IPSEC l2l-qualche ideaaa

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
bike70
Cisco fan
Messaggi: 55
Iscritto il: sab 15 set , 2007 8:55 am

Ciao a tutti, mi sono imbattuto per diletto in una vpn gw-to gw un po' particolare fra due cisco 877.Allora router A ip fisso preso in bridge con un modem esterno sulla vlan10 che fa da natta una classe privata 192.168.2.0/24 verso il web.Perfetto funzionante , vi posto la configurazione spuriata di tutte le menate varie firewall etc etc...
router A
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key xxx address 80.xx.xx.34 no-xauth
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 80.xx.xx.34
set transform-set myset
match address 101
!
!
!
!
!
interface FastEthernet0
switchport access vlan 10
no cdp enable
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1 ======(è il def gateway della lan)
ip address 192.168.2.190 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan10 =====(è quella che prende in dhcp l'ip fisso dal modem esterno)
ip address dhcp
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
interface Dialer0
no ip address
no ip mroute-cache
no cdp enable
!
ip route 192.168.2.0 255.255.255.0 Vlan10
!
!
no ip http server
no ip http secure-server
ip nat inside source list 102 interface Vlan10 overload
!
access-list 101 permit ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any
: allora ovviamente , come si vede l'idea è quella di mettere in comunicazione le due lan private da dietro router A (192.168.2.0/24) a dietro router B (10.0.0.0/24)-
Il router B è una linea naked interbusiness con /29.Da un ip del pool e cioe' 80.xx.xx.34 sul quale è applicata la crypto map viene nattata con successo la classe 10.0.0.0/24.il pc attaccato allo switch funziona benissimo.vi allego la configurazione del router B

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key xxx address 80.yy.yy.101 no-xauth ===(l ip fisso dell'altro..)
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 80.yy.yy.101
set transform-set myset
match address 104
!
!
!
!
interface ATM0
no ip address
logging event subif-link-status
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 80.kk.kk.210 255.255.255.252
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
protocol ip 80.kk.kk.211 broadcast
ubr 564
oam-pvc manage
encapsulation aal5snap
!
!
interface FastEthernet0
switchport access vlan 10
!
interface FastEthernet1=====(qui sta la lan 10.0.0.0/24)
switchport access vlan 20
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
no ip address
!
interface Vlan10
ip address 80.xx.xx.34 255.255.255.248
crypto map myvpn
hold-queue 100 out
!
interface Vlan20
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
no ip http server
no ip http secure-server
ip nat pool IBS 80.xx.xx.34 80.xx.xx.34 netmask 255.255.255.248
ip nat inside source list 105 pool IBS overload
!
access-list 104 permit ip 10.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 deny ip 10.0.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 permit ip 10.0.0.0 0.0.0.255 any
!

....ovviamente come già accennato la connettività dalla lan è perfetta.il tunnel viene creato ci sono le 2 sas inbound e outbound corrette ma il ping non passa.
Ovviamente ho provato sia il ping da client della lan che da gateway con la giusta source, ma nulla .Se da router A pingo interfaccia interna router B "sh crypto ipsec sa" mi mostra un incremento dei pacchetti "incapsulati e decapsulati" viceversa nulla.
i vari sh crypto etc etc non mostrano nulla di anomalo , avrei pensato all' mtu, ma bohh, vorrei un parere anche vostro.
ora scatenatevi pure.... :D
bike70
Cisco fan
Messaggi: 55
Iscritto il: sab 15 set , 2007 8:55 am

Bene per me, ma non per questo forum...peccato... nessuna idea da parte dei pochi che hanno visto il post , evidentemente mancanza di tempo di quelli veramente capaci....e comunque volevo postarvi la soluzione che ho trovato :
suo router B mi è bastato aggiungere "ip route 192.168.2.0 255.255.255.0 Vlan10" e tutto si è messo a funzionare a meraviglia.
Spero di aver dato un piccolo contributo a tutti quelli che hanno letto e che leggeranno, sperando che questo bel forum non debba sparire per mancanza di idee e utenti attivi..
Rispondi