problema VPN con cisco2801

[liscio]

salve a tutti,
ho appena comprato un 2801 con modulo AIM-VPN, e IOS 12.4T
Il suddetto router è andato a sostituire un cisco837, che aveva 2 tunnel vpn, perfettamente funzionanti. Ho provato a trasferire "brutalmente" le parti di configurazione su quella del nuovo router, ma qualcosa non funziona.
Dopo il save & reload, la runningconfig sembra ok. È praticamente identica a quella dell'837, tranne la parte su "ATM0.1" che è diventata "ATM0/1/0.1".

La cosa strana, è che non riesco nemmeno a vedere cosa succede. Ho provato ad aprire "debug crypto isakmp" e "debug crypto ipsec", ovviamente in "terminal monitor", ma non mi viene mostrato nessun tipo di messaggio.

Ho provato a mettere il naso nei log dell'altro apparato, quello remoto, e sembra che la phase1 vada ok, poi però la phase2 fallisce con un errore "[HASH][NOTFY:NO_PROP_CHOSEN]" (è un apparato zyxel).

Anche l'altro tunnel mi fa lo stesso scherzo. In quel caso gli apparati remoti sono Cisco, ma non ho nessuna possibilità di controllarli.


Vi viene in mente niente? Che so, magari nelle nuove IOS è cambiato qualcosa di "macroscopico" che io ignoro.

Più tardi vado in azienda e vi scrivo qualche pezzo di configurazione.

Grazie dell'attenzione.
Andrea.

[Wizard]

Attendiamo la conf

[liscio]

!
! Last configuration change at 20:01:42 Italia Sat Dec 8 2007
! NVRAM config last updated at 20:02:42 Italia Sat Dec 8 2007
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname azienda2801
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
clock timezone Italia 1
clock summer-time Italia recurring last Sun Mar 1:00 last Sun Oct 1:00
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1 192.168.0.101
ip dhcp excluded-address 192.168.0.150 192.168.0.254
!
ip dhcp pool PoolDHCPazienda
network 192.168.0.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.0.253
!
!
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-2084632520
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2084632520
revocation-check none
rsakeypair TP-self-signed-2084632520
!
!
crypto pki certificate chain TP-self-signed-2084632520
certificate self-signed 01 nvram:IOS-Self-Sig#3005.cer
username administrator privilege 15 secret 5 $1$L3gY$KU1SoHmG3wJa8f4MVc4Lk1
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key tokenclienteazienda address 99.99.99.99 no-xauth
crypto isakmp key aziendaliscio address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set aziendacliente esp-3des esp-md5-hmac
!
crypto map mappaaziendaliscio local-address ATM0/1/0.1
crypto map mappaaziendaliscio 11 ipsec-isakmp
set peer liscio.ath.cx dynamic
set transform-set aziendacliente
match address acl_aziendaliscio
!
crypto map mappaaziendacliente local-address ATM0/1/0.1
crypto map mappaaziendacliente 10 ipsec-isakmp
description mappa vpn cliente
set peer 99.99.99.99
set transform-set aziendacliente
match address acl_aziendacliente
!
!
!
!
!
interface Loopback1
description loop liscio
ip address 192.168.2.253 255.255.255.0
crypto map mappaaziendaliscio
!
interface Loopback11
ip address 10.127.0.253 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map mappaaziendacliente
!
interface FastEthernet0/0
description LAN0
ip address 192.168.0.253 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
ip address 88.88.88.88 255.255.255.0
ip nat outside
ip virtual-reassembly
no ip route-cache
no snmp trap link-status
pvc 8/35
no oam-pvc manage
encapsulation aal5snap
!
!
ip route 0.0.0.0 0.0.0.0 ATM0/1/0.1
ip route 10.0.0.0 255.0.0.0 Loopback11
ip route 192.168.1.0 255.255.255.0 Loopback1
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool aziendaperimeter 88.77.77.153 88.77.77.153 netmask 255.255.255.248
ip nat inside source list aziendalan pool aziendaperimeter overload
ip nat inside source static 192.168.0.55 10.127.0.55 route-map rmaziendacliente
ip nat inside source static 192.168.0.56 10.127.0.56 route-map rmaziendacliente
ip nat inside source static 192.168.0.57 10.127.0.57 route-map rmaziendacliente
ip nat inside source static 192.168.0.58 10.127.0.58 route-map rmaziendacliente
ip nat inside source static 192.168.0.249 10.127.0.249 route-map rmaziendacliente
ip nat inside source static 192.168.0.252 10.127.0.252 route-map rmaziendacliente
ip nat inside source static 192.168.0.55 88.77.77.155 route-map rmaziendanat
ip nat inside source static 192.168.0.56 88.77.77.156 route-map rmaziendanat
ip nat inside source static 192.168.0.57 88.77.77.157 route-map rmaziendanat
ip nat inside source static 192.168.0.252 88.77.77.158 route-map rmaziendanat
!
ip access-list extended acl_aziendaliscio
remark acl_tunnel_vpn_liscio
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended acl_aziendacliente
remark tunnel cliente
permit ip 10.127.0.0 0.0.0.255 10.1.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.3.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.4.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.5.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.6.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.7.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.8.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.9.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.10.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.12.0.0 0.0.255.255
permit ip 10.127.0.0 0.0.0.255 10.54.0.0 0.0.0.255
ip access-list extended aclnatazienda
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
ip access-list extended aclnatcliente
permit ip any 10.0.0.0 0.255.255.255
ip access-list extended aziendalan
deny ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
!
access-list 23 permit 192.168.0.0 0.0.0.255
!
!
!
route-map rmnatazienda permit 10
match ip address aclnatazienda
!
route-map rmaziendacliente permit 10
match ip address aclnatcliente
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
logging synchronous
login local
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
password 7 15110C5951787B
logging synchronous
login
transport preferred telnet
transport input all
transport output all
line vty 5 15
access-class 23 in
privilege level 15
password 7 0205030E5E545F
logging synchronous
login
transport preferred telnet
transport input all
transport output all
line vty 16 807
access-class 23 in
privilege level 15
password 7 06050874191C59
logging synchronous
login
transport preferred telnet
transport input all
transport output all
!
scheduler allocate 20000 1000
sntp server 193.204.114.105
end

[liscio]

l'uso delle route map è dovuto al fatto che il nostro cliente ha cambiato schema di indirizzamento, quindi i nostri host devono presentarsi sulla vpn come appartenenti alla 10.127.0.0/24 e non come 192.168.0.0/24

[liscio]

prendiamo in esame prima il caso più semplice, la VPN verso la 192.168.1.0, "mappaaziendaliscio"

il problema credo sia legato al fatto che il peer è un dynamic dns. però sull'altro router funziona...
se provo a far partire il tunnel da un host della 192.168.1.0, sul debug del cisco2801 compare l'errore del tipo "nessuna regola per il peer: xx.xx.xx.xx"
perchè ovviamente il peer si presenta con il suo ip pubblico, e non con il dynamic dns.

[liscio]

nell'altra vpn, quella con "mappaaziendacliente" il problema dovrebbe essere nella route map, poichè se provo a pingare partendo dal router, verso un host remoto del tipo 10.3.xx.xx, il ping funziona, e il tunnel va su correttamente.