Non riesco ad aprire il desktop remoto da VPN Client

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
alessio_frizzi
n00b
Messaggi: 7
Iscritto il: gio 28 apr , 2011 3:25 pm

Buongiorno e ciao a tutti.
ho un problema piuttosto strano, ho vagato su internet ma pare che non ci sia alcun topic su questa problematica.
Ho un router Cisco 877 configurato per varie funzionalità, tra cui ddns, VPN, Firewall, accensione remota di un server e varie altre cose per ottimizzare un po' la sicurezza dato che ero vittima spesso di attacchi in brute force.
Il problema è questo, quando utilizzo il VPN client per connettermi alla LAN riesco a fare tutto, accedo alla posta, ai vari server, trasferisco dati, tutto insomma. L'unica cosa che non funziona è il Desktop remoto, cosa che invece sarebbe comoda per l'assistenza da casa agli utenti. Riesco però ad aprire il desktop remoto via WAN girando la porta 3389 verso l'indirizzo che via via mi serve, ma è piuttosto noioso, ogni volta devo collegarmi al router, girare la porta 3389 verso l'indirizzo della LAN che intendo raggiungere e a quel punto entro tramite l'IP Pubblico.
C'è qualcuno che ha un'idea..?

Grazie tante e buon lavoro a tutti.

di seguito la configurazione

version 12.4
service nagle
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service pt-vty-logging
!
hostname Router-Aler-srl
!
boot-start-marker
boot system flash flash:c870-advipservicesk9-mz.124-6.T7.bin
boot system rom
boot-end-marker
!
logging buffered 32768 debugging
enable secret 5 $1$sXQC$RgF8gh6781nwepsMUIPxpl/
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login xxxxxxxxx local
aaa authorization exec default local
aaa authorization network xxxxxxxxx local
!
aaa session-id common
!
resource policy
!
clock timezone GMT+1 1
clock summer-time summertime recurring last Sun Mar 3:00 last Sun Oct 3:00
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.10.1 192.168.10.99
ip dhcp excluded-address 10.0.0.1 10.0.0.4
!
ip dhcp pool DHCP
import all
network 192.168.10.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.10.1
domain-name Cisco877DHCP
lease 0 0 15
!
ip dhcp pool DHCP-WIFI
import all
network 10.0.0.0 255.255.255.0
dns-server 8.8.8.8
default-router 10.0.0.1
domain-name Cisco877DHCP-WiFi
lease 0 0 15
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
no ip bootp server
ip domain name Cisco877.Aler.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip ssh time-out 60
ip ssh source-interface ATM0
ip ssh version 2
ip inspect log drop-pkt
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall rtsp
ip inspect name firewall h323
ip inspect name firewall ftp
ip inspect name firewall sqlnet
ip inspect name Firewall cuseeme
ip inspect name Firewall dns
ip inspect name Firewall ftp
ip inspect name Firewall h323
ip inspect name Firewall https
ip inspect name Firewall imap
ip inspect name Firewall pop3
ip inspect name Firewall rcmd
ip inspect name Firewall realaudio
ip inspect name Firewall rtsp
ip inspect name Firewall esmtp
ip inspect name Firewall sqlnet
ip inspect name Firewall streamworks
ip inspect name Firewall tftp
ip inspect name Firewall tcp
ip inspect name Firewall vdolive
ip inspect name Firewall udp
ip inspect name Firewall icmp
ip ddns update method No-IPDynDns
HTTP
add http://dynupdate.no-ip.com/dns?username ... xxxxxx.org
interval maximum 0 4 0 0
!
login block-for 6000 attempts 2 within 120
login quiet-mode access-class PERMIT_INTERNAL_LOGIN
login on-failure log
login on-success log
!
!
crypto pki trustpoint aler
enrollment selfsigned
subject-name CN=cn=IOS-Self-Signed-Certificate-1286547895
revocation-check none
rsakeypair aler
!
!
crypto pki certificate chain aler
certificate self-signed 01
3082022F 308201D9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
61313230 30060355 04031329 636E3D49 4F532D53 656C662D 5369676E 65642D43
65727469 66696361 74652D31 32383635 34373839 35312B30 2906092A 864886F7
0D010902 161C4167 65536F66 6669616E 6F2E616C 69636562 7573696E 6573732E
6974301E 170D3131 30343230 31303430 33325A17 0D323030 31303130 30303030
305A3061 31323030 06035504 03132963 6E3D494F 532D5365 6C662D53 69676E65
642D4365 72746966 69636174 652D3132 38363534 37383935 312B3029 06092A86
4886F70D 01090216 1C416765 536F6666 69616E6F 2E616C69 63656275 73696E65
73732E69 74305C30 0D06092A 864886F7 0D010101 0500034B 00304802 4100BBBC
17AB6222 EAC5894C C3B249A3 766341D4 25F4B80B B7FA8E42 8B1C0DC7 758DAE92
A4F3BDE6 680E4DA7 3FCD909A 4DB92F46 B0554FB7 A733BB8B 70C1A904 38E90203
010001A3 7C307A30 0F060355 1D130101 FF040530 030101FF 30270603 551D1104
20301E82 1C416765 536F6666 69616E6F 2E616C69 63656275 73696E65 73732E69
74301F06 03551D23 04183016 80146A1E E2912AE8 86778ADC 7B9F6CE3 A6F44D2E
D84B301D 0603551D 0E041604 146A1EE2 912AE886 778ADC7B 9F6CE3A6 F44D2ED8
4B300D06 092A8648 86F70D01 01040500 03410089 336DAD89 CA7BE32E C8C01650
D4A2CE4F C8A33272 0352AB90 BBD8C314 B6681CED 34E1C153 1EB59802 F83B923A
371232DA ED165794 FD83AD33 1C407B31 5009A7
quit
username root privilege 7 password 7 115E491514997831B3B2B2D27
archive
log config
hidekeys
!
!
crypto logging session
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group Vpnxxxxxxxxx
key xxxxxxxxx
pool vpnpool
acl 101
include-local-lan
max-logins 1
netmask 255.255.255.0
!
!
crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac
!
crypto dynamic-map alermap 1
set transform-set esp-3des-sha
reverse-route
!
!
crypto map ccasamap client authentication list xxxxxxxxx
crypto map ccasamap isakmp authorization list xxxxxxxxx
crypto map ccasamap client configuration address respond
crypto map ccasamap 65535 ipsec-isakmp dynamic alermap
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode adsl2+
!
interface FastEthernet0
spanning-tree portfast
!
interface FastEthernet1
spanning-tree portfast
!
interface FastEthernet2
shutdown
spanning-tree portfast
!
interface FastEthernet3
switchport access vlan 2
spanning-tree portfast
!
interface Vlan1
ip address 192.168.10.1 255.255.255.0
ip directed-broadcast
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1444
!
interface Vlan2
ip address 10.0.0.1 255.255.255.0
ip directed-broadcast
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1444
!
interface Dialer0
description Alice Adsl
ip ddns update hostname xxxxxxxxx.org
ip ddns update No-IPDynDns
ip address negotiated
ip access-group antispoofing-acl in
ip mtu 1492
ip nat outside
ip inspect firewall in
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp chap hostname [email protected]
ppp chap password 7 014458756425181E4D480A
ppp pap sent-username [email protected] password 7 08761C5EAFEE56772D0A0A07
crypto map ccasamap
!
ip local pool vpnpool 192.168.10.20
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 150 interface Dialer0 overload
ip nat inside source static udp 192.168.10.50 65535 interface Dialer0 710
ip nat inside source static udp 192.168.10.136 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.10.136 3389 interface Dialer0 3389
ip nat inside source static udp 192.168.10.255 9 interface Dialer0 9
!
ip access-list extended PERMIT_INTERNAL_LOGIN
permit ip 10.0.0.0 0.0.0.255 any
permit ip 192.168.10.0 0.0.0.255 any
ip access-list extended antispoofing-acl
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
permit ip any any
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 150 deny ip 192.168.10.0 0.0.0.255 host 192.168.10.20
access-list 150 permit ip 192.168.10.0 0.0.0.255 any
access-list 150 permit ip 10.0.0.0 0.0.0.255 any
no cdp run
arp 192.168.10.50 000b.836d.a814 ARPA
!
!
!
!
control-plane
!
banner motd ^CCCCCC
**************************************************
* ALER SRL *
* Wired Lan 192.168.10.0/24 *
* Wireless Lan 10.0.0.0/24 *
* Special Features VPN DDNS Firewall *
* Locazione: Ced A Armadio: 2B *
* Router: Cisco mod.877 sn.FCZ120892KG *
* IpAddr. 192.168.10.1 - 10.0.0.1 *
* Ogni accesso NON autorizzato sara' *
* perseguito legalmente *
**************************************************^C
!
line con 0
no modem enable
line aux 0
access-class PERMIT_INTERNAL_LOGIN in
no exec
line vty 0 1
password 7 110A0B1C140012
transport input ssh
line vty 2 4
access-class PERMIT_INTERNAL_LOGIN in
password 7 094F5C101A170E
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
alessio_frizzi
n00b
Messaggi: 7
Iscritto il: gio 28 apr , 2011 3:25 pm

RISOLTO: Il problema è il NAT.
il comando seguente causa i problemi:
ip nat inside source static tcp 192.168.10.50 3389 interface Dialer0 3389
il router presuppone che il server 192.168.10.136 debba essere raggiunto attraverso l'IP del dialer0 e droppa i pacchetti in ingresso sul tunnel vpn provenienti dall'indirizzo LAN 192.168.10.20 (VPN Client)
Ho trovato un paio di modi per risolvere il problema.

1) La più semplice. Consentire l'accesso in desktop remoto solo tramite VPN. Per questo è sufficiente eliminare il NAT translation di cui sopra, ma non volevo risolvere così, anche perchè non sempre potrei avere con me il pc con il vpn client e potrei dovermi collegare ad esempio dal cellulare o da un pc qualunque.

2) La soluzione che ho scelto è assegnare un IP secondario al server. L'IP originale configurato nel NAT-translation viene utilizzato per accedere senza la VPN via wan, il secondo IP viene utilizzato per accedere ai client tramite VPN.

Se poi qualcuno ha una soluzione migliore o consigli sono ben accetti.
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

route map in cui metti in deny gli ip rilasciati ai vpn client.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
killerstyle
n00b
Messaggi: 14
Iscritto il: ven 03 dic , 2010 8:02 pm

zot ha scritto:route map in cui metti in deny gli ip rilasciati ai vpn client.

scusa se riprendo una discussione vecchia ma ho lo stesso problema e ho una router map ma continua a funzionare il desktop remoto solo tramite vpn attiva.

La mia route map è:

ip nat inside source route-map VPN interface Dialer1 overload


route-map VPN permit 1
match ip address 100


access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 permit ip any any


Dove
192.168.0.0 <---- Lan interna
192.168.4.0 <---- Lan VPN



Grazie mille
killerstyle
n00b
Messaggi: 14
Iscritto il: ven 03 dic , 2010 8:02 pm

Nessun aiutino :-(
Rispondi