Accesso FTP Filezilla e Http via VPN

[m.dinardo]

Salve a tutti,

è da un pò di tempo che seguo questo fantastico forum in cui ho trovato moltissime soluzioni ai miei problemi.
Ho anche effettuato degli acquisti tramite degli utenti del forum e mi sono trovato benissimo.

Apro questo topic per chiedervi un aiuto sulla configurazione della mia VPN.
Premetto che il tutto è fatto su un 2611XM.
La struttura è cosi composta:

Router 2611XM che fa connessione adsl, dhcp, dynamicdns server e VPN
Attaccato al router, tramite fastethernet, ho connesso sempre tramite fastethernet un linksys WRT160NL che fa da access point wireless per i miei client.
Nel linksys ho disabilitato tutto ciò che poteva portare problemi, come firewall, nat e portforwarding.

Ora arrivo al problema.

La connessione VPN, che avviene sui client tramite VPN Client, si connette tranquillamente, riesco a pingare tutti i dispositivi della rete, ma nel momento in cui provo a connettermi tramite Filezilla al server FTP o provo ad accedere alle interfacce web dei dispositivi non avviene nessuna connessione.
Pensavo che siccome tutti le mie connessioni ai dispositivi avvengono in SSL questo poteva essere un problema, ma disabilitando l'SSL non cambia nulla.

il fatto strano è che tutti i ping verso i dispositivi avvengo ad eccezione del linksys e che l'unica interfaccia web a cui riesco ad accedere è quello della stampante, una HP officejet 6310.

Le prove di connessione sono state fatte con:

Accesso da esterno tramite adsl aziendale su cui le porte 500 e 4500 sono aperte.
Accesso tramite collegamento UMTS effettuato con iphone su rete dell'operatore 3
Accesso tramite adsl casalinga di un mio amico.

In più tramite l'iphone impostando la VPN IPSEC riesco ad immettere utente e password ma non riesce a stabilire il canale IPSEC, sia sotto rete 3G che wireless.

Spero mi possiate dare una mano e di non essere stato troppo prolisso nelle spiegazioni.

Grazie mille

Di seguito vi allego la configurazione del mio router:

Codice: Seleziona tutto

Current configuration : 3878 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VS
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$dBKm$Lm5y.SJFLyIcL1TPHA2SS.
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
!
resource policy
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.26.254
!
ip dhcp pool 192.168.26.0/24
   network 192.168.26.0 255.255.255.0
   default-router 192.168.26.254 
   dns-server 208.67.222.222 208.67.220.220 
!
!         
ip name-server 208.67.222.222
ip name-server 208.67.220.220
no ip ips deny-action ips-interface
ip ddns update method dyndns
 HTTP
  add http://nomeutente:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 28 0 0 0
!
!
!
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username utente privilege 15 password 7 060B0E334F41
!
! 
crypto logging session
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
no crypto isakmp ccm
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group vpnclient
 key password_vpn
 dns 192.168.26.254
 wins 192.168.26.254
 pool vpnpool
 acl 102
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set vpnset 
 reverse-route
!
!
crypto map clientmap local-address Dialer0
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap 
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.26.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 no dce-terminal-timing-enable
!
interface ATM0/1
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no atm ilmi-keepalive
 dsl operating-mode auto 
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Dialer0
 mtu 1452
 ip ddns update hostname xxx.xxx.xxx
 ip ddns update dyndns host xxx.xxx.xxx
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp chap hostname nome_utente
 ppp chap password 7 00171F071753
 ppp pap sent-username nome_utente password 7 044807071C29
 crypto map clientmap
!
ip local pool vpnpool 10.10.10.1 10.10.10.5
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.10.10.0 255.255.255.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.26.116 21 interface Dialer0 21
ip nat inside source static tcp 192.168.26.116 60001 interface Dialer0 60001
ip nat inside source static tcp 192.168.26.116 60000 interface Dialer0 60000
ip nat inside source static tcp 192.168.26.116 2021 interface Dialer0 2021
ip nat inside source static tcp 192.168.26.116 5000 interface Dialer0 5000
ip nat inside source static tcp 192.168.26.116 5001 interface Dialer0 5001
!
access-list 101 deny   ip 192.168.26.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 101 permit ip any any
access-list 102 permit ip 192.168.26.0 0.0.0.255 10.10.10.0 0.0.0.255
!
!
!
control-plane
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
!
!
!
line con 0
 password 7 0822455D0A16
 logging synchronous
line aux 0
line vty 0 4
 password 7 060506324F41
 transport input telnet ssh
!
!
end

[zot]

Non ho letto nel dettaglio la conf...cmq devi escludere la subnet dei VPN client dal NAT statico che fai su i tuoi server (FTP,WEB....)

[m.dinardo]

Non ho letto nel dettaglio la conf...cmq devi escludere la subnet dei VPN client dal NAT statico che fai su i tuoi server (FTP,WEB....)

Cosa intendi per escludere la subnet dei VPN client??

Ma una route map risolverebbe qualcosa??

Grazie mille

[zot]

Ma una route map risolverebbe qualcosa??

Dovrebbe...... http://www.cisco.com/application/pdf/pa ... client.pdf

[m.dinardo]

Ciao zot,

ancora niente purtroppo la guida che mi hai dato non ha dato i risultati ottenuti.

Sto veramente diventando scemo...

Stavo pensando se creo una interfaccia di loopback e dirotto il traffico ipsec li in teoria non dovrebbe passare per le acl del traffico della rete interna.

Grazie mille per il supporto

[zot]

Ho visto che hai postato pure sul Topic messo in evidenza dove wizard ha messu su "la pappa pronta" per il problema che dici di avere....hai provato quella conf???

[m.dinardo]

Si ma non va perchè li parlano di indirizzi ip statici mentre io ce l'ho dinamico con dyndns e da come ho capito dovrei creare una route map ma non va.

[m.dinardo]

Ti chiedo una cosa,

a casa ho un altro 2611xm, se lo connetto al primo router posso far fare da server vpn ad un router e da connessione adsl e port forwarding con l'altro?

ti spiego meglio

lan --> router 1 --> router 2 --> internet

il router uno ha due fastethernet, la prima è connessa alla lan e fa traffico internet, la seconda è connessa al router 2 e tramite rotta statica colloquia con il router 1 e la lan.

Spero di essere stato chiaro

[zot]

La VPN dall'esterno la faresti sempre su l'IP pubblico del router 2 quindi dovresti nattare per VPN sul router 1....e' fattibile ma non consigliabile far passare VPN su un NAT.