Multi VPN IPSEC

weblaboratory · lun 19 lug , 2010 5:32 pm

Ciao a tutti, ho un grosso problemino... Premetto che non mastico tantissimo di VPN IPSEC ma attualmente ho un server Linux che riesce a fare alcune vpn con alcuni router remoti di varie marche...
Vorrei sostituire questo server con un bel Cisco 2811.. arrivo ad un bel punto in cui riesco a far salire l'ISAMP ma poi non mi funziona l'IPSEC.

Io purtroppo non posso fare dei tunnel, pertanto come posso associare differenti VPN ? Devo utilizzare le loopback immagino...

In questo momento una VPN attiva su linux è la seguente:

Codice: Seleziona tutto

conn VPNCLIENTE
        left=IPINTERNOSERVERNATTATO
        leftid=IPINTERNOSERVERNATTATO
        leftnexthop=IPGATEWAY
        right=IPPUBBLICOCLIENTE
        rightid=192.168.177.253
        rightsubnet=172.16.102.0/24
        authby=secret
        auth=esp
        pfs=yes

Naturalmente ho anche la chiave:

Codice: Seleziona tutto

IPINTERNOSERVERNATTATO 192.168.177.253 : PSK "CHIAVE"

Tutto quanto così funziona... ma con la mia configurazione l'IPSEC non va

Codice: Seleziona tutto


crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key CHIAVE address IPPUBBLICOCLIENTE
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
!
c
crypto map VPNWELTRA local-address FastEthernet0/1
crypto map VPNWELTRA 1 ipsec-isakmp
 set peer IPPUBBLICOCLIENTE
 set transform-set 3DES-MD5
 set pfs group2
 match address vpn-static1

ip access-list extended vpn-static1
 permit ip 172.16.20.0 0.0.0.255 172.16.102.0 0.0.0.255
 permit ip 172.16.100.0 0.0.0.255 172.16.102.0 0.0.0.255
 permit ip 172.31.0.0 0.0.0.255 172.16.102.0 0.0.0.255
!

Non ho capito se esattamente come per i tunnel io devo impostare un IP dalla mia parte che faccia parte della rete che è dall'altra parte...
in cosa sto sbagliando?

Ciao e grazie per le eventuali risposte

valerio1976 · lun 19 lug , 2010 6:39 pm

ciao scusa ma puoi postare anche la parte delle interfacci e del nat

grazie

weblaboratory · lun 19 lug , 2010 8:02 pm

Naturalmente

Codice: Seleziona tutto

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key CHIAVE address IPPUBBLICOCLIENTE
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map VPNCLIENTE local-address FastEthernet0/1
crypto map VPNCLIENTE 1 ipsec-isakmp
 set peer IPPUBBLICOCLIENTE
 set transform-set 3DES-MD5
 set pfs group2
 match address vpn-static1
!
!
interface FastEthernet0/0
 description RETE DMZ 172.16.100.0/255.255.255.0
 ip address 172.16.100.74 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet0/1
 description RETE PUBBLICA 172.31.0.0/255.255.255.0
 ip address 172.31.0.74 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no ip route-cache cef
 duplex full
 speed 100
 no cdp enable
 crypto MAP VPNCLIENTE
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.31.0.1
ip route 172.16.102.0 255.255.255.0 FastEthernet0/1
!
ip nat pool INTERNET 172.31.0.74 172.31.0.74 netmask 255.255.255.0
ip nat inside source list 101 pool INTERNET overload
!
ip access-list extended vpn-static1
 permit ip 172.16.100.0 0.0.0.255 172.16.102.0 0.0.0.255
 permit ip 172.31.0.0 0.0.0.255 172.16.102.0 0.0.0.255
!
access-list 110 remark ___ VERSO CLIENTE
access-list 110 permit ip 172.16.100.0 0.0.0.255 172.16.102.0 0.0.0.255
access-list 110 permit ip 172.31.0.0 0.0.0.255 172.16.102.0 0.0.0.255

La mia DMZ è la 172.16.100.x, la rete 172.31.0.x corrisponde ai miei indirizzi ip pubblici NATTATI, la 172.16.102 è quella del remoto

Vi ringrazio anticipatamente per l'aiuto

valerio1976 · lun 19 lug , 2010 8:56 pm

ciao ci sono un paio di cose che non mi tornato tanto...vediamo se di to qualche idea

ip nat inside source list 101 pool INTERNET overload <---ma dovè la ACl 101 ?

crypto map VPNCLIENTE local-address FastEthernet0/1 <--- ma xchè questo ? f0/1 hai 1 ip di classe privata
crypto map VPNCLIENTE 1 ipsec-isakmp <--- questa non è applicata a nessuna interfaccia mi sembra...

E visto che c'è il NAT dovresti configurarlo per la vpn che deve passare

Ma per caso sei su una linea satellitare ? o cmq qualche provider che ti fornisce già un tunnel VPN ?
sicuramente qualcuno potrà esserti di maggiorn aiuto

weblaboratory · lun 19 lug , 2010 9:18 pm

Ciao Valerio, grazie ancora per la tua risposta.

Allora, in pratica questo router è in cascata su un altro 2851 che si occupa di nattare i miei IP pubblici in IP interni...

Quindi in questo caso il mio ip pubblico X.X.X.X corrisponde alla 172.31.0.74
Ip completamente nattato...

La FE00 è sulla reale DMZ, la FE01 in pratica è pubblica.

La VPNCLIENTE viene applicata in questo caso alla FE01... ma nel caso in cui io debba avere più VPN sullo stesso router senza Tunnel GRE come faccio?

Te come la faresti?
Ciao e ancora grazie

valerio1976 · lun 19 lug , 2010 10:01 pm

...è un po un casino ho cercato un po su internet (come sicuramente hai fatto tu) e non riesco a trovare nulla...a me personalmente non è mai successo una cosa così quindi non so che dirti però le soluzioni potrebbe essere 2

1) qualche collega + esperto ti da un consiglio
2) quando torno a casa mercoledì controllo se c'è qualcosa in merito su i libri cisco CCNP

mi dispiace ma non mi viene in mente niente x aiutarti

(

a presto

zot · mer 28 lug , 2010 12:14 am

valerio1976 ha scritto:...........
ip nat inside source list 101 pool INTERNET overload <---ma dovè la ACl 101 ?
..............

Eh,dov'e' ???

weblaboratory ha scritto:......
ma nel caso in cui io debba avere più VPN sullo stesso router senza Tunnel GRE come faccio? ...........

Codice: Seleziona tutto

crypto map PIPPOTTA 1 ipsec-isakmp
 .........
 set peer 1.1.1.1
 ........
crypto map PIPPOTTA 2 ipsec-isakmp
 ........
 set peer 2.2.2.2
 .......

Forse funzia.....

Multi VPN IPSEC

Login • Iscriviti