Ho seguito tutte le indicazioni ma non funziona...

mgaggia · ven 25 mag , 2007 8:38 am

Ho messo in piedi una vpn l2l tra un 857W e un 835 ma non funziona... allego sotto la configurazione mi aiutereste a capirecosa c'è che non va?

Una delle 2 sedi ha le classi 192.168.0.x e 192.168.1.x. quella che deve vedere la vpn è solo la 192.168.0.x
L'altra sede ha la classe 192.168.2.x

Configurazione router 837 della sede con classe 192.168.2.x

Codice: Seleziona tutto

Current configuration : 2172 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
!
username nomeutente privilege 15 password 7 130B1E11040005
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
ip cef
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 0 password address ip_pubblico_router_remoto
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
 set peer ip_pubblico_router_remoto
 set transform-set VPN-SET
 match address 151
!
!
!
!
interface Ethernet0
 ip address 192.168.2.1 255.255.255.0
 ip access-group 105 in
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address ip_pubblico_mio_router 255.255.255.248
 ip nat outside
 pvc 8/35
  protocol ip ip_pubblico_mio_router_broadcast broadcast
  encapsulation aal5snap
 !
 crypto map VPN
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
ip nat inside source list 100 interface ATM0.1 overload
ip nat inside source static tcp 192.168.2.201 1723 ip_pubblico_mio_router 1723 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
ip http secure-server
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 105 remark
access-list 105 permit ip any any
access-list 105 remark
access-list 105 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 permit ip 192.168.2.0 0.0.0.255 any
access-list 106 deny   ip any any
access-list 151 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 120 0
 privilege level 15
 login local
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
!

La configurazione del router 857W della sede 192.168.0.x

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
crypto pki trustpoint TP-self-signed-2249262054
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2249262054
 revocation-check none
 rsakeypair TP-self-signed-2249262054
!
!
crypto pki certificate chain TP-self-signed-2249262054
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32323439 32363230 3534301E 170D3037 30313037 32303135
  31395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32343932
  36323035 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100DD71 9BF1CFE2 E2B07E1C 0DF724B1 2084E97D FEC94DDE 79914BA6 7A916248
  23E2AD93 1E470692 ECD32A54 D9B5C4C5 BC385CCB BB852D7C 96339D5D 33910613
  16B29507 C67F34CA 3A5D4005 43E202D0 4D741AE7 6FF65AE3 D83D2A6A 4E5A1726
  DD9BC042 03B737D2 D64E1A9E FC2F3449 C186A280 B919DA4A B2BF20AA 223E4341
  50590203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 2F35320E
  CF891002 759F5BBA 92AEAB2F DC282761 301D0603 551D0E04 1604142F 35320ECF
  89100275 9F5BBA92 AEAB2FDC 28276130 0D06092A 864886F7 0D010104 05000381
  81002549 BDE89C1F 0BD07CFD DAE6F876 E6B50AFD FFE80353 ACD96E2B A913864C
  568D5447 0846DD21 59A5696A 7943D18A E0BAA4F1 55AA357F A915C300 2F223B10
  8BCB0E8F AB2038DA 81FAAA9E C7D9A758 5AD4D155 3C55B675 531889CA 17B6B86F
  D8818DA6 BA20BA7D 9F7B300A 382F5F50 F7A8FDC2 DE4257B7 0DF90671 BB7DC258 830C
  quit
username utente privilege 15 password 7 082F454D061504
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key password address ip_pubblico_router_remoto
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
 set peer ip_pubblico_router_remoto
 set transform-set VPN-SET
 match address 151
!
!
!
interface ATM0
 no ip address
 ip virtual-reassembly
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.2 point-to-point
 description $ES_WAN$
 ip address ip_pubblico_mio_router 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35
  protocol ip ip_pubblico_mio_router_broadcast broadcast
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
 54.0
 station-role root
!
interface Vlan1
 ip address 192.168.0.1 255.255.254.0
 ip access-group 105 in
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 no ip address
!
ip route 0.0.0.0 0.0.0.0 ATM0.2
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 100 interface ATM0.2 overload
ip nat inside source static tcp 192.168.0.2 1723 ip_pubblico_mio_router 1723 extendable
ip nat inside source static tcp 192.168.0.3 80 ip_pubblico_mio_router_secondo 80 extendable
ip nat inside source static tcp 192.168.0.3 81 ip_pubblico_mio_router_secondo 81 extendable
ip nat inside source static tcp 192.168.0.3 1494 ip_pubblico_mio_router_secondo 1494 extendable
ip nat inside source static udp 192.168.0.3 1604 ip_pubblico_mio_router_secondo 1604 extendable
ip nat inside source static tcp 192.168.0.3 1723 ip_pubblico_mio_router_secondo 1723 extendable
ip nat inside source static tcp 192.168.0.3 2598 ip_pubblico_mio_router_secondo 2598 extendable
ip nat inside source static tcp 192.168.0.3 8080 ip_pubblico_mio_router_secondo 8080 extendable
!
access-list 100 remark SDM_ACL Category=18
access-list 100 permit ip 192.168.0.0 0.0.1.255 any
access-list 105 remark
access-list 105 permit ip any any
access-list 105 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 any
access-list 106 remark SDM_ACL Category=16
access-list 106 deny   ip any any
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000

Vi dico come ho testato io il tutto.
Dalla sede 192.168.2.x ho fatto il ping 192.168.0.2 (ip di un server) e non rispondeva idem l'tracert. Sui computer via software non ho fatto nulla. In teoria quando mando un pacchetto 192.168.0.x visto che non è della classe corrente viene mandato al router, il router vede che è della vpn e lo spara da quella parte giusto?

Aiutooooo non so dove sbattere la testa..
Grazie

PS.: lo so che manca l'ip inspect ma per ora non lo metto. Che dipenda da quello?

mgaggia · ven 25 mag , 2007 8:45 am

Come suggerito da wizar verifico innanzitutto la nat0

Configurazione router 837 della sede con classe 192.168.2.x
Intanto in questa configurazione manca la parte del nat0

mgaggia · ven 25 mag , 2007 8:50 am

mgaggia ha scritto:Come suggerito da wizar verifico innanzitutto la nat0

Configurazione router 837 della sede con classe 192.168.2.x
Intanto in questa configurazione manca la parte del nat0

Vediamo se ho capito.
le acl che ho messo io 105 non sono corrette. Le ho applicate al posto sbagliato. Devo cancellarle dalla 105 e devo crearle con un nuovo numero tipo il 101

access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
ip nat inside source list 101 interface Loopback0 overload

e questo per entrambi i router. Chiaramente nel secnodo router le classi ip sono invertite.

Giusto o devo fare altro?
Visto che devo fare la cosa in remoto e quei router li stanno adoperando, siamo sicuri che questi comandi non possano alterare il funzionamento, non vorrei poi inchiodare la navigazione o qualcos'altro....

Grazie

Wizard · ven 25 mag , 2007 8:57 am

Codice: Seleziona tutto

no access-l 101
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any

Blocchi la navigazione per 2 secondi, non si accorgeranno di nulla.

mgaggia · ven 25 mag , 2007 9:02 am

Wizard ha scritto:
Codice: Seleziona tutto
no access-l 101
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
Blocchi la navigazione per 2 secondi, non si accorgeranno di nulla.

La mia quasi completa inesperienza con i cisco mi fa paura...
E' meglio che lo faccia da li in modo che se c'è qualche problem lo risolvo al volo cancellando la cosa appena fatta.
A parte questo secondo te poi dovrebbe andare o vedi qualche altro problema? Per testare se la vpn funzia un ping sugli indirizzi dell'altra classe è sufficiente/corretto o è meglio fare qualcos'altro?

Grazie

Wizard · ven 25 mag , 2007 9:43 am

SI, un paio di ping dovrebbero bastare.
In sostanza devi mettere a posto le acl 101 e 105

mgaggia · ven 25 mag , 2007 9:56 am

Wizard ha scritto:SI, un paio di ping dovrebbero bastare.
In sostanza devi mettere a posto le acl 101 e 105

Per ora ti ringrazio. Quando ho modificato le 4 righe acl come ho scritto sopra posto qui se funzia.
Approfitto della tua gentilezza...
Questa riga che devo aggiungere

Codice: Seleziona tutto

ip nat inside source list 101 interface Loopback0 overload

Cosa dice di fare esattamente al router?
Lo so che sarebbe il caso di farsi un corso cisco... ma questa dovrebbe essere l'unica volta che ci ho a che fare (anche se devo fare ancora altre cose) e in questo periodo sono talmente preso... inoltre a dirla tutta... non è nemmeno per me che scrivo, ma per un amico... quindi anche se mi piacerebbe molto saperci fare con queste apparecchiature non so se vale la pena farsi qualche corso... poi non applicando dimenticherei in fretta... bah...
Vabbè. Per ora ti ringrazio.
Mauro

Wizard · ven 25 mag , 2007 10:10 am

Frena, quella riga dice di "pattare" quello che dici tramite la acl 101 sul ip pubblico di una interfaccia (in questo caso loopback).

Il problema è che tu non la hai la loopback0 ma hai una atm0.1, stai attento!

Sta attento anche a "crypto map VPN local-address ATM0.1", nella seconda configurazione hai una atm0.2 non 0.1

mgaggia · ven 25 mag , 2007 10:28 am

Wizard ha scritto:Frena, quella riga dice di "pattare" quello che dici tramite la acl 101 sul ip pubblico di una interfaccia (in questo caso loopback).

Il problema è che tu non la hai la loopback0 ma hai una atm0.1, stai attento!

oppss... pensavo che loopback fosse una parola chiave non un'interfaccia vera e propria...

Wizard ha scritto:Sta attento anche a "crypto map VPN local-address ATM0.1", nella seconda configurazione hai una atm0.2 non 0.1

Hai ragione... e l'ho guardata anche X volte senza accorgermene....

Ti ringrazio ancora.

Ho seguito tutte le indicazioni ma non funziona...

Login • Iscriviti