Pagina 1 di 1
Testare VPN
Inviato: gio 17 mag , 2007 2:56 pm
da mgaggia
Devo fare una vpn site-to-site con ipsec.
I router sono un 857W e un 837 (avrò sotto mano per test il 837 tra qualche giorno).
Visto che non l'ho mai fatto e non sono un gran esperto, probabilmente avrò un sacco di casini. Avrò sempre il dubbio: Il problema sarà sul 857W o sul 837? Ed ho gran paura di perdere solo un sacco di tempo e non riuscire a fare il lavoro.
Esiste da qualche parte un router di test sicuramente funzionante (meglio se è un 857W visto che le prove da casa le posso fare con un 837) in modo che riesca a fare prima la configurazione funzionante del 837 verso quello che di sicuro funziona e poi a quel punto dando per scantato che quella sul 837 è corretta lavorare solo sul 857W?
Altrimenti mi suggerireste cortesemente qualche modo di lavorare per fare il tutto incorrendo in meno problemi possibili? Se magari mi postate qualche link che dice come fare il tutto ancora meglio. So che sul sito cisco ci sono un sacco di esempi ma non riesco a trovare nulla... sono un po' testone...
Ultima domanda.... E' possibile fare questa vpn invece che tramite telnet e comandi, tramite l'interfaccia web? Magari me la cavo semplicemente.... Cosa ne dite?
Grazie Mauro
Re: Testare VPN
Inviato: gio 17 mag , 2007 3:14 pm
da mgaggia
mgaggia ha scritto:Se magari mi postate qualche link che dice come fare il tutto ancora meglio.
http://www.cisco.com/en/US/tech/tk583/t ... 49ef.shtml
http://www.ciscoforums.it/viewtopic.php?t=4089
Queste mi sembrano interessanti.
Inviato: gio 17 mag , 2007 7:09 pm
da Wizard
Segui i post di questo forum, sulle vpn l2l ce ne sono un tot.
Comunque la configurazione della vpn su un router e sul altro (837 e 857) è identica, cambiano solo le regole perchè chiaramente sono ribaltate.
Script da completare x una vpn l2l ipsec:
Codice: Seleziona tutto
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key **** address ***** no-xauth
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
crypto map VPN local-address ****
crypto map VPN 10 ipsec-isakmp
set peer ***
set transform-set VPN-SET
match address 151
interface ***
crypto map VPN
no access-list 101 (acl del nat)
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 101 permit ip 192.168.21.0 0.0.0.255 any
access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 remark *************************************************************
access-list 151 permit ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 151 remark *************************************************************
Inviato: gio 17 mag , 2007 8:27 pm
da mgaggia
Wizard ha scritto:Segui i post di questo forum, sulle vpn l2l ce ne sono un tot.
OK cerco
key *** quel *** posso sostituirlo con quello che voglio è la chiave di criptazione giusto?
nell'address ***** va messo l'ip pubblico dell'altro router giusto?
Qui va messo l'ip locale del router?
Qui che indirizzo ip ci va? Quello pubblico dell'altro router giusto?
Qui ci va atm0.1 giusto?
Wizard ha scritto:
Codice: Seleziona tutto
access-list 151 permit ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255
Qui ci vanno le 2 classi locali di una rete e dell'ìaltra giusto?
Per ora 1000 grazie. Cerco delle conferme qui sul forum, ma se mi vuoi delucidare tu le mie 1000 domande...
1000 grazie.
Inviato: ven 18 mag , 2007 10:44 am
da Wizard
crypto isakmp key **** address ***** no-xauth
Nella key metti la Preshared-key
In address metti l'ip del peer remoto (ip pubblico firewall o router remoto)
crypto map VPN local-address ****
Metti la interfaccia dove dai l'ip pubblico che usi per la vpn (atm0.1, dialer0, looopback...)
set peer ***
Metti l'ip del peer remoto (ip pubblico firewall o router remoto)
interface ***
Metti ATM0.1 o dialer0 (di solito)
access-list 151 permit ip 192.168.21.0 0.0.0.255 192.168.22.0 0.0.0.255
Crypto ACL, la prima rete è la tua la seconda è quella remota
[/quote]
Inviato: ven 18 mag , 2007 1:05 pm
da mgaggia
Wizard ha scritto:..............
Sei stato più che gentilissimo. Non ci avrei mai sperato in una spiegazione tanto dettagliata.
Quando dici
Wizard ha scritto:Metti la interfaccia dove dai l'ip pubblico che usi per la vpn (atm0.1, dialer0, looopback...)
mi fai sorgere un dubbio. Per navigare uso un ip pubblico sull'atm0.1 posso mettere li anche la vpn oppure genera casini ed è meglio che lo metti da un'altra parte (tipo atm0.2) con un altro indirizzo pubblico? Forse ho detto una gran caxxata ma ripeto ci capisco pochetto....
Grazie per avermi dedicato il tuo tempo
Mauro
PS.: Quando ho fatto il tutto posto qui.
Inviato: ven 18 mag , 2007 2:27 pm
da Wizard
La crypto map la devi mettere sulla atm0.1 altrimenti non va.
Inviato: ven 18 mag , 2007 2:51 pm
da mgaggia
Wizard ha scritto:La crypto map la devi mettere sulla atm0.1 altrimenti non va.
Grazie ancora
Mauro
Inviato: gio 24 mag , 2007 8:25 pm
da mgaggia
Ho aperto un nuovo topic con il titolo "Ho seguito tutte le indicazioni ma non funziona... " con questo stesso messaggio. Magari è meglio proseguire la per non fare troppa confusione.
Grazie
Ho messo in piedi il tutto ma non funziona... allego sotto la configurazione mi aiutate ancora un pochino? Dev'esserci qualche erroruccio....
Una delle 2 sedi ha le classi 192.168.0.x e 192.168.1.x. uella che deve vedere la vpn è solo la 192.168.0.x
L'altra sede ha la classe 192.168.2.x
Configurazione router 837 della sede con classe 192.168.2.x
Codice: Seleziona tutto
Current configuration : 2172 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
!
username nomeutente privilege 15 password 7 130B1E11040005
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
ip cef
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0 password address ip_pubblico_router_remoto
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
set peer ip_pubblico_router_remoto
set transform-set VPN-SET
match address 151
!
!
!
!
interface Ethernet0
ip address 192.168.2.1 255.255.255.0
ip access-group 105 in
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address ip_pubblico_mio_router 255.255.255.248
ip nat outside
pvc 8/35
protocol ip ip_pubblico_mio_router_broadcast broadcast
encapsulation aal5snap
!
crypto map VPN
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip nat inside source list 100 interface ATM0.1 overload
ip nat inside source static tcp 192.168.2.201 1723 ip_pubblico_mio_router 1723 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
ip http secure-server
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 105 remark
access-list 105 permit ip any any
access-list 105 remark
access-list 105 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 permit ip 192.168.2.0 0.0.0.255 any
access-list 106 deny ip any any
access-list 151 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
!
line con 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 120 0
privilege level 15
login local
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
!
La configurazione del router 857W della sede 192.168.0.x
Codice: Seleziona tutto
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
crypto pki trustpoint TP-self-signed-2249262054
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2249262054
revocation-check none
rsakeypair TP-self-signed-2249262054
!
!
crypto pki certificate chain TP-self-signed-2249262054
certificate self-signed 01
3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32323439 32363230 3534301E 170D3037 30313037 32303135
31395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32343932
36323035 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100DD71 9BF1CFE2 E2B07E1C 0DF724B1 2084E97D FEC94DDE 79914BA6 7A916248
23E2AD93 1E470692 ECD32A54 D9B5C4C5 BC385CCB BB852D7C 96339D5D 33910613
16B29507 C67F34CA 3A5D4005 43E202D0 4D741AE7 6FF65AE3 D83D2A6A 4E5A1726
DD9BC042 03B737D2 D64E1A9E FC2F3449 C186A280 B919DA4A B2BF20AA 223E4341
50590203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 2F35320E
CF891002 759F5BBA 92AEAB2F DC282761 301D0603 551D0E04 1604142F 35320ECF
89100275 9F5BBA92 AEAB2FDC 28276130 0D06092A 864886F7 0D010104 05000381
81002549 BDE89C1F 0BD07CFD DAE6F876 E6B50AFD FFE80353 ACD96E2B A913864C
568D5447 0846DD21 59A5696A 7943D18A E0BAA4F1 55AA357F A915C300 2F223B10
8BCB0E8F AB2038DA 81FAAA9E C7D9A758 5AD4D155 3C55B675 531889CA 17B6B86F
D8818DA6 BA20BA7D 9F7B300A 382F5F50 F7A8FDC2 DE4257B7 0DF90671 BB7DC258 830C
quit
username utente privilege 15 password 7 082F454D061504
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key password address ip_pubblico_router_remoto
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
set peer ip_pubblico_router_remoto
set transform-set VPN-SET
match address 151
!
!
!
interface ATM0
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.2 point-to-point
description $ES_WAN$
ip address ip_pubblico_mio_router 255.255.255.248
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
protocol ip ip_pubblico_mio_router_broadcast broadcast
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Vlan1
ip address 192.168.0.1 255.255.254.0
ip access-group 105 in
ip nat inside
ip virtual-reassembly
!
interface Dialer0
no ip address
!
ip route 0.0.0.0 0.0.0.0 ATM0.2
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 100 interface ATM0.2 overload
ip nat inside source static tcp 192.168.0.2 1723 ip_pubblico_mio_router 1723 extendable
ip nat inside source static tcp 192.168.0.3 80 ip_pubblico_mio_router_secondo 80 extendable
ip nat inside source static tcp 192.168.0.3 81 ip_pubblico_mio_router_secondo 81 extendable
ip nat inside source static tcp 192.168.0.3 1494 ip_pubblico_mio_router_secondo 1494 extendable
ip nat inside source static udp 192.168.0.3 1604 ip_pubblico_mio_router_secondo 1604 extendable
ip nat inside source static tcp 192.168.0.3 1723 ip_pubblico_mio_router_secondo 1723 extendable
ip nat inside source static tcp 192.168.0.3 2598 ip_pubblico_mio_router_secondo 2598 extendable
ip nat inside source static tcp 192.168.0.3 8080 ip_pubblico_mio_router_secondo 8080 extendable
!
access-list 100 remark SDM_ACL Category=18
access-list 100 permit ip 192.168.0.0 0.0.1.255 any
access-list 105 remark
access-list 105 permit ip any any
access-list 105 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 106 remark SDM_ACL Category=16
access-list 106 deny ip any any
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
Vi dico come ho testato io il tutto.
Dalla sede 192.168.2.x ho fatto il ping 192.168.0.2 (ip di un server) e non rispondeva. Sui computer via software non ho fatto nulla. In teoria quando mando un pacchetto 192.168.0.x visto che non è della classe corrente viene mandato al router, il router vede che è della vpn e lo spara da quella parte giusto?
Aiutooooo non so dove sbattere la testa..
Grazie
PS.: lo so che manca l'ip inspect ma per ora non lo metto. Che dipenda da quello?
Inviato: ven 25 mag , 2007 8:40 am
da Wizard
Configurazione router 837 della sede con classe 192.168.2.x
Intanto in questa configurazione manca la parte del nat0
Inviato: ven 25 mag , 2007 8:42 am
da mgaggia
Wizard ha scritto:
Configurazione router 837 della sede con classe 192.168.2.x
Intanto in questa configurazione manca la parte del nat0
Ho appena postato questo stesso topic in un post nuovo. Pensavo che nessuno lo guardasse più.... volevo metetre qui un commento di continuare sull'altro nuovo topic... si intitola "Ho seguito tutte le indicazioni ma non funziona... "
nat0... mmm... mi guardo dove parlate della nat0 poi ritorno qui.
Grazie