CiscoForums.it

ciao a tutti
qsto è il mio primo post che scrivo qui scusate se scrivo delle fesserie, cmq devo mettere su una vpn usando ipsec tra 2 sedi.
Entrambe le sedi hanno un IP statico, entrambe le sedi si pingano l'una con l'altra. lo schema è il seguente:

LAN1 (192.168.1.0/24) <-> Ro1 1841 X.X.X.X <-> VPN <-> Y.Y.Y.Y Ro2 1841 <-> LAN2 (192.168.2.0/24)

vi posto la configurazione di Ro1 la stessa è presente anche su Ro2, ovviamente con IP cambiati.

sh run
Building configuration...

Current configuration : 9808 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname TEST
!
boot-start-marker
boot system flash c1841-adventerprisek9-mz.124-24.T.bin
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone Italy 1
dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
ip domain name test.it
ip name-server x.x.x.x
ip name-server x.x.x.x
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
username TEST privilege 15 password 0 TEST
archive
log config
hidekeys
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key TEST address Y.Y.Y.Y
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN ipsec-isakmp
set peer Y.Y.Y.Y
set transform-set VPN-SET
match address 150
!
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
interface FastEthernet0/0
description *** Router Ro1 -> LAN ***
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no keepalive
!
!
interface Serial0/0/0
no ip address
encapsulation frame-relay IETF
logging event subif-link-status
logging event dlci-status-change
ip access-group 103 in
load-interval 30
no fair-queue
frame-relay lmi-type ansi
!
interface Serial0/0/0.1 point-to-point
description *** Router Ro1 -> WAN ***
ip address x.x.x.x 255.255.255.252
ip nat outside
ip inspect IDS out
ip virtual-reassembly
snmp trap link-status
no cdp enable
no arp frame-relay
frame-relay interface-dlci 100 IETF
crypto map VPN
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1

no ip http server
no ip http secure-server
!
!
ip nat inside source route-map VPN-NAT interface Serial0/0/0.1 overload
!
!

access-list 100 remark *** ACL NAT ***
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 103 remark **********************************************
access-list 103 remark *** OPEN PORTS VPN ***
access-list 103 permit udp X.X.X.X 0.0.0.255 Y.Y.Y.Y 0 0.0.0.255 eq non500-isakmp
access-list 103 permit udp X.X.X.X 0.0.0.255 Y.Y.Y.Y 0 0.0.0.255 eq isakmp
access-list 103 permit esp X.X.X.X 0.0.0.255 Y.Y.Y.Y 0 0.0.0.255
access-list 103 permit ahp X.X.X.X 0.0.0.255 Y.Y.Y.Y 0 0.0.0.255
access-list 103 deny ip any any
access-list 150 remark *** ACL VPN *****************
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 150 remark **********************************************
!
route-map VPN-NAT permit 10
match ip address 100
!
control-plane
!
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end
!
!
crypto isakmp enable

qualcuno puo darmi una mano?
grazie mille

ps.
i comandi

Ro1(config)# sh crypto session
Crypto session current status

Interface: Serial0/0/0.1
Session status: DOWN
Peer: 81.21.17.146 port 500
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 0, origin: crypto map

Ro1(config)# sh crypto map interface serial 0/0/0.1
Crypto Map "VPN" 1 ipsec-isakmp
Peer = Y.Y.Y.Y
Extended IP access list 150
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Current peer: Y.Y.Y.Y
Security association lifetime: 4608000 kilobytes/86400 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
VPN-SET: { esp-3des esp-sha-hmac } ,
}
Interfaces using crypto map VPN:
Serial0/0/0.1

non cè proprio nessuno che mi puo aiutare!!!!!

Manca la route Ciao

scusami ma non ho capito la rotta

ip route 192.168.1.254 255.255.255.0 IP_SERIALE

.1.254 è il GW per la LAN .1.0/24, mentre il router remoto ha .2.254 come GW per la LAN locale, non dovrebbe essere così la rotta?? correggimi se sbaglio

ip route 192.168.2.0 255.255.255.0 Y.Y.Y.Y permanent

la VPN continua a rimanere DOWN

richardsith ha scritto:scusami ma non ho capito la rotta

ip route 192.168.1.254 255.255.255.0 IP_SERIALE

.1.254 è il GW per la LAN .1.0/24, mentre il router remoto ha .2.254 come GW per la LAN locale, non dovrebbe essere così la rotta?? correggimi se sbaglio

ip route 192.168.2.0 255.255.255.0 Y.Y.Y.Y permanent

cmq la VPN non va su

Si giusto.

Strano che non va su.

Domanda combacia tutto nell'impostazione del altro Router? Chiave, 3DES, MD5, ecc

si combacia tutto cambiano solamente gli IP

Spiegami bene, le route che ti ho detto sono state messe su entrambi i router (con IP giusti). Tu provi a contattare la rete dall'altra parte ma non va su la VPN?
Facendo un ping sull'altra rete dovrebbe tirare su la VPN. .

Ora sono indaffarato. Nella pausa pranzo ci penso su.

Ciao

ho appena risolto il prb.
prima di tutto voglio ringraziarti per l'aiuto, la soluzione non sta nella configuazione ma nel modo in cui venivano fatti i ping.
ovvero un ping (Ro# ping 192.168.2.254) tradizionale non dava nessun risultato la VPN non saliva e le risposte erano nulle.
Dopo aver eseguito il comando

Ro# ping 192.168.2.254 source 192.168.1.3

dopo qlke min la VPN è salita e il ping ha risposto. Il comando mi è stato consignato da un ragazzo nel forum di Cisco.
Ho trovato anche questo di comando che in sh run non compare

Ro(conf)# crypto isakmp enable

????

Prego. Infatti dalla configurazione non avevo visto niente di strano .
Scusa se non mi sono spiegato bene con il ping. Avevo sottinteso quel particolare. Nel ping senza parametri l'IP sorgente è quello dell'interfaccia di uscita e non combaciava con la ACL per tirare su la VPN.

L'unica cosa che non mi risulta è il minuto che impiega a tirare su la VPN. Dovrebbe essere più rapida la cosa.

L'importante è che hai risolto.

Ciao