Pagina 1 di 1
VPN PPTP 837... non pinga...
Inviato: mer 05 set , 2007 11:37 am
da giankyfava
Salve,
ho il seguente problema: ho un cisco 837 con una multigroup telecom su cui ho configurato un accesso pptp. Il router è collegato a un firewall con PPTP Passthrough. La lan privata è 10.0.0.0 255.255.255.0. Di seguito la configurazione del router:
Codice: Seleziona tutto
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname multimecc
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Y2TI$Pe4yRgZ9UexhEE5YTj8lG1
!
no aaa new-model
!
resource policy
!
no ip source-route
!
!
ip cef
no ip domain lookup
ip domain name 191.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
username cisco privilege 15 secret 5 $1$v/oA$fG7aSUs3.B3aYlhu5EOoq.
username xxxxxx password 7 yyyyyyyyyyyyyyyyyyyyyy
!
!
!
!
!
interface Ethernet0
ip address XXX.XXX.XXX.XXX 255.255.255.248
ip access-group 122 out
ip nat inside
no ip virtual-reassembly
no keepalive
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address YYY.YYY.YYY.YYY 255.255.255.252
ip nat outside
no ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc 0
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered FastEthernet1
peer default ip address pool VPNPOOL
no keepalive
ppp encrypt mppe auto required
ppp authentication pap chap ms-chap
!
ip local pool VPNPOOL 10.0.0.80 10.0.0.99
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
!
control-plane
!
!
line con 0
exec-timeout 2400 0
password 7 082C59421D10081211085E5C7A73747F
login
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
password 7 03094E0712062C494D0A4B5D474A5B5B
login
!
scheduler max-task-time 5000
end
Il mio problema che pur riuscendo a connettermi in vpn non riesco a fare il pingdelle macchine in lan... Mi potete aiutare? Grazie.
[/code]
Inviato: mer 05 set , 2007 12:03 pm
da Wizard
Frena...la vpn client pptp termina sul cisco o sul firewall?
Nel tuo caso direi meglio sul firewall
Inviato: mer 05 set , 2007 12:13 pm
da giankyfava
Wizard ha scritto:Frena...la vpn client pptp termina sul cisco o sul firewall?
Nel tuo caso direi meglio sul firewall
termina sul cisco... ma se posso fare in maniera migliore e/o più semplice non hai che da dire...
Inviato: mer 05 set , 2007 12:15 pm
da Wizard
Devi farlo terminare sulla macchina che è il gateway della rete quindi credo il firewall. Fai in questo modo e rimuovi la config della vpn pptp dal cisco
Inviato: mer 05 set , 2007 12:23 pm
da giankyfava
Wizard ha scritto:Devi farlo terminare sulla macchina che è il gateway della rete quindi credo il firewall. Fai in questo modo e rimuovi la config della vpn pptp dal cisco
Cioè? Se intendi che dovrei fare la vpn col firewall è un guaio. Il digicom firegate che ho non fa da server vpn...
Inviato: mer 05 set , 2007 12:26 pm
da Wizard
Allora leva quel cexxo di firewall e fai diventare il Cisco il gw\firewall\router\vpn server della tua rete!
Non dico che sia cosa facile ma è la migliore!
Inviato: mer 05 set , 2007 12:47 pm
da giankyfava
Wizard ha scritto:Allora leva quel cexxo di firewall e fai diventare il Cisco il gw\firewall\router\vpn server della tua rete!
Non dico che sia cosa facile ma è la migliore!
Lo posso fare, ma che modifiche dovrei fare alla configurazione del router?
Secondary IP sull'eth0, ip nat source con overload... poi?
Sai indicarmi qualche esempio di configurazione?
Inviato: mer 05 set , 2007 1:27 pm
da Wizard
- eth0: imposti ip interno (gateway della rete)
- atm0.1: a posto così
- crei una loopback0 dove configuri un ip pubblico e gli fai fare nat
- crei le acl per il nat e nat0
- crei le acl in ingresso
- configuri ip inspect
- configuri ips (ip audit o ips, dipende dalla versione di ios)
Inviato: mer 05 set , 2007 1:48 pm
da giankyfava
Altrimenti, (a parte il firewall) così potrebbe andare?
Codice: Seleziona tutto
Building configuration...
Current configuration : 3164 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname multimecc
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Y2TI$Pe4yRgZ9UexhEE5YTj8lG1
!
no aaa new-model
!
resource policy
!
no ip source-route
!
!
ip cef
no ip domain lookup
ip domain name 191.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
username cisco privilege 15 secret 5 $1$v/oA$fG7aSUs3.B3aYlhu5EOoq.
username kkkkkkkkk password 7 zzzzzzzzzzzzzzzzzzzzzzzzz
!
!
!
!
!
interface Ethernet0
ip address xxx.xxx.xxx.xxx 255.255.255.248 secondary
ip address 10.0.0.2 255.255.255.0
ip nat inside
no ip virtual-reassembly
no keepalive
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address yyy.yyy.yyy.yyy 255.255.255.252
ip nat outside
no ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc 0
encapsulation aal5snap
!
ip nat pool mialan xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.248
ip nat inside source list 101 pool mialan overload
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered FastEthernet1
peer default ip address pool VPNPOOL
no keepalive
ppp encrypt mppe auto required
ppp authentication pap chap ms-chap
!
ip local pool VPNPOOL 10.0.0.80 10.0.0.99
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
access-list 101 remark ********************
access-list 101 remark *ACL PER PAT E NAT0*
access-list 101 remark ********************
access-list 101 deny ip 10.0.0.0 0.0.0.255 10.0.0.80 0.0.0.11
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
!
control-plane
!
!
line con 0
exec-timeout 2400 0
password 7 082C59421D10081211085E5C7A73747F
login
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
password 7 03094E0712062C494D0A4B5D474A5B5B
login
!
scheduler max-task-time 5000
end
Inviato: mer 05 set , 2007 1:58 pm
da Wizard
Si, a parte che manca la parte firewall per il resto sembra andare bene
Inviato: mer 05 set , 2007 2:12 pm
da giankyfava
Wizard ha scritto:Si, a parte che manca la parte firewall per il resto sembra andare bene
Grazie mille, sei stato gentilissimo... provo e poi ti faccio sapere...
Inviato: gio 06 set , 2007 6:11 pm
da giankyfava
Ok, ho tolto il firewall giocattolo
e ho fatto fare tutto al cisco, funge pure la vpn... tuttavia ho un dubbio... mi ero dimenticato di mettere la regola di nat0 e di togliere l'access-list per tutto il traffico lan e tuttavia la vpn funziona lo stesso... ovvero io ho una lan privata 10.0.0.0 con maschera di classe c e faccio nat su tutta la classe. Il pool vpn va da 10.0.0.80 a 10.0.0.99, come può funzionare pur essendo sottoposta a nat???
Poi approfitto di nuovo della tua disponibilità perchè ho anche un problemino da quando sono andato a inserire le access-list per il firewall applicando l'inspect alla ATM0.1, ovvero mi sono accorto che navigavo ancora ma il pptp non mi loggava più... quindi ho dovuto ritoglierle... ti posto le regole:
Codice: Seleziona tutto
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
.
.
.
ip access-group 111 in
.
ip inspect myfw out
.
.
.
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
Mi sono dimenticato qualcosa??? Il pptp usa altre porte? Ah dimenticavo uso l'mppe in auto con opzione "required"...
Inviato: ven 07 set , 2007 11:36 am
da Wizard
Codice: Seleziona tutto
ip inspect name myfw pptp
access-list 111 permit gre any any
Inviato: ven 07 set , 2007 5:48 pm
da giankyfava
Wizard ha scritto:Codice: Seleziona tutto
ip inspect name myfw pptp
access-list 111 permit gre any any
"ip inspect name myfw pptp" lo devo inserire sempre all'interno dell'interfaccia ATM0.1 vero?
Inviato: dom 09 set , 2007 1:22 pm
da Wizard
Per l'ip inspect basta che inserisci quella regola che ti ho scritto, in quel modo il pptp si agiungerà tra i protocolli che inspezioni.