far accedere alla rete aziendale su 1721

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
dani1960
n00b
Messaggi: 6
Iscritto il: gio 14 mag , 2009 8:16 am

ciao , vorrei configurare il mio 1721 dell'ufficio (shdsl con ip statico lan /29 e ptp /30) in modo che possa accedere da casa con il portatile (vpn client Cisco e chiavetta internet) alla rete lan .
Ho solo conoscenze di base (nat statico, pat , port-forwarding , tunnel gre site-to-site , qualche access-list) e vorrei partire da una configurazione semplice e funzionante.
Grazie.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Con il client Cisco non ho niente di pronto, ma se vuoi ho qualcosa con il PPTP.

Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dani1960
n00b
Messaggi: 6
Iscritto il: gio 14 mag , 2009 8:16 am

paolomat75 ha scritto:Con il client Cisco non ho niente di pronto, ma se vuoi ho qualcosa con il PPTP.

Ciao
Paolo
ok ...va bene comunque per iniziare.
grazie.
ciao.
Daniele
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Codice: Seleziona tutto

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool VPNIN 192.168.2.200 192.168.2.240
interface virtual-template 1
encapsulation ppp
peer default ip address pool VPNIN
ip unnumbered S0
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
Naturalmente questa è una base da cui partire.

Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
dani1960
n00b
Messaggi: 6
Iscritto il: gio 14 mag , 2009 8:16 am

si connette ma non pingo il pc acceso dell'ufficio (dal router lo pingo)...devo aggiungere un acl ?
dani1960
n00b
Messaggi: 6
Iscritto il: gio 14 mag , 2009 8:16 am

ho risolto...la serial era 0.1 e non 0.
ho notato pero' che non mi fa navigare ...e poi leggevo che il vpn client Cisco e' piu' sicuro
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Beh si ti ho detto che bisognava adattarla alle tue esigenze/configurazione.
Si il client Cisco è più sicuro. Però su 1721 funziona solo con alcuni IOS. Cosa hai installato?
Per la navigazione ti consiglio di dire nella conessione VPN di non usare il gateway del router ma della tua connessione. Se invece vuoi far passare tutto nella VPN devi includere l'interfaccia nel NAT e vedere le ACL.

Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
dani1960
n00b
Messaggi: 6
Iscritto il: gio 14 mag , 2009 8:16 am

paolomat75 ha scritto:Beh si ti ho detto che bisognava adattarla alle tue esigenze/configurazione.
Si il client Cisco è più sicuro. Però su 1721 funziona solo con alcuni IOS. Cosa hai installato?
Per la navigazione ti consiglio di dire nella conessione VPN di non usare il gateway del router ma della tua connessione. Se invece vuoi far passare tutto nella VPN devi includere l'interfaccia nel NAT e vedere le ACL.

Ciao

C1700-ADVSECURITYK9-M

potrei recuperare anche un altro router Cisco

ciao
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Prova quella, se poi vuoi proprio il client Cisco penso che trovi con google delle conf.
Se no chiedi, che con un po di tempo, la tiro giù da i libri Cisco che ho.

P.S. Avevo provato sul mio 1721 a metterla un po di tempo fa ma non mi sopportava i comandi

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dani1960
n00b
Messaggi: 6
Iscritto il: gio 14 mag , 2009 8:16 am

paolomat75 ha scritto:Prova quella, se poi vuoi proprio il client Cisco penso che trovi con google delle conf.
Se no chiedi, che con un po di tempo, la tiro giù da i libri Cisco che ho.

P.S. Avevo provato sul mio 1721 a metterla un po di tempo fa ma non mi sopportava i comandi

Paolo
beh ...i comandi a me credo che li accetti...ho provato cosi pero' non va

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 30

crypto isakmp client configuration group remote-users
key prova
pool remote-pool

crypto ipsec security-association idle-time 3600
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac

crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET

crypto map remotemap client authentication list remote-users
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 10 ipsec-isakmp dynamic remote-dyn

!
interface FastEthernet0
ip address 192.168.254.1 255.255.255.0 secondary
ip address aa.bb.cc.dd 255.255.255.248
ip nat inside
ip virtual-reassembly
speed auto

!
interface Serial0
no ip address
encapsulation frame-relay IETF
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
no fair-queue

!
interface Serial0.1 point-to-point
ip address xx.yy.zz.ww 255.255.255.252
ip nat outside
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
no cdp enable
frame-relay interface-dlci 338 IETF
crypto map remotemap


ip local pool remote-pool 192.168.254.211 192.168.254.220

Daniele
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Se non mi ricordo male quella che usavo io era diversa.
Domani sera controllo e ti faccio sapere.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi