec
Encryption Algorithm: 3DES
Integrity Algorithm: SHA-1
Perfect Forward Secrecy: abilitato
DH Group: Group2 (1024bit) 


credo che il problema sia nella configura ipsec, ma non riesco a trovare il problema, qlc può aiutarmi? 
 :?:  :wink:

CiscoForums.it

Creazione VPN Site-to-Site tra Cisco e NetGear

Creazione VPN Site-to-Site tra Cisco e NetGear