Ci ho riprovato ma nulla da fare...

mgaggia · mar 24 lug , 2007 11:12 pm

Ho provato nuovamente a mettere in piedi una vpn l2l tra un 857W e un 835 ma non funziona... allego sotto le configurazioni. Mi aiutereste a capire cosa c'è che non va?

Una delle 2 sedi ha le classi 192.168.0.x e 192.168.1.x. quella che deve vedere la vpn è solo la 192.168.0.x
L'altra sede ha la classe 192.168.2.x

Configurazione router 837 della sede con classe 192.168.2.x

Codice: Seleziona tutto

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
!
username NomeUtente privilege 15 password 7 130B1E11040005
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
ip cef
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 0 PasswordCriptazione address IpPubblicoRouterClasse0
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
 set peer IpPubblicoRouterClasse0
 set transform-set VPN-SET
 match address 151
!
!
!
!
interface Ethernet0
 ip address 192.168.2.1 255.255.255.0
 ip access-group 105 in
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address IpPubblicoRouterClasse2 255.255.255.248
 ip nat outside
 pvc 8/35
  protocol ip IpPubblicoBroadcast broadcast
  encapsulation aal5snap
 !
 crypto map VPN
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
ip nat inside source list 100 interface ATM0.1 overload
ip nat inside source list 101 interface ATM0.1 overload
ip nat inside source static tcp 192.168.2.201 1723 IpPubblicoRouterClasse2 1723 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
ip http secure-server
!
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 101 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
access-list 105 permit ip any any
access-list 106 deny   ip any any
access-list 151 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 120 0
 privilege level 15
 login local
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
!
end1

La configurazione del router 857W della sede 192.168.0.x

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip name-server 151.99.125.2
ip name-server 151.99.125.3
!
!
crypto pki trustpoint TP-self-signed-2249262054
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2249262054
 revocation-check none
 rsakeypair TP-self-signed-2249262054
!
!
crypto pki certificate chain TP-self-signed-2249262054
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32323439 32363230 3534301E 170D3037 30313037 32303135
  31395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32343932
  36323035 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100DD71 9BF1CFE2 E2B07E1C 0DF724B1 2084E97D FEC94DDE 79914BA6 7A916248
  23E2AD93 1E470692 ECD32A54 D9B5C4C5 BC385CCB BB852D7C 96339D5D 33910613
  16B29507 C67F34CA 3A5D4005 43E202D0 4D741AE7 6FF65AE3 D83D2A6A 4E5A1726
  DD9BC042 03B737D2 D64E1A9E FC2F3449 C186A280 B919DA4A B2BF20AA 223E4341
  50590203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 2F35320E
  CF891002 759F5BBA 92AEAB2F DC282761 301D0603 551D0E04 1604142F 35320ECF
  89100275 9F5BBA92 AEAB2FDC 28276130 0D06092A 864886F7 0D010104 05000381
  81002549 BDE89C1F 0BD07CFD DAE6F876 E6B50AFD FFE80353 ACD96E2B A913864C
  568D5447 0846DD21 59A5696A 7943D18A E0BAA4F1 55AA357F A915C300 2F223B10
  8BCB0E8F AB2038DA 81FAAA9E C7D9A758 5AD4D155 3C55B675 531889CA 17B6B86F
  D8818DA6 BA20BA7D 9F7B300A 382F5F50 F7A8FDC2 DE4257B7 0DF90671 BB7DC258 830C
  quit
username NomeUtente privilege 15 password 7 082F454D061504
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key PasswordCriptazione address IpPubblicoRouterClasse2
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.2
crypto map VPN 10 ipsec-isakmp
 set peer IpPubblicoRouterClasse2
 set transform-set VPN-SET
 match address 151
!
!
!
interface ATM0
 no ip address
 ip virtual-reassembly
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.2 point-to-point
 description $ES_WAN$
 ip address IpPubblicoRouterClasse0 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35
  protocol ip IpPubblicoBroadcast0  broadcast
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
 54.0
 station-role root
!
interface Vlan1
 ip address 192.168.0.1 255.255.254.0
 ip access-group 105 in
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 no ip address
!
ip route 0.0.0.0 0.0.0.0 ATM0.2
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 100 interface ATM0.2 overload
ip nat inside source list 101 interface ATM0.2 overload
ip nat inside source static tcp 192.168.0.2 1723 IpPubblicoRouterClasse0 1723 extendable
ip nat inside source static tcp 192.168.0.3 21 88.36.180.251 21 extendable
ip nat inside source static tcp 192.168.0.3 80 88.36.180.251 80 extendable
ip nat inside source static tcp 192.168.0.3 81 88.36.180.251 81 extendable
ip nat inside source static tcp 192.168.0.3 1494 88.36.180.251 1494 extendable
ip nat inside source static tcp 192.168.0.3 1723 88.36.180.251 1723 extendable
ip nat inside source static tcp 192.168.0.3 3389 88.36.180.251 3389 extendable
ip nat inside source static tcp 192.168.0.3 3696 88.36.180.251 3696 extendable
ip nat inside source static tcp 192.168.0.3 8080 88.36.180.251 8080 extendable
!
access-list 100 remark SDM_ACL Category=18
access-list 100 permit ip 192.168.0.0 0.0.1.255 any
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 105 permit ip any any
access-list 106 remark SDM_ACL Category=16
access-list 106 deny   ip any any
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
end

Vi dico come ho testato io il tutto.
Dalla sede 192.168.2.x ho fatto il ping 192.168.0.2 (ip di un server) e non rispondeva idem l'tracert. Sui computer via software non ho fatto nulla. In teoria quando mando un pacchetto 192.168.0.x visto che non è della classe corrente viene mandato al router, il router vede che è della vpn e lo spara da quella parte giusto?

Aiutooooo non so dove sbattere la testa..
Grazie

PS.: lo so che manca l'ip inspect ma per ora non lo metto. Che dipenda da quello?

Wizard · lun 30 lug , 2007 9:44 am

Sul 857:

Codice: Seleziona tutto

interface ATM0.2 point-to-point 
crypto map VPN

mgaggia · lun 30 lug , 2007 10:04 am

Wizard ha scritto:Sul 857:
Codice: Seleziona tutto
interface ATM0.2 point-to-point 
crypto map VPN 

Kavolo... il tuo avatar è prioprio indovinato... hai un occhio...
Spero che dopo questa modifica sia tutto ok.

Se tutto OK si devono accendere lucette nuove sui due router?
Eventualmente si metterà tutto a funzionare al volo o c'è la necessità di riaccendere i router o simili?

Grazie ancora.

Wizard · lun 30 lug , 2007 10:22 am

Se il problema era solo quello basta che fai un ping da un pc dietro al router ad un pc dietro al secondo router e dopo poco dovrebbe iniziare a rispondere.

mgaggia · lun 30 lug , 2007 10:40 am

Wizard ha scritto:Se il problema era solo quello

opppsss anche tu hai dei dubbi?
Confido in te. Scommetto che andrà tutto OK.

Wizard ha scritto:basta che fai un ping da un pc dietro al router ad un pc dietro al secondo router e dopo poco dovrebbe iniziare a rispondere.

OK 1000 grazie.
Posterò qui il risultato

mgaggia · lun 30 lug , 2007 5:23 pm

Wizard ha scritto:Se il problema era solo quello basta che fai un ping da un pc dietro al router ad un pc dietro al secondo router e dopo poco dovrebbe iniziare a rispondere.

Non va ancora.... sigh....
AIUTOOOOOOOO

Wizard · gio 02 ago , 2007 9:53 am

Andiamo x gradi...
Lancia un ping -t da un pc ad un altro in vpn l2l e su entrambi i router dai il comando ì:

"sh cry isa sa"

Da questo comando vediamo lo stato della fase 1

mgaggia · gio 02 ago , 2007 8:18 pm

Wizard ha scritto:Andiamo x gradi...
Lancia un ping -t da un pc ad un altro in vpn l2l e su entrambi i router dai il comando ì:

"sh cry isa sa"

Da questo comando vediamo lo stato della fase 1

Ho fatto tutte le prove collegandomi tramite vpn pptp e non andando sul posto. Spero che questo non abbia "rovinato" le prove
-------------------
mi sono connesso sulla rete 192.168.0.x tramite vpn pptp
Poi tramite terminal server sono andato sul server 192.168.0.2 e ho pingato -t il server dell'altra rete 192.168.2.201
Poi dal mio pc tramite telnet sul router ho lanciato
sh cry isa sa
e questo è il risultato

Router#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status

IPv6 Crypto ISAKMP SA

Router#

Il ping restituisce sempre
Reply from 85.40.75.13: Destination net unreachable.

quell'ip non è roba mia.
------------

Poi mi sono connesso con vpn pptp alla rete 192.168.2.x
Tramite TS sono andaro sul server 192.168.2.201 e ho pingato il server dell'altra rete 192.168.0.2

Poi dal mio pc tramite telnet sul router ho lanciato
sh cry isa sa
e questo è il risultato

Router#sh cry isa sa
dst src state conn-id slot

Router#

il ping restituisce
Risposta da 85.40.75.25: Rete di destinazione non raggiungibile.
ma anche questo numero ip non so cosa sia...

Un bel po' diversi i due risultati....
non penso dipenda dalla diversità della versione del ios...

ora vedo le configurazioni crypto dei due se sono diverse...

mgaggia · gio 02 ago , 2007 8:27 pm

mgaggia ha scritto:ora vedo le configurazioni crypto dei due se sono diverse...

Caxxo eccoci... trovato la differenza

crypto isakmp key 0 PasswordCriptazione address IpPubblicoRouterClasse0

crypto isakmp key PasswordCriptazione address IpPubblicoRouterClasse2

da una parte c'è key 0 dall'altra no.
Ora cerco qual'è quello giusto e modifico l'altro...
Ciao

mgaggia · gio 02 ago , 2007 8:34 pm

mgaggia ha scritto:
mgaggia ha scritto:ora vedo le configurazioni crypto dei due se sono diverse...
Caxxo eccoci... trovato la differenza

crypto isakmp key 0 PasswordCriptazione address IpPubblicoRouterClasse0

crypto isakmp key PasswordCriptazione address IpPubblicoRouterClasse2

da una parte c'è key 0 dall'altra no.
Ora cerco qual'è quello giusto e modifico l'altro...
Ciao

Volevo togliere lo 0 quindi ho dato
no crypto isakmp key 0 PasswordCriptazione address IpPubblicoRouterClasse0
poi crypto isakmp key PasswordCriptazione address IpPubblicoRouterClasse0

Ma lo 0 lo rimette lui in automatico....

Speravo di riuscire a cavarmela da solo ma....
Provo a guardare ancora ma mi sa che devo aspettare il tuo ennesimo aiuto.

Ciaooo

zot · ven 03 ago , 2007 2:19 am

837

ip nat inside source list 100 interface ATM0.1 overload <-------?????
ip nat inside source list 101 interface ATM0.1 overload
......
access-list 100 permit ip 192.168.2.0 0.0.0.255 any <-------?????
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any

857w

ip nat inside source list 100 interface ATM0.2 overload <-------?????
ip nat inside source list 101 interface ATM0.2 overload
......
access-list 100 permit ip 192.168.0.0 0.0.1.255 any <-------?????
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any

sull' 837 dai un bel "no ip nat inside source list 100 interface ATM0.1 overload" e un
"no ip nat inside source list 100 interface ATM0.1 overload"
sull' 857w "no ip nat inside source list 100 interface ATM0.2 overload" e un
"no ip nat inside source list 100 interface ATM0.2 overload"

Da quello che so non possono coesistere due PAT dinamici..il router ti prende il primo disponibile...ergo,suppongo, ti patta("natta") sulla prima regola che trova a cui è associata un'ACL che dice di far passare tutto il traffico da li,quindi,come invece è specificato nelle ACL 101 associate alla seconda regola di PAT,senza rimandare il traffico tra le lan private sulle crypto map.
Dopo che hai fatto ciò dai almeno un paio di minuti per tirare su le VPN...non ti spazientire se non le vedi andare subito su....come prima prova pinga gli IP privati dei router.

PS visto che ci sei dai pure un bel "no ip http server" e usa esclusivamente la CLI buttando nel cesso SDM ....ti rincretinice e basta....

Wizard · ven 03 ago , 2007 8:15 am

Mi sa che il problema sia effettivamente il nat e il nat0

mgaggia · lun 06 ago , 2007 12:43 pm

Wizard ha scritto:Mi sa che il problema sia effettivamente il nat e il nat0

Scusa ma non capisco.
Tutto il discorso di zot lo confermi? E' quello che dici?
Nat e nat0...

Comincio a pensare che non ce ne vengo più fuori...

mgaggia · lun 06 ago , 2007 12:45 pm

zot ha scritto:837

ip nat inside source list 100 interface ATM0.1 overload <-------?????
ip nat inside source list 101 interface ATM0.1 overload
......
access-list 100 permit ip 192.168.2.0 0.0.0.255 any <-------?????
access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 any

857w

ip nat inside source list 100 interface ATM0.2 overload <-------?????
ip nat inside source list 101 interface ATM0.2 overload
......
access-list 100 permit ip 192.168.0.0 0.0.1.255 any <-------?????
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any

Farò queste prove direttamente sul posto. Non vorrei segarmi le gambe a farlo da remoto e poi dover correre a sistemare visto che le 2 sedi sono lontanucce...

In ogni caso se il problema fosse questo (credo) che l'unica differenza sarebbe che sarebbe possibile navigare in internet da nua sede utilizzando il router dell'altra sede no? però la vpn funzionerebbe in ogni caso... credo... boh... non ci capisco più nulla....

Grazie

Wizard · lun 06 ago , 2007 1:31 pm

Si, zot ti ha scritto come fare per mettere a posto le config del nat.
Ci sono degli errori di applicazione della acl (riguardanti il nat).
Prova e facci sapere.

Ci ho riprovato ma nulla da fare...

Login • Iscriviti