VPN su ma non pingo

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
garetjax76
n00b
Messaggi: 21
Iscritto il: mar 19 ott , 2010 5:05 pm

Dopo enormi tribolazioni sono riuscito a tirare su la VPN site-to-site tra il mio SR520 e uno Zyxel 661 remoto (entrambi hanno Alice Business 20M con 8 (5) ip statici.
Adesso però il problema che non riesco nemmeno a debuggare è che il tunnel è su ma non pingo nè da una parte nè dall'altra.
Evidentemente mi manca qualcosa, ma cosa?
Vi posto la config (limitatamente a quello che concerne vpn e affini...)
Non ci vuole una route statica, un qualcosa... boh?
Mi piacerebbe avere qualche strumento per debuggare, ma nè debug crypto isakmp nè ipsec mi dicono nulla di utile...

Codice: Seleziona tutto

crypto isakmp policy 1
 hash md5
 authentication pre-share
!
crypto isakmp key ********** address zzz.zzz.zzz.zzz no-xauth
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set Zyxel esp-des esp-sha-hmac 
!
crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Brescia
 set peer zzz.zzz.zzz.zzz
 set transform-set Zyxel 
 match address 101
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 ip address ccc.ccc.ccc.ccc 255.255.255.252
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 snmp trap ip verify drop-rate
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
 crypto map SDM_CMAP_1
!
ip nat pool NAT-1 nat.nat.nat.nat nat.nat.nat.nat netmask 255.255.255.248
!
access-list 100 deny   ip 192.168.0.0 0.0.0.255 172.24.1.64 0.0.0.63
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.0.0 0.0.0.255 172.24.1.64 0.0.0.63
!
route-map SDM_RMAP_1 permit 1
Inoltre ecco qua uno show crypto ipsec sa:

Codice: Seleziona tutto

interface: ATM0.1
    Crypto map tag: SDM_CMAP_1, local addr ccc.ccc.ccc.ccc

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.24.1.64/255.255.255.192/0/0)
   current_peer zzz.zzz.zzz.zzz port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: ccc.ccc.ccc.ccc, remote crypto endpt.: zzz.zzz.zzz.zzz
     path mtu 4470, ip mtu 4470, ip mtu idb ATM0.1
     current outbound spi: 0x0(0)
Sbaglio o gli mtu mi sembrano un po' altini? (la navigazione web funziona perfettamente)

E, se dovesse servire anche uno show crypto session

Codice: Seleziona tutto

Crypto session current status
Interface: ATM0.1
Session status: UP-ACTIVE
Peer: zzz.zzz.zzz.zzz port 500
  IKE SA: local ccc.ccc.ccc.ccc/500 remote zzz.zzz.zzz.zzz/500 Active
  IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 172.24.1.64/255.255.255.192
        Active SAs: 2, origin: crypto map
Ma, nonostante questo...

Codice: Seleziona tutto

SR520#ping 172.24.1.113  (è l'ip interno del router remoto)

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.24.1.113, timeout is 2 seconds:
....U
Success rate is 0 percent (0/5)
Non so più che pesci pigliare :(
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

L'acl 100 blocca qualcosa che l'acl 101 lascia passare, è corretto?
Se togli la route-map e usi una rotta statica funziona?
Dove sono applicate le acl?

Rizio
Si vis pacem para bellum
garetjax76
n00b
Messaggi: 21
Iscritto il: mar 19 ott , 2010 5:05 pm

Rizio ha scritto:L'acl 100 blocca qualcosa che l'acl 101 lascia passare, è corretto?
Se togli la route-map e usi una rotta statica funziona?
Dove sono applicate le acl?
In effetti penso anch'io sia un problema di acl, solo che probabilmente devo studiarci su ancora.
Quella configurazione l'ho fatta tramite CCP, ma probabilmente poi nei vari tentativi l'ho incasinata un po'.
Non ho ben capito neanch'io a cosa serva l'acl 100 (che poi non viene richiamata in nessun altro punto della config), da quel poco che ho capito il significato della 101 è "tutto ciò che va verso la vpn dev'essere criptato, il resto no".
Non so neanche se sia corretto avere la crypto map attiva direttamente sull'atm0.1... forse sarebbe meglio avere delle interfacce virtuali (TunnelX) per ogni vpn, come ho visto in altre configurazioni, ma non so bene da dove partire: mi servirebbe un esempio sicuramente funzionante su cui studiare, altrimenti andando per tentativi perdo solo tempo (e studiando anche, visto che il campo delle VPN e rischio di perdermici).
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ti posso passare le impostazioni che uso io (ereditate da un consulente):

Codice: Seleziona tutto

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 50
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key Token$FastWeb! address xxx.xxx.xxx.xxx no-xauth
!
crypto ipsec transform-set myset esp-aes esp-md5-hmac 
crypto ipsec transform-set opera21 esp-aes esp-sha-hmac 
!
crypto ipsec profile TUNNEL-PROFILE
 set transform-set myset 
!
!
!
interface Tunnel1
 description Tunnel1
 bandwidth 128
 ip address 192.168.255.9 255.255.255.252
 ip mtu 1420
 ip flow ingress
 ip flow egress
 keepalive 10 3
 tunnel source Vlan200
 tunnel destination xxx.xxx.xxx.xxx
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile TUNNEL-PROFILE
!
!
!
interface Vlan200
 description VLAN_OUTSIDE
 ip address xxx.xxx.xxx.xxx 255.255.255.224
 ip access-group VPN in
 ip flow ingress
 ip flow egress
 ip nat outside
 ip inspect wall out
 ip virtual-reassembly
!
!
!
ip access-list extended VPN
 permit esp host xxx.xxx.xxx.xxx host IP_PUBBLICO_VLAN200
 permit udp host xxx.xxx.xxx.xxx eq isakmp host IP_PUBBLICO_VLAN200 eq isakmp
 permit icmp host xxx.xxx.xxx.xxx host IP_PUBBLICO_VLAN200
Ovviamente ti ho incollato solo la parte relativa ai tunnel, per ogni dubbio chiedi pure.
Rizio
Si vis pacem para bellum
Rispondi