Ho due sedi... entrambe con ip pubblico.
Sulla prima ho messo un 2851 HDSL... ho creato una loopback con associato l'ip pubblico e creato un tunnel
Sulla seconda ho messo un 2811 in cascata dietro un 1751 di fastweb con tutti gli ip nattati...
Ho creato un tunnel anche qui e tutto funziona ... i due tunnel si pingano
SEDE A:
Codice: Seleziona tutto
interface Loopback0
ip address IPPUBBLICOHDSL 255.255.255.0
!
interface Tunnel0
description TUNNEL DI PROVA VPN
ip address 20.20.20.1 255.255.255.252
tunnel source IPPUBBLICOHDSL
tunnel destination IPPUBBLICO2811
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache cef
duplex full
speed 100
!
interface GigabitEthernet0/1
description RETE PUBBLICA NATTATA
ip address 172.31.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex full
speed 100
!
ip route 172.16.112.254 255.255.255.255 Tunnel0
Codice: Seleziona tutto
interface Tunnel20
ip address 20.20.20.2 255.255.255.252
tunnel source 10.1.1.34
tunnel destination IPPUBBLICO HDSL
!
interface FastEthernet0
# IP NATTATO DA FASTWEB
ip address 10.1.1.37 255.255.255.252
speed 100
full-duplex
no cdp enable
!
ip route 172.31.0.1 255.255.255.255 Tunnel20
ora ho creato da entrambe le parti:
Codice: Seleziona tutto
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key vpncliente address 172.16.112.254
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto map VPNCLIENTE local-address Tunnel0
crypto map VPNCLIENTE 10 ipsec-isakmp
set peer 172.16.112.254
set transform-set 3DES-MD5
match address 101
!
access-list 101 remark ___ TEST VPN IPSEC CON STS
access-list 101 permit ip 172.16.0.0 0.0.255.255 172.16.112.0 0.0.0.255
access-list 101 permit ip 172.31.0.0 0.0.255.255 172.16.112.0 0.0.0.255
!
Codice: Seleziona tutto
crypto map VPNCLIENTE --> nel Tunnel0 e nel Tunnel20
Codice: Seleziona tutto
access-list 110 remark ___ VPN DI TEST CON HDSL
access-list 110 permit ip 172.16.112.0 0.0.0.255 host 172.31.0.1
Codice: Seleziona tutto
show crypto isakmp sa
dst src state conn-id slot status
in cosa sto sbagliando?