Salve a tutti...
Dovrei configurare un tunnel VPN tra due 3745.
I due router montano lo stesso IOS.
Questo è lo show ver:
Cisco IOS Software, 3700 Software (C3745-ADVENTERPRISEK9-M), Version 12.4(12), R
ELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Fri 17-Nov-06 15:09 by prod_rel_team
Attualmente sto simulando il link wan tra di loro via ethernet.
Lo scenario è il seguente:
Router "Centrale" che collega la lan principale 10.0.0.0/8 e router "Periferia" che collega la lan secondaria 192.168.1.0/24
I due router sono collegati tra di loro con le rispettive fastethernet0/1 con indirizzo 192.168.168.1 il principale e 192.168.168.2 il secondario
Queste sono le conf che attualmente sto usando:
Router Centrale
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CENTRALE
!
!
!
no aaa new-model
!
resource policy
!
ip cef
ip name-server 10.216.3.16
ip name-server 10.216.3.17
!
!
!
username sergio privilege 15 password sergio
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key chiave address 192.168.168.2 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address FastEthernet0/1
crypto map VPN 10 ipsec-isakmp
set peer 192.168.168.2
set transform-set VPN-SET
match address 150
!
!
!
interface FastEthernet0/0
ip address 10.217.32.2 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
no shutdown
exit
!
interface FastEthernet0/1
ip address 192.168.168.1 255.255.255.0
ip virtual-reassembly
no ip mroute-cache
crypto map VPN
ip nat outside
no shutdown
exit
!
!
ip route 10.0.0.0 255.0.0.0 10.217.32.5
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
ip nat inside source list 100 interface FastEthernet0/1 overload
!
no ip http server
no ip http secure-server
!
access-list 100 remark ***NAT***
access-list 100 deny ip 10.0.0.0 0.255.225.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 150 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 150 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.255.255.255
!
!
control-plane
!
banner login ^CC
****************************************************************
ATTENZIONE:
Ogni accesso non autorizzato e' proibito.
Ogni tentativo di accedere viene controllato e registrato.
Chiunque tenti di immettersi nel sistema verra' perseguito
a norma di legge.
Unauthorized access is prohibited.
****************************************************************
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
login local
transport input telnet
!
scheduler max-task-time 5000
Router Periferia
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname Virtual_CGAS
!
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
username sergio privilege 15 password sergio
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key chiave address 192.168.168.1 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map CGAS local-address FastEthernet0/1
crypto map CGAS 10 ipsec-isakmp
set peer 192.168.168.1
set transform-set VPN-SET
match address 150
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
no shutdown
exit
!
interface FastEthernet0/1
ip address 192.168.168.2 255.255.255.0
ip virtual-reassembly
no ip mroute-cache
crypto map CGAS
ip nat outside
no shutdown
exit
!
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
ip nat inside source list 100 interface FastEthernet0/1 overload
!
no ip http server
no ip http secure-server
!
access-list 100 remark ***NAT***
access-list 100 deny ip 192.168.1.0 0.255.225.255 10.0.0.0 0.255.255.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 150 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 150 permit ip 192.168.1.0 0.255.255.255 10.0.0.0 0.255.255.255
!
!
control-plane
!
banner login ^CC
****************************************************************
ATTENZIONE:
Ogni accesso non autorizzato e' proibito.
Ogni tentativo di accedere viene controllato e registrato.
Chiunque tenti di immettersi nel sistema verra' perseguito
a norma di legge.
Unauthorized access is prohibited.
****************************************************************
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
login local
transport input telnet
!
scheduler max-task-time 5000
Questo è l'output di sh crypto session sul router centrale:
Crypto session current status
Interface: FastEthernet0/1
Session status: DOWN
Peer: 192.168.168.2 port 500
IPSEC FLOW: permit ip 10.0.0.0/255.0.0.0 192.168.1.0/255.255.255.0
Active SAs: 0, origin: crypto map
Questo è l'output di sh crypto session sul router periferico:
Virtual_CGAS#sh crypto session
Crypto session current status
Interface: FastEthernet0/1
Session status: DOWN
Peer: 192.168.168.1 port 500
IPSEC FLOW: permit ip 10.0.0.0/255.0.0.0 192.168.1.0/255.255.255.0
Active SAs: 0, origin: crypto map
Qualche idea???
VPN
Moderatore: Federico.Lagni
-
Vildarin
- n00b
- Messaggi: 1
- Iscritto il: gio 20 dic , 2007 12:59 pm
Be noi al lavoro utilizziamo questo tipo di conf:
interface Tunnel0
ip unnumbered Vlan1
tunnel source <intervaccia di collegamento alla wan>
tunnel destination <IP del router di destinazione>
ip route <LAN Interna del router di destinazione> 255.255.255.0 Tunnel0
stessa cosa si fa sul router di destinazione.
Così mi creo il tunneling tra i due router e dalla lan di uno ho accesso alla lan dell'altro.
interface Tunnel0
ip unnumbered Vlan1
tunnel source <intervaccia di collegamento alla wan>
tunnel destination <IP del router di destinazione>
ip route <LAN Interna del router di destinazione> 255.255.255.0 Tunnel0
stessa cosa si fa sul router di destinazione.
Così mi creo il tunneling tra i due router e dalla lan di uno ho accesso alla lan dell'altro.
