Pagina 2 di 2

Re: VPN site-to-site semmpre down

Inviato: dom 22 feb , 2015 8:19 am
da marfab
Ciao Paolo,

Nel 2801 : boot system flash:c2801-advipservicesk9-mz.124-16.bin
Nel 1801 : boot system flash:c180x-adventerprisek9-mz.124-15.T.bin
A presto.
Fabio

Re: VPN site-to-site semmpre down

Inviato: mer 25 feb , 2015 12:30 pm
da paolomat75
Ve vuoi ti ci do un occhio in remoto

Re: VPN site-to-site semmpre down

Inviato: mar 03 mar , 2015 9:35 pm
da paolomat75
Ciao.
Ho simulato la tua rete e a me funziona. Può essere un problema di IOS, anche se dal sito Cisco non si direbbe.

Paolo

Re: VPN site-to-site semmpre down

Inviato: sab 07 mar , 2015 3:55 pm
da marfab
Hai fatto modifiche alla configurazione?? :oops: :oops:
Per ovviare al problema potrei avere una mano per configurare il 2801 come server e il 1801 come client di una vpn pptp??
grazie
Fabio

Re: VPN site-to-site semmpre down

Inviato: sab 07 mar , 2015 4:53 pm
da paolomat75
Se vuoi quando torno a casa ti posto configurazione del lab.
Per il router come client PPTP non l'ho mai fatto.

Paolo

Re: VPN site-to-site semmpre down

Inviato: sab 07 mar , 2015 5:48 pm
da marfab
Ti ringrazio.
Per la configurazione server pptp non ho avuto grossi problemi, essendo relativamente semplice, riesco infatti ad effettuare l'autenticazione con client windows e linux. Purtroppo non trovo esempi di configurazioni client di router cisco (escluso cisco client :? )
A presto
Fabio

Re: VPN site-to-site semmpre down

Inviato: sab 07 mar , 2015 8:53 pm
da paolomat75
R1

Codice: Seleziona tutto

!
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
! 
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key paolo address 95.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
crypto ipsec df-bit clear
!
crypto map mymap 10 ipsec-isakmp 
 set peer 95.1.1.1
 set transform-set myset 
 match address 100
!
!
!
!
interface Loopback0
 ip address 192.168.69.50 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0
 ip address 217.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet1/0
 no ip address
 shutdown
 negotiation auto
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!
interface Ethernet3/0
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/1
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/2
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/3
 no ip address
 shutdown
 duplex half
!
ip route 0.0.0.0 0.0.0.0 217.1.1.2
!
no ip http server
no ip http secure-server
!
!
access-list 100 permit ip 192.168.69.0 0.0.0.255 192.168.5.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end
R2

Codice: Seleziona tutto

!
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
! 
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key paolo address 217.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
crypto ipsec df-bit clear
!
crypto map mymap 10 ipsec-isakmp 
 set peer 217.1.1.1
 set transform-set myset 
 match address 100
!
!
!
!
interface Loopback0
 ip address 192.168.5.4 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 95.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
!
interface GigabitEthernet1/0
 no ip address
 shutdown
 negotiation auto
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!
interface Ethernet3/0
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/1
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/2
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/3
 no ip address
 shutdown
 duplex half
!
ip route 0.0.0.0 0.0.0.0 95.1.1.2
!
no ip http server
no ip http secure-server
!
!
access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.69.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end
Per il PPTP, come ti ho detto non ho mai usato il router come client, ma questo non vuol dire che non si possa fare. In questi giorni sono preso con lavoro e studio. Se trovo un po' di tempo provo a farlo.

Paolo

Re: VPN site-to-site semmpre down

Inviato: sab 07 mar , 2015 8:54 pm
da paolomat75

Codice: Seleziona tutto

R1#ping 192.168.5.4 source l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.69.50
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 252/301/336 ms
R1#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 95.1.1.1 port 500
  IKE SA: local 217.1.1.1/500 remote 95.1.1.1/500 Active
  IPSEC FLOW: permit ip 192.168.69.0/255.255.255.0 192.168.5.0/255.255.255.0
        Active SAs: 2, origin: crypto map

R1#

Re: VPN site-to-site semmpre down

Inviato: dom 08 mar , 2015 6:48 pm
da marfab
Credo di aver risolto ...
Ho ripristinato le configurazioni dei router alle semplici connessioni adsl.

Ho trovato molto utile la seguente documentazione:
http://www.cisco.com/c/en/us/td/docs/io ... 1632258F65

Quindi l'ho applicata al mio caso ... :lol:
Ora devo testare le condivisioni, oltre poi a integrare regole di firewall ecc ... ma quello è un altro discorso, per il quale chiederò sicuramente aiuto in questo forum.

Linea Tiscali
.
.

authentication pre-share
group 2
crypto isakmp key CHIAVE address 95.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 217.X.X.X
tunnel destination 95.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
.
.

ip route 192.168.60.0 255.255.255.0 Tunnel0


Linea Telecom
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key CHIAVE address 217.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1

interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 95.X.X.X
tunnel destination 217.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1


ip route 192.168.0.0 255.255.255.0 Tunnel 0



#sh crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 95.X.X.X port 500
IKE SA: local 217.X.X.X/500 remote 95.X.X.X/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map

o#sh crypto isakmp sa
dst src state conn-id slot status
95.X.X.X 217.X.X.X QM_IDLE 1 0 ACTIVE

#sh crypto ipsec sa

interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 217.X.X.X

protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 95.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 24, #pkts encrypt: 24, #pkts digest: 24
#pkts decaps: 23, #pkts decrypt: 23, #pkts verify: 23
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 217.X.X.X, remote crypto endpt.: 95.X.X.X
path mtu 1514, ip mtu 1514, ip mtu idb Tunnel0
current outbound spi: 0xF3377CCF(4080499919)

inbound esp sas:
spi: 0xC0440187(3225682311)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3003, flow_id: FPGA:3, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4502154/2439)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

Paolo pensi che l'applicazione della crypto map direttamente sulla Dialer0, come facevo in precedenza, possa non produrre gli effetti desiderati con connessioni adsl nostrane??

Re: VPN site-to-site semmpre down

Inviato: dom 08 mar , 2015 6:54 pm
da paolomat75
Con il tunnel è un altro modo, ma sinceramente penso che se funziona uno dovrebbe funzionare anche l'altro.
Comunque l'importante è che funzioni.

Paolo

Re: VPN site-to-site semmpre down

Inviato: dom 08 mar , 2015 7:04 pm
da marfab
Anche a me sembra strano che nell'altro modo non funzioni.
Hai ragione anche tu quando dici che l'importante è che funzioni. E' altrettanto vero che essendo il sottoscritto parecchio testardo riproverò a rifare la precedente configurazione da zero alla ricerca del quasi sicuro errore.

Ti ringrazio per l'aiuto, augurandoti una buona serata.
A presto
Fabio