Route statico e VPN

[giangio]

Salve a tutti,
su un cisco 881 (c880data-universalk9-mz.124-24.T3.bin), ho la vpn che si connette con successo; il traffico tra sede e filiale funziona correttamente avendo configurato le acl che bloccano il nat sulle reti interne.

Ho un problema su un routing esterno: dalla filiale 100.100.100.0 non riesco a vedere la rete 10.20.20.0 che ovviamente riesco a vedere dalla sede.

Un ringraziamento a chi mi darà qualche suggerimento.

Gianluca

Posto estratto la conf:

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router_internet
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local 
!
!
aaa session-id common
!
!
ip source-route
!
!
ip cef
no ip domain lookup
ip accounting-list 0.0.0.0 255.255.255.255
login on-failure log
login on-success log
no ipv6 cef
!
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key sharedkey address 88.88.88.88 255.255.255.255
!
!         
crypto ipsec transform-set cm-transformset-1 esp-3des esp-sha-hmac 
!
crypto map vpn_map 1 ipsec-isakmp 
 description filiale1
 set peer 88.88.88.88
 set transform-set cm-transformset-1 
 match address 101
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
 shutdown
!
interface FastEthernet2
 shutdown
!         
interface FastEthernet3
 shutdown
!
interface FastEthernet4
 description $ETH-WAN$
 ip address 192.168.1.2 255.255.255.0
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map vpn_map
 crypto ipsec df-bit clear
!
interface Vlan1
 ip address 10.10.10.10 255.255.255.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 10.20.20.0 255.255.255.0 10.10.10.1
no ip http server
no ip http secure-server
!
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip access-list extended no_nat
 deny   ip 10.10.10.0 0.0.0.255 100.100.100.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 101 permit ip 10.10.10.0 0.0.0.255 100.100.100.0 0.0.0.255
no cdp run
!
!
!
!
route-map SDM_RMAP_1 permit 1
 match ip address no_nat
!
snmp-server community PUBLIC RO
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 logging synchronous
 transport input ssh
!
scheduler max-task-time 5000
end

[zot]

Come e' impostato 10.10.10.1 ?
Sulla acl 101 metti anche la subnet 10.20.20.0 .
Sul router della filiale "instrada" il traffico della vpn anche per la 10.20.20.0 .

[giangio]

Grazie zot per la risposta.

10.10.10.1 è un router dell'azienda capogruppo e non è di mia proprietà; comunque l'importante è che la rete 10.20.20.0 viene routata correttamente.

Codice: Seleziona tutto

router#ping ip 10.20.20.15 source vlan 1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.20.20.15, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/56/64 ms

Ho aggiunto sulla acl 101 la subnet 10.20.20.0 come mi hai suggerito.

Il router della filiale è un Draytek Vigor 2600 sul quale è stata aggiunta la subnet 10.20.20.0 instradata via vpn (interfaccia pubblica).
Se in sede metto un'altro draytek (guarda caso) in sede, la rete 10.20.20.0 viene vista dalla filiale.

Dopo aver messo la riga da te suggerita nella acl 101, pingando 10.20.20.15 dalla filiale vedo i match sulla acl ma il ping fallisce.

Codice: Seleziona tutto

router#sh ip access-lists 101
Extended IP access list 101
    10 permit ip 10.10.10.0 0.0.0.255 100.100.100.0 0.0.0.255 (3298 matches)
    20 permit ip 10.20.20.0 0.0.0.255 100.100.100.0 0.0.0.255 (14 matches)

Ho fatto un pò di ricerche in rete e mi sembra di capire che con vpn in ipsec standard il router cisco non sia in grado di routare subnet aggiuntive tramite la vpn.

Qualcuno ha avuto esperienze a riguardo?
Comunque non demordo; cercherò ancora...

Giangio

[zot]

Guarda io ho un'azienda che ha questo schema:

Codice: Seleziona tutto

LAN_A1--\
              <--->Firewall<--->RouterA(VPN)<--->(VPN)RouterB<--->LAN_B1
LAN_A2--/

E non ho problemi di sorta...secondo me il problema e' 10.10.10.1 che non ha la rotta per 100.100.100.0

[giangio]

Grazie zot per la tua risposta,
il fatto è che se così fosse, non funzionerebbe neanche il traffico tra 10.10.10.0 e 100.100.100.0 che invece funziona perfettamente.

Tu hai 2 router cisco? Il problema secondo me è che il mio router 100.100.100.0 è un draytek e quindi posso fare solamente VPN ipsec standard che non accettano routing da parte di cisco.

Che ne pensi?
Potresti postarmi la tua configurazione del router A (ovviamente cancellando quello che non ritieni opportuno)?

Un'altra domanda è: non è che devo disabilitare cef, route-cache ed altro?

Grazie ancora

[zot]

Si,nel mio schema precedente i router sono tutti Cisco.
Tanto per capirci,e' cosi'?

Codice: Seleziona tutto

10.20.20.0/24<--->10.10.10.1/24<--->10.10.10.10/24<--->(VPN)<--->100.100.100.0/24

Qual'e' il default gateway della rete 10.10.10.0?
Se e' 10.10.10.10 e' normale che vedi la 100.100.100.0.....
Cmq,visto che dici che mettendo un draytek il tutto funziona,supponiamo che la rotta ci sia.....oltre alla acl 101 hai modificato il nat0??

Codice: Seleziona tutto

ip access-list extended no_nat
 deny   ip 10.20.20.0 0.0.0.255 100.100.100.0 0.0.0.255
 deny   ip 10.10.10.0 0.0.0.255 100.100.100.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any

Non stai usando SDM vero????

[giangio]

Finalmente ho risolto grazie ad una dritta dal support americano: il problema era che in IPSec standard non è possibile far salire più di un tunnel per direzione (in-out) quindi, per forza di cose bisogna mappare i due network delle VPN su una famiglia che ricomprenda tutte le subnet che si vogliono usare.

Nel mio caso ho mappato la 10.0.0.0/8 da entrambi i lati così comprendo 10.10.10.0/24 e 10.20.20.0/24; ho poi opportunamente filtrato a livello di acl sul nat per negare solamente le classi che non devono essere nattate sul traffico VPN.

La tipologia IPSec standard è l'unica che permette interoperabilità con router di terze parti.

Spero di essere stato chiaro e di aiuto per i posteri.

Gianluca
P.S.: SDM? Giammai!!!

[zot]

Avevi comunque provato modificando l'ACL del NAT0 come ti avevo scritto?

Grazie per il feedback....facessero tutti cosi'........

Per SDM....avevo visto qualche scritta a lui riconducibile e mi era nato uno sfogo sotto al collo....