Cisco VPN CLIENT OK in dialup KO dietro un router.

zot · mer 25 lug , 2007 5:53 pm

Mi debbo collegare ad una sede remota dove c'è un PIX che fa da server VPN ,se mi collego tramite modem funziona tutto,se mi collego da dietro un router (Cisco 837 con NESSUNA ACL se non quella sul NAT),il client si connette al PIX ma non faccio traffico,di nessun tipo o meglio,non mi ritorna indietro nulla..............
Posto uno spezzone di etheral fatto sull'interfaccia dell'adattatore CISCO sul PC e un "debug ip nat ipsec" del cisco 837 che è ha monte del PC che dovrebbe collegarsi alla sede remota.
Premetto che dal log di etheral la richiesta ARP viene fatta dall'adattatore VPN CISCO e la risposta gliela manda il router locale che gli risponde che 192.168.8.9 è lui stesso,il che evidenzierebbe che a livello 2 siamo OK....secondo me è un evidente problema di NAT,come diavolo lo risolvo visto che sul PIx non ci posso mettere le mani?
Dai log ho tolto un pò di righe ed ho lasciato le più significative.

LOG ETHERAL

No. Time Source Destination Protocol Info
1 0.000000 192.168.200.1 192.168.8.3 NBNS Multi-homed registration NB PC-XX<20>
2 0.031250 192.168.200.1 192.168.8.3 NBNS Registration NB TXXX<1e>

7 4.516006 192.168.200.1 192.168.200.255 NBNS Registration NB PC-XX<20>
8 4.547258 192.168.200.1 192.168.200.255 NBNS Registration NB TXXX<1e>

15 7.548231 192.168.200.1 192.168.200.255 BROWSER Request Announcement PC-XX
16 7.548628 192.168.200.1 192.168.200.255 BROWSER Host Announcement PC-CACCIATORE, Workstation, Server, NT Workstation, Potential Browser
17 9.048070 192.168.200.1 192.168.200.255 BROWSER Request Announcement PC-CACCIATORE

20 13.559161 192.168.200.1 192.168.200.255 BROWSER Browser Election Request

24 17.567629 192.168.200.1 192.168.8.2 NBNS Multi-homed registration NB TEAM<1d>
25 17.691569 Cisco_3c:78:00 Broadcast ARP Who has 192.168.8.9? Tell 192.168.200.1
26 17.691703 Cisco_72:cf:f4 Cisco_3c:78:00 ARP 192.168.8.9 is at 00:17:e0:72:cf:f4
27 17.691712 192.168.200.1 192.168.8.9 ICMP Echo (ping) request
28 19.064096 192.168.200.1 192.168.8.2 NBNS Multi-homed registration NB TEAM<1d>

30 22.079967 192.168.200.1 192.168.8.3 NBNS Multi-homed registration NB TEAM<1d>
31 22.908192 192.168.200.1 192.168.8.9 ICMP Echo (ping) request
32 23.580086 192.168.200.1 192.168.8.3 NBNS Multi-homed registration NB TEAM<1d>

34 26.595968 192.168.200.1 192.168.200.255 NBNS Registration NB TEAM<1d>

37 28.408676 192.168.200.1 192.168.8.9 ICMP Echo (ping) request
38 28.846155 192.168.200.1 192.168.200.255 NBNS Registration NB TEAM<1d>
39 29.596298 192.168.200.1 192.168.8.2 NBNS Registration NB <01><02>__MSBROWSE__<02><01>

42 33.909115 192.168.200.1 192.168.8.9 ICMP Echo (ping) request
43 34.112211 192.168.200.1 192.168.8.3 NBNS Registration NB <01><02>__MSBROWSE__<02><01>
44 35.612342 192.168.200.1 192.168.8.3 NBNS Registration NB <01><02>__MSBROWSE__<02><01>

46 38.628213 192.168.200.1 192.168.200.255 NBNS Registration NB <01><02>__MSBROWSE__<02><01>

50 41.628535 192.168.200.1 192.168.200.255 BROWSER Request Announcement PC-CACCIATORE
51 41.628691 192.168.200.1 192.168.200.255 BROWSER Request Announcement PC-CACCIATORE
52 41.629172 192.168.200.1 192.168.200.255 BROWSER Domain/Workgroup Announcement TEAM, NT Workstation, Domain Enum
53 51.124217 Cisco_3c:78:00 Broadcast ARP Who has 192.168.8.12? Tell 192.168.200.1
54 51.124266 Cisco_72:cf:f4 Cisco_3c:78:00 ARP 192.168.8.12 is at 00:17:e0:72:cf:f4
55 51.124273 192.168.200.1 192.168.8.12 TCP 1440 > http [SYN] Seq=0 Len=0 MSS=1260

57 54.520219 192.168.200.1 192.168.200.255 BROWSER Local Master Announcement PC-CACCIATORE, Workstation, Server, NT Workstation, Potential Browser, Master Browser
58 60.192505 192.168.200.1 192.168.8.12 TCP 1440 > http [SYN] Seq=0 Len=0 MSS=1260

LOG CISCO

002353: Jul 25 18:11:33.946 ROMA: NAT: IPsec: using mapping to create outbound ESP IL=192.168.0.45, SPI=36B4960, IG=IPPUBBLICOSEDEPC
002354: Jul 25 18:11:33.946 ROMA: NAT: IPSec: inside host (192.168.0.45) is trying to open an ESP conn to IPSEDEREMOTA, cannot process request from 192.168.0.45
002355: Jul 25 18:11:33.946 ROMA: NAT: IPsec: using mapping to create outbound ESP IL=192.168.0.45, SPI=36B4960, IG=IPPUBBLICOSEDEPC

002369: Jul 25 18:11:37.618 ROMA: NAT: IPSec: expire incomplete ESP connection IL=192.168.0.45 SPI=0x94040000, IG=IPPUBBLICOSEDEPC, OL=IPSEDEREMOTA, OG=IPSEDEREMOTA
002370: Jul 25 18:11:37.694 ROMA: NAT: IPsec: using mapping to create outbound ESP IL=192.168.0.45, SPI=36B4960, IG=IPPUBBLICOSEDEPC
002371: Jul 25 18:11:37.694 ROMA: NAT: IPSec: created In->Out ESP translation IL=192.168.0.45 SPI=0x36B4960, IG=IPPUBBLICOSEDEPC, OL=IPSEDEREMOTA, OG=217.59.54.133
002372: Jul 25 18:11:37.694 ROMA: NAT: IPSec: Inside host (IL=192.168.0.45) trying to open an ESP connection to Outside host (OG=IPSEDEREMOTA), wait for Out->In reply

[email protected] · gio 26 lug , 2007 3:01 pm

Ciao,

non è che sul Pix non c'è la reverse route?

Per poter fare la vpn pix - router devi conoscere i protolli usati perchè devono matchare. (encr, hash, auth e il transform set).

Questo perchè il client VPN fa una proposta multipla di protocolli fino a quando non matcha le policy del pix (in questo caso).

zot · ven 27 lug , 2007 3:02 pm

Grazie della risposta.....comunque il Client VPN si connette corretamente solo che poi non riesco a raggiungere nessuna macchina sulla LAN remota....suppongo che sia un problema di NAT...solo che il PIX non lo posso toccare e,inoltre,mi dicono che da qualunque altra parte si collegano i client (anche dietro router) tutto funziona perfettamente...io ho provato dietro 3 diverse connessioni con relativi diversi router...da nessuna parte riesco a fare traffico.

AIUTO!!!!

zot · ven 03 ago , 2007 2:58 am

Questa situazione non si sblocca...il tipo continua a dirmi che da qualunque altra parte non hanno problemi...ma a me sembra evidente che non sia attivato il NAT traversal sul PIX ....come posso fare per dimostrarlo?

zot · ven 03 ago , 2007 3:03 am

[email protected] ha scritto:Ciao,

non è che sul Pix non c'è la reverse route?

Per poter fare la vpn pix - router devi conoscere i protolli usati perchè devono matchare. (encr, hash, auth e il transform set).

Questo perchè il client VPN fa una proposta multipla di protocolli fino a quando non matcha le policy del pix (in questo caso).

ti chiedo scusa perchè avevo letto la tua risposta in un momento drammatico... e l'avevo sottovalutata....secondo te,riuscendo ad avere transform-set e quant'altro , impostandolo sul router e scrivendo delle rotte ad hoc,potrei far raggiungere ai Pc della mia lan le macchine che stanno nell'altra sede?

Wizard · ven 03 ago , 2007 8:21 am

Ma il nat traversal è configurato sul PIX?!

zot · sab 04 ago , 2007 12:27 pm

Il problema è che chi dovrebbe configurarlo invece di esaminare il problema,continua a dirmi che tante altre persone da tante altre parti d'Italia,anche da dietro dei router,si riescono a connettere....quindi per lui sta tutto a posto.....
Perciò cerco un modo per dimostrargli che c'è un problema sul suo PIX....c'è qualche altro comando di debug oltre a "debug ip nat ipsec" per farlo?

Wizard · lun 06 ago , 2007 7:52 am

Molto semplicemente...
Ti connetti in vpn, click con il tasto destro del mouse sul lucchetto chiuso, statistic e nella prima maschera vedrai se il nat-t è abilitato oppure no...

zot · mar 07 ago , 2007 12:55 am

Praticamente avevo scelto di passare da Pechino per andare al Bar.....

quindi ...

transparent tunnel :inactive
local lan :disable

conferma che non è abilitato il nat traversal e che,di conseguenza,non potrò mai riuscire a ricevere pacchetti indietro?

Grazie Wizard

Wizard · mar 07 ago , 2007 1:45 pm

transparent tunnel :inactive

Il NAT-T non sta funzionando e quindi non è configurato.
Se ti stai connettendo da dietro un router che fa nat sarà impossibile che il traffico passi.
Nel moemento in cui sarà configurato ti dovrà comparire:

transparent tunnel : Active on udp port 4500

zot · ven 10 ago , 2007 11:48 pm

Grazie alle vostre(cioè tue wizard

)prezione dritte,ho raccolto un pò d'info dettagliate.....per essere precisi la necessità di NAT traversal lato PIX(cioè apparato che "accoglie" la VPN) si pone nel momento in cui il client che fa partire la VPN si trova dietro ad un router che fa PAT (port addrees translaton)in poche parole quando è specificato overload alla fine del comando che gestisce il nat0 (ip nat source static list 100 interface dialer0 OVERLOAD)....se avessi avuto più indirizzi IP dispoibili ed avessi fato NAT(no PAT)verso gli IP pubblici a me assegnatomi,anche da dietro un firewall(quindi con NAT tradizionale....cioè network addres translation)avrei potuto collegarmi senza problemi.....vi risulta?

Wizard · lun 13 ago , 2007 8:00 am

Se tu hai una situazione di nat statico 1:1 ip privato - ip pubblico su tutte le porte sinceramente non mi è mai capitato però probabilmente il nat traversal non serve.
In una situazione in cui il router fa nat per tutta una subnet e la tua macchina è in quella subnet (ip pubblico uguale x più macchine) allora sicuramente il nat-t va attivato lato "server".

zot · lun 13 ago , 2007 10:23 pm

Sarebbe bello poter provare un NAT 1:1 su una macchina che fa da gatawey per una subnet e,vedere se si trova qualche "magheggio" per poter non far attivare il NAT-T...mahh...con giornate di 72 ore......

Wizard · lun 13 ago , 2007 10:38 pm

Non ne vale la pena dato che si fa tanto presto a configurare il nat-t.
A livello teorico cmq credo che non funzioni.

zot · sab 06 ott , 2007 2:47 pm

Giusto per la cronaca..... sono andato dove è installato il PIX , mi sono fatto aprire una shell,ho configurato il NAT-T e tutto funziona.....

Cisco VPN CLIENT OK in dialup KO dietro un router.

Login • Iscriviti