Testare VPN

[mgaggia]

Devo fare una vpn site-to-site con ipsec.
I router sono un 857W e un 837 (avrò sotto mano per test il 837 tra qualche giorno).
Visto che non l'ho mai fatto e non sono un gran esperto, probabilmente avrò un sacco di casini. Avrò sempre il dubbio: Il problema sarà sul 857W o sul 837? Ed ho gran paura di perdere solo un sacco di tempo e non riuscire a fare il lavoro.

Esiste da qualche parte un router di test sicuramente funzionante (meglio se è un 857W visto che le prove da casa le posso fare con un 837) in modo che riesca a fare prima la configurazione funzionante del 837 verso quello che di sicuro funziona e poi a quel punto dando per scantato che quella sul 837 è corretta lavorare solo sul 857W?

Altrimenti mi suggerireste cortesemente qualche modo di lavorare per fare il tutto incorrendo in meno problemi possibili? Se magari mi postate qualche link che dice come fare il tutto ancora meglio. So che sul sito cisco ci sono un sacco di esempi ma non riesco a trovare nulla... sono un po' testone...

Ultima domanda.... E' possibile fare questa vpn invece che tramite telnet e comandi, tramite l'interfaccia web? Magari me la cavo semplicemente.... Cosa ne dite?

Grazie Mauro

[mgaggia]

Se magari mi postate qualche link che dice come fare il tutto ancora meglio.

http://www.cisco.com/en/US/tech/tk583/t ... 49ef.shtml
http://www.ciscoforums.it/viewtopic.php?t=4089

Queste mi sembrano interessanti.

[Wizard]

Segui i post di questo forum, sulle vpn l2l ce ne sono un tot.
Comunque la configurazione della vpn su un router e sul altro (837 e 857) è identica, cambiano solo le regole perchè chiaramente sono ribaltate.

Script da completare x una vpn l2l ipsec:

Codice: Seleziona tutto

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key **** address ***** no-xauth

crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac

crypto map VPN local-address ****
crypto map VPN 10 ipsec-isakmp
 set peer ***
 set transform-set VPN-SET
 match address 151

interface ***
crypto map VPN 

no access-list 101 (acl del nat)
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny   ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 101 permit ip 192.168.21.0 0.0.0.255 any

access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 remark *************************************************************
access-list 151 permit   ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 151 remark *************************************************************

[mgaggia]

Segui i post di questo forum, sulle vpn l2l ce ne sono un tot.

OK cerco

Codice: Seleziona tutto

crypto isakmp key **** address ***** no-xauth

key *** quel *** posso sostituirlo con quello che voglio è la chiave di criptazione giusto?
nell'address ***** va messo l'ip pubblico dell'altro router giusto?

Codice: Seleziona tutto

crypto map VPN local-address ****

Qui va messo l'ip locale del router?

Codice: Seleziona tutto

set peer ***

Qui che indirizzo ip ci va? Quello pubblico dell'altro router giusto?

Codice: Seleziona tutto

interface ***

Qui ci va atm0.1 giusto?

Codice: Seleziona tutto

access-list 151 permit   ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255

Qui ci vanno le 2 classi locali di una rete e dell'ìaltra giusto?

Per ora 1000 grazie. Cerco delle conferme qui sul forum, ma se mi vuoi delucidare tu le mie 1000 domande...
1000 grazie.

[Wizard]

crypto isakmp key **** address ***** no-xauth

Nella key metti la Preshared-key
In address metti l'ip del peer remoto (ip pubblico firewall o router remoto)

crypto map VPN local-address ****

Metti la interfaccia dove dai l'ip pubblico che usi per la vpn (atm0.1, dialer0, looopback...)

set peer ***

Metti l'ip del peer remoto (ip pubblico firewall o router remoto)

interface ***

Metti ATM0.1 o dialer0 (di solito)

access-list 151 permit ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255

Crypto ACL, la prima rete è la tua la seconda è quella remota
[/quote]

[mgaggia]

..............

Sei stato più che gentilissimo. Non ci avrei mai sperato in una spiegazione tanto dettagliata.

Quando dici

Metti la interfaccia dove dai l'ip pubblico che usi per la vpn (atm0.1, dialer0, looopback...)

mi fai sorgere un dubbio. Per navigare uso un ip pubblico sull'atm0.1 posso mettere li anche la vpn oppure genera casini ed è meglio che lo metti da un'altra parte (tipo atm0.2) con un altro indirizzo pubblico? Forse ho detto una gran caxxata ma ripeto ci capisco pochetto....

Grazie per avermi dedicato il tuo tempo

Mauro

PS.: Quando ho fatto il tutto posto qui.

[Wizard]

La crypto map la devi mettere sulla atm0.1 altrimenti non va.

[mgaggia]

La crypto map la devi mettere sulla atm0.1 altrimenti non va.

Grazie ancora
Mauro

[mgaggia]

Ho aperto un nuovo topic con il titolo "Ho seguito tutte le indicazioni ma non funziona... " con questo stesso messaggio. Magari è meglio proseguire la per non fare troppa confusione.
Grazie

Ho messo in piedi il tutto ma non funziona... allego sotto la configurazione mi aiutate ancora un pochino? Dev'esserci qualche erroruccio....

Una delle 2 sedi ha le classi 192.168.0.x e 192.168.1.x. uella che deve vedere la vpn è solo la 192.168.0.x
L'altra sede ha la classe 192.168.2.x

Configurazione router 837 della sede con classe 192.168.2.x

Codice: Seleziona tutto

Current configuration : 2172 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
!
username nomeutente privilege 15 password 7 130B1E11040005
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
ip cef
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 0 password address ip_pubblico_router_remoto
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
 set peer ip_pubblico_router_remoto
 set transform-set VPN-SET
 match address 151
!
!
!
!
interface Ethernet0
 ip address 192.168.2.1 255.255.255.0
 ip access-group 105 in
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address ip_pubblico_mio_router 255.255.255.248
 ip nat outside
 pvc 8/35
  protocol ip ip_pubblico_mio_router_broadcast broadcast
  encapsulation aal5snap
 !
 crypto map VPN
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
ip nat inside source list 100 interface ATM0.1 overload
ip nat inside source static tcp 192.168.2.201 1723 ip_pubblico_mio_router 1723 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
ip http secure-server
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 105 remark
access-list 105 permit ip any any
access-list 105 remark
access-list 105 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 permit ip 192.168.2.0 0.0.0.255 any
access-list 106 deny   ip any any
access-list 151 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 120 0
 privilege level 15
 login local
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
!

La configurazione del router 857W della sede 192.168.0.x

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
crypto pki trustpoint TP-self-signed-2249262054
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2249262054
 revocation-check none
 rsakeypair TP-self-signed-2249262054
!
!
crypto pki certificate chain TP-self-signed-2249262054
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32323439 32363230 3534301E 170D3037 30313037 32303135
  31395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32343932
  36323035 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100DD71 9BF1CFE2 E2B07E1C 0DF724B1 2084E97D FEC94DDE 79914BA6 7A916248
  23E2AD93 1E470692 ECD32A54 D9B5C4C5 BC385CCB BB852D7C 96339D5D 33910613
  16B29507 C67F34CA 3A5D4005 43E202D0 4D741AE7 6FF65AE3 D83D2A6A 4E5A1726
  DD9BC042 03B737D2 D64E1A9E FC2F3449 C186A280 B919DA4A B2BF20AA 223E4341
  50590203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 2F35320E
  CF891002 759F5BBA 92AEAB2F DC282761 301D0603 551D0E04 1604142F 35320ECF
  89100275 9F5BBA92 AEAB2FDC 28276130 0D06092A 864886F7 0D010104 05000381
  81002549 BDE89C1F 0BD07CFD DAE6F876 E6B50AFD FFE80353 ACD96E2B A913864C
  568D5447 0846DD21 59A5696A 7943D18A E0BAA4F1 55AA357F A915C300 2F223B10
  8BCB0E8F AB2038DA 81FAAA9E C7D9A758 5AD4D155 3C55B675 531889CA 17B6B86F
  D8818DA6 BA20BA7D 9F7B300A 382F5F50 F7A8FDC2 DE4257B7 0DF90671 BB7DC258 830C
  quit
username utente privilege 15 password 7 082F454D061504
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key password address ip_pubblico_router_remoto
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
 set peer ip_pubblico_router_remoto
 set transform-set VPN-SET
 match address 151
!
!
!
interface ATM0
 no ip address
 ip virtual-reassembly
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.2 point-to-point
 description $ES_WAN$
 ip address ip_pubblico_mio_router 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35
  protocol ip ip_pubblico_mio_router_broadcast broadcast
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
 54.0
 station-role root
!
interface Vlan1
 ip address 192.168.0.1 255.255.254.0
 ip access-group 105 in
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 no ip address
!
ip route 0.0.0.0 0.0.0.0 ATM0.2
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 100 interface ATM0.2 overload
ip nat inside source static tcp 192.168.0.2 1723 ip_pubblico_mio_router 1723 extendable
ip nat inside source static tcp 192.168.0.3 80 ip_pubblico_mio_router_secondo 80 extendable
ip nat inside source static tcp 192.168.0.3 81 ip_pubblico_mio_router_secondo 81 extendable
ip nat inside source static tcp 192.168.0.3 1494 ip_pubblico_mio_router_secondo 1494 extendable
ip nat inside source static udp 192.168.0.3 1604 ip_pubblico_mio_router_secondo 1604 extendable
ip nat inside source static tcp 192.168.0.3 1723 ip_pubblico_mio_router_secondo 1723 extendable
ip nat inside source static tcp 192.168.0.3 2598 ip_pubblico_mio_router_secondo 2598 extendable
ip nat inside source static tcp 192.168.0.3 8080 ip_pubblico_mio_router_secondo 8080 extendable
!
access-list 100 remark SDM_ACL Category=18
access-list 100 permit ip 192.168.0.0 0.0.1.255 any
access-list 105 remark
access-list 105 permit ip any any
access-list 105 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 106 remark SDM_ACL Category=16
access-list 106 deny   ip any any
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000

Vi dico come ho testato io il tutto.
Dalla sede 192.168.2.x ho fatto il ping 192.168.0.2 (ip di un server) e non rispondeva. Sui computer via software non ho fatto nulla. In teoria quando mando un pacchetto 192.168.0.x visto che non è della classe corrente viene mandato al router, il router vede che è della vpn e lo spara da quella parte giusto?

Aiutooooo non so dove sbattere la testa..
Grazie

PS.: lo so che manca l'ip inspect ma per ora non lo metto. Che dipenda da quello?

[Wizard]

Configurazione router 837 della sede con classe 192.168.2.x

Intanto in questa configurazione manca la parte del nat0

[mgaggia]

Configurazione router 837 della sede con classe 192.168.2.x

Intanto in questa configurazione manca la parte del nat0

Ho appena postato questo stesso topic in un post nuovo. Pensavo che nessuno lo guardasse più.... volevo metetre qui un commento di continuare sull'altro nuovo topic... si intitola "Ho seguito tutte le indicazioni ma non funziona... "

nat0... mmm... mi guardo dove parlate della nat0 poi ritorno qui.
Grazie