HDSL 4Mb con VPN
Moderatore: Federico.Lagni
-
- n00b
- Messaggi: 7
- Iscritto il: gio 19 lug , 2012 11:23 am
Salve a tutti, ho configurato un CISCO 2811 con 2 seriali collegate ad un' HDSL (F6 NGI) affasciata a 4 Mb, con un'interfaccia virtual-template che accorpa le 2 seriali. La connessione funziona perfettamente, ma l'interfaccia virtual-template continua a risultare down, il che impedisce l'attivazione della vpn che dovrei rendere operativa sulla linea in questione. Qualcuno saprebbe dirmi come risolvere il problema?! Grazie.
-
- n00b
- Messaggi: 7
- Iscritto il: gio 19 lug , 2012 11:23 am
Sono affasciate dal provider e sul router, il problema è l'interfaccia virtual-template che mi sà dovrei cambiare in una dialer, poichè la virtual-template è un'interfaccia down/down e quindi la vpn con crypto-map associata a questa interfaccia, non và mai up.
Grazie per l'aiuto!
Grazie per l'aiuto!
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao,
non capisco perché hai usato una virtual-template su una HDSL affasciata in IMA (suppongo).
Basterebbe lavorare sull'interfaccia IMA (Es. interface ATM0/IMA1.1 point-to-point).
Paolo
non capisco perché hai usato una virtual-template su una HDSL affasciata in IMA (suppongo).
Basterebbe lavorare sull'interfaccia IMA (Es. interface ATM0/IMA1.1 point-to-point).
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Giusto, l'avevi anche scritto. Non ho mai visto una linea del genere.b4y ha scritto:Non è IMA sono 2 seriali associate alla virtual-template
Che tipo di VPN vuoi instaurare? La VPDN usa proprio le virtual template.
Spero di esserti stato d'aiuto.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 7
- Iscritto il: gio 19 lug , 2012 11:23 am
Devo configurare una VPN site to site di backup, ma l'uso della virtual template non me lo permette, inoltre ho provato con l'utilizzo di una dialer interface, ma non si può associare alla point to point subif che deve supportare incapsulamento ppp su frame-relay (RFC1973) e lo fa solo con virtual template int. La connessione è un F6 NGI 4Mb. Spero mi possiate dare un consiglio perchè sono in stallo
Grazie, per l'aiuto
Grazie, per l'aiuto
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
La site to site puoi farla con DMVPN. Se no classica puoi farla sull'interfaccia fastethernet con IP pubblico che penso ti abbiano fornito.
Se anche questo non basta, posta uno stralcio di configurazione che provo a simularlo .
Paolo
Se anche questo non basta, posta uno stralcio di configurazione che provo a simularlo .
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 7
- Iscritto il: gio 19 lug , 2012 11:23 am
Grazie, per l'aiuto, ma il problema è che la fastethernet deve avere ip RFC1918, mentre la loopback ha ip pubblico, di seguito ti posto uno stralcio della cfg:
!version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname ...............
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging buffered 51200
logging console critical
enable secret 5 ...............................................
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
!
!
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
ip name-server 88.149.128.12
ip name-server 88.149.128.22
!
!
!
crypto pki trustpoint TP-self-signed-4271335726
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4271335726
revocation-check none
rsakeypair TP-self-signed-4271335726
!
!
crypto pki certificate chain TP-self-signed-4271335726
certificate self-signed 01
.................................................
!
!
username ................ privilege 15 secret 5 ........................................
!
redundancy
!
!
ip tcp synwait-time 10
!
!
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key ...................... address ........................
crypto isakmp keepalive 10 5 periodic
!
!
crypto ipsec transform-set uk esp-3des esp-md5-hmac
!
crypto map uk 1 ipsec-isakmp
set peer .................
set transform-set uk
set pfs group2
match address 109
!
interface Loopback0
ip address ............. 255.255.255.248
!
!
interface FastEthernet0/0
ip address 192.168.11.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
!
interface Serial0/1/0
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no fair-queue
frame-relay lmi-type cisco
!
!
interface Serial0/1/0.20 point-to-point
frame-relay interface-dlci 20 ppp Virtual-Template10
!
interface Serial0/1/1
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no fair-queue
frame-relay lmi-type cisco
!
!
interface Serial0/1/1.20 point-to-point
frame-relay interface-dlci 20 ppp Virtual-Template10
!
!
interface Virtual-Template10
bandwidth 4096
ip address negotiated
ppp chap hostname .......................
ppp chap password 7 .........................
ppp pap sent-username .............. password 7 .................
crypto map uk
!
!
ip forward-protocol nd
!
ip flow-top-talkers
top 20
sort-by bytes
!
ip http server
ip http authentication local
ip http secure-server
ip route 0.0.0.0 0.0.0.0 ...............
!
access-list 109 remark SDM_ACL Category=4
access-list 109 permit ip 192.168.11.0 0.0.0.255 192.168.100.0 0.0.3.255
!
!
!
!
!
control-plane
!
!
!
line con 0
password 7 ........................
line aux 0
line vty 0 4
privilege level 15
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
end
!version 15.0
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname ...............
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging buffered 51200
logging console critical
enable secret 5 ...............................................
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
!
!
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
ip name-server 88.149.128.12
ip name-server 88.149.128.22
!
!
!
crypto pki trustpoint TP-self-signed-4271335726
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4271335726
revocation-check none
rsakeypair TP-self-signed-4271335726
!
!
crypto pki certificate chain TP-self-signed-4271335726
certificate self-signed 01
.................................................
!
!
username ................ privilege 15 secret 5 ........................................
!
redundancy
!
!
ip tcp synwait-time 10
!
!
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key ...................... address ........................
crypto isakmp keepalive 10 5 periodic
!
!
crypto ipsec transform-set uk esp-3des esp-md5-hmac
!
crypto map uk 1 ipsec-isakmp
set peer .................
set transform-set uk
set pfs group2
match address 109
!
interface Loopback0
ip address ............. 255.255.255.248
!
!
interface FastEthernet0/0
ip address 192.168.11.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
!
interface Serial0/1/0
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no fair-queue
frame-relay lmi-type cisco
!
!
interface Serial0/1/0.20 point-to-point
frame-relay interface-dlci 20 ppp Virtual-Template10
!
interface Serial0/1/1
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no fair-queue
frame-relay lmi-type cisco
!
!
interface Serial0/1/1.20 point-to-point
frame-relay interface-dlci 20 ppp Virtual-Template10
!
!
interface Virtual-Template10
bandwidth 4096
ip address negotiated
ppp chap hostname .......................
ppp chap password 7 .........................
ppp pap sent-username .............. password 7 .................
crypto map uk
!
!
ip forward-protocol nd
!
ip flow-top-talkers
top 20
sort-by bytes
!
ip http server
ip http authentication local
ip http secure-server
ip route 0.0.0.0 0.0.0.0 ...............
!
access-list 109 remark SDM_ACL Category=4
access-list 109 permit ip 192.168.11.0 0.0.0.255 192.168.100.0 0.0.3.255
!
!
!
!
!
control-plane
!
!
!
line con 0
password 7 ........................
line aux 0
line vty 0 4
privilege level 15
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
end
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Stasera sono stanco,
ma domani provo a simulare diverse soluzione che secondo me funzionano.
Se sabato non ti ho risposto sollecitami che mi scordo .
Buona notte
ma domani provo a simulare diverse soluzione che secondo me funzionano.
Se sabato non ti ho risposto sollecitami che mi scordo .
Buona notte
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 7
- Iscritto il: gio 19 lug , 2012 11:23 am
Ok, grazie per l'aiuto! Intanto stò facendo un pò di simulazioni anch'io, dopo aver messo su un lab che riproduce l'infrastruttura di rete in quetione, con i vari router ed ASA coinvolti dalle varie VPN. Ti faccio sapere il risultato, in attesa delle tue prove.
Byezz
Byezz
-
- n00b
- Messaggi: 7
- Iscritto il: gio 19 lug , 2012 11:23 am
Con la crypto map applicata alla loopback ed una route-map applicata alla f0/0, nell'ambiente di test sembra fuznionare, faccio qualche prova sui dispositivi in produzione ti faccio sapere. In ogni caso, mi farebbe piacere sapere il risultato dei tuoi test.
Grazie.
Byezz
Grazie.
Byezz
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ok
Ciao
Ciao
Non cade foglia che l'inconscio non voglia (S.B.)