CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

VPN IPSEC ISAKMP - Cisco 2851 e 2811

https://www.ciscoforums.it/viewtopic.php?f=16&t=17529

Pagina 1 di 1

VPN IPSEC ISAKMP - Cisco 2851 e 2811

Inviato: mar 05 ott , 2010 11:18 am
da weblaboratory
Ciao a tutti quanti, non riesco a capire dove sia il problema.
Ho due sedi... entrambe con ip pubblico.
Sulla prima ho messo un 2851 HDSL... ho creato una loopback con associato l'ip pubblico e creato un tunnel

Sulla seconda ho messo un 2811 in cascata dietro un 1751 di fastweb con tutti gli ip nattati...
Ho creato un tunnel anche qui e tutto funziona ... i due tunnel si pingano :-)

SEDE A:

Codice: Seleziona tutto

interface Loopback0
 ip address IPPUBBLICOHDSL 255.255.255.0
!
interface Tunnel0
 description TUNNEL DI PROVA VPN 
 ip address 20.20.20.1 255.255.255.252
 tunnel source IPPUBBLICOHDSL 
 tunnel destination IPPUBBLICO2811
!
interface GigabitEthernet0/0
 description LAN 
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 duplex full
 speed 100
!
interface GigabitEthernet0/1
 description RETE PUBBLICA NATTATA
 ip address 172.31.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex full
 speed 100
!
ip route 172.16.112.254 255.255.255.255 Tunnel0
SEDE B con 2811:

Codice: Seleziona tutto

interface Tunnel20
 ip address 20.20.20.2 255.255.255.252
 tunnel source 10.1.1.34
 tunnel destination IPPUBBLICO HDSL
!
interface FastEthernet0
 # IP NATTATO DA FASTWEB
 ip address 10.1.1.37 255.255.255.252
 speed 100
 full-duplex
 no cdp enable
!
ip route 172.31.0.1 255.255.255.255 Tunnel20
In questo modo entrambi riescono a pingarsi con 20.20.20.1 e 20.20.20.2

ora ho creato da entrambe le parti:

Codice: Seleziona tutto

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key vpncliente address 172.16.112.254
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto map VPNCLIENTE local-address Tunnel0
crypto map VPNCLIENTE 10 ipsec-isakmp
 set peer 172.16.112.254
 set transform-set 3DES-MD5
 match address 101
!
access-list 101 remark ___ TEST VPN IPSEC CON STS
access-list 101 permit ip 172.16.0.0 0.0.255.255 172.16.112.0 0.0.0.255
access-list 101 permit ip 172.31.0.0 0.0.255.255 172.16.112.0 0.0.0.255
!
e ho aggiunto

Codice: Seleziona tutto

crypto map VPNCLIENTE --> nel Tunnel0 e nel Tunnel20
Nell'altra sede

Codice: Seleziona tutto

access-list 110 remark ___ VPN DI TEST CON HDSL
access-list 110 permit ip 172.16.112.0 0.0.0.255 host 172.31.0.1
Se faccio

Codice: Seleziona tutto

show crypto isakmp sa
dst             src             state          conn-id slot status
niente...

in cosa sto sbagliando?

Inviato: mar 05 ott , 2010 8:06 pm
da valerio1976
ciao

vedi che crypto map VPNCLIENTE --> nel Tunnel0 e nel Tunnel20


lo devi applicare sull'interfaccia che hai specificato nel source IPPUBBLICOHDSL

ciao

Inviato: mer 06 ott , 2010 8:09 am
da weblaboratory
Perfetto, ora provo :-)

Ma se io avessi bisogno di fare piu VPN allora creo piĆ¹ looback con indirizzi fittizi, e nel tunnel metto ip unnumbered?

Inviato: mer 06 ott , 2010 7:01 pm
da valerio1976
no l'ip del tunnel lo devi mettere :)

Inviato: gio 07 ott , 2010 7:34 am
da weblaboratory
Quindi devo avere un IP del tunnel tipo 10.10.10.1 , un IP per la loopback alla qualche applico la crypto map ed infine il mio Ip pubblico?

Inviato: gio 07 ott , 2010 10:52 am
da valerio1976
crypto isakmp policy 1
encr aes
authentication pre-share
group 5
crypto isakmp key 123456 address 172.16.0.2
!
!
crypto ipsec transform-set aes-sha esp-aes esp-sha-hmac
!
crypto map vpn 10 ipsec-isakmp
description = VPN to HQ
set peer 172.16.0.2
set transform-set aes-sha
match address 100
!
!
!
!
interface Tunnel0
description = GRE Tunnel To CORE =
ip address 192.168.100.2 255.255.255.0
ip mtu 1500
ip tcp adjust-mss 1400
keepalive 10 3
tunnel source 172.16.1.2
tunnel destination 172.16.0.2
!
interface Serial0/0
ip address 172.16.1.2 255.255.255.252
serial restart-delay 0
crypto map vpn <---------La applichi qui


capito ?

ciao

Inviato: gio 07 ott , 2010 10:54 am
da weblaboratory
PERFETTTTOOOOOOOOOOOOO :-) Grazie milleeeee
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it