Problema VPN non pingo la rete remota L2tp

[dundi]

Salve a tutti, sono nuovo ho un problema penso abbastanza semplice per i più, premetto che sono alle prime armi e devo ancora imapare mooolto.
Ho configurato un cisco 837 per il servizio vpn con il protocollo l2tp, con il client Windows xp mi connetto tranquillamente ma non riesco a pingare gli hosts sulla rete remota (192.168.0.0/24), grazie in anticipo.
La conf:

version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
!
logging rate-limit console 10
!
username XXXXXX password 7 XXXXXXXXX
aaa new-model
!
!
aaa authentication login vty-login local
aaa authentication ppp default local
aaa authorization exec default local
aaa session-id common
ip subnet-zero
no ip source-route
no ip dhcp use class
!
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
no ftp-server write-enable
!
!
!
!
!
!
!
interface Loopback0
ip address 192.168.200.1 255.255.255.0
!
interface Tunnel0
no ip address
shutdown
!
interface Ethernet0
ip address 192.168.0.249 255.255.255.0 secondary
ip address 111.111.111.111 255.255.255.248 (ASSEGNATO)
ip nat inside
no ip route-cache
no ip mroute-cache
hold-queue 100 out
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address pool vpn
ppp encrypt mppe auto passive
ppp authentication ms-chap ms-chap-v2
!
interface ATM0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
bandwidth 640
ip unnumbered Ethernet0
ip nat outside
pvc 8/35
encapsulation aal5snap
!
[OMITTED]

!
ip local pool vpn 192.168.0.250 192.168.0.252
ip nat inside source list 10 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
access-list 10 permit 192.168.0.0 0.0.0.255

[OMITTED]

scheduler max-task-time 5000
!
end

[Wizard]

Manca il DE-NAT

[dundi]

Manca il DE-NAT

Grazie per la cortese risposta...
Oddio il de-nat? Mi concentro... faccio un giro su google... de-nat...
Come faccio a capire...
Mi potresti aiutare magari con un'esempio, te ne sarei molto grato...
Dundi.

[dundi]

Questo forums non sò se si rivolge ad utenti da CCNP in sù oppure anche a tutti quelli che tentano di capirci qualcosa...
Brrr che freddo gelido in questo forum... toc toc c'è nessuno...

[Wizard]

Allora, intanto devi rifare la ACL del NAT con una estesa quindi:

no access-list 10 permit 192.168.0.0 0.0.0.255

Poi fai la acl per gestire il NAT e il DE NAT

access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.0.250 0.0.0.3
access-list 101 permit ip 192.168.0.0 0.0.0.255 any

[Wizard]

Mi sa che manca anche la rotta per il pool di IP della VPN:

ip route 192.168.0.250 255.255.255.252 atm0.1


Poi, sempre per il NAT fai anche questa modifica:

no ip nat inside source list 10 interface ATM0.1 overload
ip nat inside source list 101 interface ATM0.1 overload

[dundi]

Ciao Wizard, ho provato a mettere quello che mi hai suggerito ma continua a non andare..
Ho delle info maggiori rispetto all'ultimo mio post, la rete a cui dovrei collegarmi è nattata attraverso un server (endianFirewall) con due schede di rete una con ip pubblico e l'altra con l'ip della Lan a cui mi dovrei collegare 192.168.0.0/24.
Grazie.

[Wizard]

fai questa prova: pinga un pc dalla altra parte della VPN poi fai uno sh access-l e vedi se le regole di de-nat e la crypto acl matchano

[dundi]

Ciao Wizard, situazione, dal router pingo solo il server (Endian Firewall) che fà da nat a tutta la rete 192.168.0.0/24 e se faccio un show access-list:
Extended IP access list 101
10 deny ip 192.168.0.0 0.0.0.255 192.168.0.248 0.0.0.3 (14 matches)
20 permit ip 192.168.0.0 0.0.0.255 any (52 matches)

Show ip route:
SUBNET UBBLICA is subnetted, 1 subnets
C IP PUBBLICO is directly connected, Ethernet0
C 192.168.200.0/24 is directly connected, Loopback0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, Ethernet0
C 192.168.0.250/32 is directly connected, Virtual-Access3
S* 0.0.0.0/0 is directly connected, ATM0.1

Che mi consigli?

[Wizard]

Se arrivi al server che fa da firewall (puntando al suo ip interno) secondo me la vpn funziona correttamente. A questo punto probabilmente occorre creare delle regole sul server che fa da firewall per permettere la VPN L2L.
Immagino che occorreranno delle rotte e delle ACL ma purtroppo non conosco Endian Firewall

[Wizard]

Se proprio non ci salti fuori non puoi pubblicare l' Endian Firewall e fare la VPN tra il Cisco e quello?

[dundi]

Se arrivi al server che fa da firewall (puntando al suo ip interno) secondo me la vpn funziona correttamente. A questo punto probabilmente occorre creare delle regole sul server che fa da firewall per permettere la VPN L2L.
Immagino che occorreranno delle rotte e delle ACL ma purtroppo non conosco Endian Firewall

Il problema è che pingo il server Firewall solo all'inerno del router che dovrebbe accettare la vpn verso la "propria" lan, mentre se entro in vpn con un client mi assegna l'ip e pingo solo l'ip che mi viene assegnato, non pingo nemmeno la lan del router 192.168.0.249.


TOPOLOGIA:

<--internet--router--firewall(nat)-- lan All warkstations--

Router: wan ip in eth0 899.899.899.896 255.255.255.248
Router: lan ip in et0 192.168.0.249 255.255.255.248 secondary

Firewall wan ip eth0 899.899.899.897 255.255.255.248
Firewall lan ip eth1 192.168.0.254 255.255.255.0

NOn riesco a capire...

[Wizard]

1) Posta la attuale configurazione
2) Configurare una bella VPN Client IPSec per il Cisco VPN Client no?!

[dundi]

1) Posta la attuale configurazione
2) Configurare una bella VPN Client IPSec per il Cisco VPN Client no?!

Per la tua proposta numero 2 mi piacerebbe fare un ipsec e che non l'ho mai fatto.
Posto la conf:
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Template
!
logging rate-limit console 10
aaa new-model
!
!
aaa authentication login vty-login local
aaa authentication ppp default local
aaa authorization exec default local
aaa session-id common
ip subnet-zero
no ip source-route
ip domain name interbusiness.it
ip name-server 151.99.0.100
ip name-server 151.99.125.1
!
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
interface Loopback0
ip address 192.168.200.1 255.255.255.0
!
interface Ethernet0
ip address 192.168.0.249 255.255.255.0 secondary
ip address 899.899.899.899 255.255.255.248
ip access-group 101 in
ip nat inside
no ip route-cache
no ip mroute-cache
hold-queue 100 out
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address pool vpn
ppp encrypt mppe auto passive
ppp authentication ms-chap ms-chap-v2
!
interface ATM0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
bandwidth 640
ip unnumbered Ethernet0
ip nat outside
pvc 8/35
encapsulation aal5snap
!
ip local pool vpn 192.168.0.250 192.168.0.252
ip nat inside source list 101 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.0.0 255.255.255.0 ATM0.1
no ip http server
no ip http secure-server
!
access-list 30 permit ip.ip.ip.ip
access-list 30 permit ip.ip.ip.ip
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.0.248 0.0.0.3
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
scheduler max-task-time 5000
!
end

[Wizard]

Preziosissimo schema per la confiugurazione di una vpn client ip sec cisco:

crypto isamp enable

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp client configuration group remote-vpn
key mt%aidv^^doigtle009isooXDbreone
pool remote-pool
acl 151

crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac

crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET

crypto map remotemap local-address loopback0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 10 ipsec-isakmp dynamic remote-dyn

interface atm0.1
crypto map remotemap

ip local pool remote-pool 192.168.0.200 192.168.0.203

ip route 192.168.0.200 255.255.255.252 atm0.1

username remoto01 password ***
username remoto02 password ***
username remoto03 password ***
username remoto04 password ***
username remoto05 password ***

no access-list 151
access-list 151 rem *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 151 remark *************************************************************
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 151 remark *************************************************************

no access-list 101
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 101 permit ip 192.168.0.0 0.0.0.255 any