Salve ho configurato un gre tunnel tra 2 router (un 1920 e un 887VA).
i pc escono su internet da ambo i lati, riesco a pingare sia l'indirizzo pubblico che quello privato dei router. ma non i pc connessi
queste sono le configurazioni
1920:
GRE Tunnel - Non visualizzo PC e Periferihe connessi
Moderatore: Federico.Lagni
-
- n00b
- Messaggi: 8
- Iscritto il: ven 04 ott , 2013 11:29 am
Ultima modifica di LuigiMassari il ven 18 ott , 2013 3:20 pm, modificato 1 volta in totale.
-
- n00b
- Messaggi: 8
- Iscritto il: ven 04 ott , 2013 11:29 am
Aggiungo:
Dal terminale sul router non riesco a pingare il mio pc.
Grazie
Dal terminale sul router non riesco a pingare il mio pc.
Grazie
-
- n00b
- Messaggi: 8
- Iscritto il: ven 04 ott , 2013 11:29 am
Buona sera a tutti. Ho percaso sbagliato qualcosa nel mio POST?
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
No, niente di sbagliato perchè? Se dici così perchè non ti ha risposto nessuno è probabilmente perchè nessuno aveva suggerimenti validi da darti.
Anch'io l'unico suggerimento che mi viene da darti è quello di pulire il primo post che hai fatto dai dati "privati" tipo IP e passgour che hai lasciato: praticamente hai dato in pasto la configurazione dei tuoi router di frontend con tanto di password su internet. Ci sono bot programmati apposta per scandagliare forum e usenet che cercano coppie di ip password nelle conf...è un pò pericoloso (tralasciando che anche i nomi dei router parlano tanto nella tua conf).
Arrivando al problema in oggetto l'unica cosa che vedo io è un pò di confusione sulla vlan 1 del secondo router ma non mi sembra nient'altro. Potresti provare ad attivare il proxy arp sull'interfaccia interna, non sò. Però sarebbe una prova molto empirica, non ho strumenti per avvallarla e non sono nemmeno sicuro che approti più benefici che danni.
In ultimo di allego parte della conf di un tunnel che ti permette di crittare i dati in transito, cosa che nei tuoi non ho visto fare, magari è un pò più sicuro (valuta solo se l'ios che hai ti permette di farlo o meno):
Con i ritocchi e le modifiche del caso questa conf ti permette di crittare i dati in transito e di creare un tunnel "autenticato" end to end.
Rizio
Anch'io l'unico suggerimento che mi viene da darti è quello di pulire il primo post che hai fatto dai dati "privati" tipo IP e passgour che hai lasciato: praticamente hai dato in pasto la configurazione dei tuoi router di frontend con tanto di password su internet. Ci sono bot programmati apposta per scandagliare forum e usenet che cercano coppie di ip password nelle conf...è un pò pericoloso (tralasciando che anche i nomi dei router parlano tanto nella tua conf).
Arrivando al problema in oggetto l'unica cosa che vedo io è un pò di confusione sulla vlan 1 del secondo router ma non mi sembra nient'altro. Potresti provare ad attivare il proxy arp sull'interfaccia interna, non sò. Però sarebbe una prova molto empirica, non ho strumenti per avvallarla e non sono nemmeno sicuro che approti più benefici che danni.
In ultimo di allego parte della conf di un tunnel che ti permette di crittare i dati in transito, cosa che nei tuoi non ho visto fare, magari è un pò più sicuro (valuta solo se l'ios che hai ti permette di farlo o meno):
Codice: Seleziona tutto
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key tokenipsecotalia$07 address IP_PUBBLICO_SEDE_REMOTA no-xauth
!
!
crypto ipsec transform-set MYSET esp-aes esp-md5-hmac
!
crypto ipsec profile TUNNEL-PROFILE
set transform-set MYSET
!
interface Tunnel3
bandwidth 1024
ip address 192.168.255.1 255.255.255.252
ip mtu 1420
ip flow ingress
ip flow egress
ip virtual-reassembly
tunnel source Vlan201
tunnel destination IP_PUBBLICO_DESTINAZIONE
tunnel mode ipsec ipv4
tunnel protection ipsec profile TUNNEL-PROFILE
Rizio
Si vis pacem para bellum
-
- n00b
- Messaggi: 8
- Iscritto il: ven 04 ott , 2013 11:29 am
grazie mille... attualmente la piattaforma non è attiva, quando riuscirò a configurare tutto per bene e vedrò che funziona, allora cambierò le password (che adesso sono cisco cisco )e proteggerò il tunnel.