Aiutissimo per configurazione VPN cisco 877 WK9

[nightvar]

Salve a tutti. Sono nuovo del forum e spero tanto mi possiate aiutare.
Allora, ho un problema grosso con una configurazione particolare che, fra l' altro, non sono sicuro si possa fare.
Ho configurato un Cisco 1801 k9 come "centro stella" per creare varie VPN, una Lan to Lan con un cisco 877wk9 e 5 per accesso remoto con i vari client su altrettanti portatili.
Ora, sul centro stella ho una linea alice adaptive 20 mega 40 kbps garantiti, indirizzo statico in RFC (quindi senza autenticazione) come pure sul cisco 877wk9 e funziona tutto (già la configurazione wired/wireless dell' 877wk9 è delirante....) e vorrei installare un altro 877wk9 in un'altra sede che pero' ha come linea una Alice 7 Mega senza ip statico ed in PPOE. Da alcune indicazioni, pensavo si potesse fare con l' easy Vpn ( l'877 dovrebbe "emulare" in qualche modo la VPN Lan to Lan), ma a questo punto non ne sono cosi' sicuro.
Difatti il tunnel viene tirato su, ma non rimane connesso, ossia ogni volta lo devo ritirare su manualmente (come se fosse un client dei portatili) e poi, non capisco perchè, se il tunnel è su, non vado su Internet (come del resto accade sui client dei portatili).
La domanda è: si puo' fare questa configurazione "ibrida" o per forza devo avere un ip statico per crearmi una "vera" Lan to Lan?
Devo modificare qualcosa sul centro stella, cioè sul 1801 K9?
Ringraziandovi anticipatamente per l'aiuto, ripromettendomi di inviarvi la conf dell' 877 al piu' presto, vi saluto cordialmente e vi faccio i complimenti per il sito che altre volte mi ha aiutato.

[Wizard]

Si può fare tutto tranquillo!
Per il fatto che le vpn client isolino il portatile è normale se nn hai configurato lo split tunnel sul centro stella!

Per il resto appena puoi posta la config che vediamo

[nightvar]

Mi rincuori davvero Wizard....per i client lo so che non vanno su IE per lo split, volutamente non configurato (almeno le VPN viaggiano meglio...), mentre in questo caso vorrei configurarlo ma, sinceramente, essendo da poco che sono nel mondo Cisco (per di piu' da autodidatta), non lo conosco cosi' bene.
Ti ringrazio ancora per la sollecitudine e conto, entro domani sera, di farti avere la conf.
Anzi, se poi servisse a qualcuno, se vuoi ( e ti prego di non prenderla come offesa vista la tua conoscenza sicuramente superiore alla mia) ti mando la conf per il wired/wireless della "bestiaccia" 877 wk9 che ti giuro, almeno per me, è stata delirante (si trova ben poco, o almeno ho trovato ben poco, su Internet e anche Cisco per quello specifico apparecchio e per detta conf. mi è sembrata piuttosto deficitaria).
Grazie mille ancora.
A domani.

[nightvar]

Buongiorno Wizard;
di seguito la conf. attuale dell' 877 wk9 sul quale vorrei emulare la VPN lan to lan.
Una domanda: a parte gli eventuali errori, devo lavorare anche sul centro stella o no?
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname mare
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain lookup
ip name-server 88.37.17.5
ip name-server 85.38.28.77
!
!
crypto pki trustpoint TP-self-signed-1252989709
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1252989709
revocation-check none
rsakeypair TP-self-signed-1252989709
!
!
crypto pki certificate chain TP-self-signed-1252989709
certificate self-signed 01
3082023D 308201A6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323532 39383937 3039301E 170D3032 30333039 30373138
30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32353239
38393730 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C5DE F73BD4ED D343C507 D58EEFB4 EF11381E C899B063 20FFAF76 EC3E8378
BE959541 FDA7EC97 7EBAC856 27FF7796 EFABE1CC AD0611CC 79DA94DC AE0631BA
33BF18CB 5BAABB54 349CFA52 86FCF349 AD449D4D 1937672E 4DE786ED B881CE9F
A3A03DF1 842C5FAD 56F6DC6C 93FC6CD6 C6859807 F2DFB611 D2CE2BC4 7951F938
55DD0203 010001A3 65306330 0F060355 1D130101 FF040530 030101FF 30100603
551D1104 09300782 056D6172 652E301F 0603551D 23041830 16801420 FD6FE44E
CED81B3B AEF401B1 C2620F62 A1CD1F30 1D060355 1D0E0416 041420FD 6FE44ECE
D81B3BAE F401B1C2 620F62A1 CD1F300D 06092A86 4886F70D 01010405 00038181
007AF185 34F1A475 4A3CBADC 6E075AB7 0A36B444 3E34B4C9 4035257C 5C404A1B
26508987 0B43BE3B 53C3FB3F A82B613E B383272A F0031210 62FC1A99 85FD1D80
70FF5767 5004702B 23BBE172 882614B7 9428C166 B98E6CD2 4703AD36 F45B5CAD
2D9EE5AE 506091A4 6B6CEB2D 31343046 6701A22D 9526A5F1 A7EC0C02 4ECF606A 85
quit
username xy privilege 15 password 0 xyz
!
!
!
!
crypto ipsec client ezvpn Francesca
connect auto
group vpngroup key vpnkey
mode network-extension
peer 88.63.212.225
virtual-interface 1
username vpnuser password vpnpassword
xauth userid mode local
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 192.168.40.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
crypto ipsec client ezvpn Francesca inside
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
ppp pap sent-username aliceadsl password 0 aliceadsl
crypto ipsec client ezvpn Francesca
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 2
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 110 interface Dialer0 overload
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.40.0 0.0.0.255
access-list 110 deny ip 192.168.40.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.40.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

[Wizard]

Io proverei così, sul router periferico con ip dinamico configurerei una vpn l2l con il centro stella nel modo "classico".
Nel centro stella configura poi tutto come se avessi un ip statico ma metti 0.0.0.0 invece che l'ip statico

[nightvar]

Grazie mille per la velocità.....
appena posso ci provo e ti faccio sapere.
Grazie ancora.

[nightvar]

Ciao Wizard....fortunatamente ho risolto tutto.
Bastava lavorare sul centro stella.
Allora, per far si' che il tunnel rimanesse sempre su, senza doverlo attivare ogni volta (tipo una access lan), bastava dire al centro stella di salvare i dati di autenticazione.
Per lo split tunnel, bastava aggiungere una access-list.
Ora finalmente ho, sul centro stella, 3 VPN diverse perfettamente funzionanti:
una LAN TO LAN con indirizzi statici, una access LAN per collegamenti da remoto coi portatili ed una "ibrida" in ppoe senza indirizzo statico.
L'ultimo sforzo sarà configurare il wireless dell' ultimo 877wk9, leggermente diverso dall' altro perchè ho una ppoe invece di una rfc.
Grazie comunque per l' interessamento.

[Wizard]

Bene, puoi postare la config del centro stella e del router periferico con ip dinamico attuali così altri utenti possono vedere?!

Grazie

[nightvar]

Ciao Wizard...
appena posso vi inviero' il tutto ad una condizione.....
quando qualcuno vi fa domande precise perchè magari è veramente in difficoltà, sottoscritto compreso, gradirebbe risposte esatte come, appunto, le configurazioni che ora mi chiedi di mettere a disposizione di tutti.
Nel caso non le aveste o non vi fosse mai capitata una particolare conf., secondo me, sarebbe opportuno che tutti coloro che l' hanno risolta la condividessero veramente con tutti, senza se o ma o "proverei".
Non la prendete come una "critica eccessiva" a questo forum che reputo senza ombra di dubbio uno dei migliori in circolazione, ma sembra che, a volte, si voglia mantenere un "limite preciso" alla diffusione delle conoscenze.
Fosse per me, appena uno si iscrive e chiede aiuto, qualora lo ottenga e risolva, dovrebbe poi essere obbligato a fare altrettanto con gli altri pena, magari dopo 2-3 richieste di aiuto, la "bannazione" dal forum.
Tanto penso che se uno lavora con Cisco e non ha basi sufficienti, anche se ha una conf. scritta e la copia pari pari, se non sa cio' che fa non va molto lontano.....
Ribadisco comunque che il vostro forum è, se non il migliore, un punto di riferimento certo per i Cisco-desperados.
A presto.

[Wizard]

Personalmente non mi piace molto di principio dare config pronte al copia e incolla ma preferisco spiegare, come ho fatto con te la "tecnica" da usare anche perchè, come ho scritto altre volte Cisco non è per tutti e se uno sa poco\nulla di IP, networking, security etc. è meglio che si compri un linksys o che chiami qualche azienda specializzata

[nightvar]

Buongiorno Wizard,
d'accordissimo con te, ma, ad esempio, in questo caso specifico, la soluzione era diversa da quella che pensavi fosse (ho lasciato la conf che ho postato sull' 877 e ho aggiunto solo 2 stringhe sul centro stella).
Credo che l'ideale sarebbe mettere le conf con accanto la spiegazione anche perchè le possibili configurazioni che si possono presentare di volta in volta sono moltepilici e, oltretutto, in molti casi, secondo l'ios o l'apparato che uno sta configurando, cambiano addirittura molti comandi (si vedano ad esempio i pix, gli ASA, gli 877 col wireless quest'ultimo a mio avviso fatto piuttosto male).
Cmq. appena posso, posto il tutto.
Ciao.