Easy VPN Client + GRE over IPsec

[andITcsco]

Ciao a tutti,

ho trovato molto interessante questo script di configurazione per accesso da VPN client e ho provato a cimentarmi anch'io nell'implementazione.

Ho aggiunto la configurazione necessaria su di un router Cisco 837 che gestiva già un tunnel GRE over IPsec verso un Remote Office.

Il tunnel site-to-site continua (per fortuna) a funzionare correttamente.
Non riesco ad accedere da VPN client. In particolare uno dei due user (remoto02) sembra funzionare vedo il prompt di login, inserisco la password e il router la accetta ma sul più bello quando è ora di ricevere ip address va giù tutto e sul client in basso a sinistra compare "not connected". Con l'utente "remoto01" non riesco a fare l'accesso, mi pianto sulla schermata di login.

Qualcuno mi può dare qualche dritta?Posto qui la conf, grazie.



Current configuration : 4915 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXX
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
multilink bundle-name authenticated
!
!
username remoto01 password XXX
username remoto02 password XXX
!
!
crypto logging session
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key abtlgb3 address 9X.XX.XXX.X7 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group remote-vpn
key XXX
dns 151.99.125.2
domain XXX.local
pool remote-pool
acl 158
save-password
split-dns XXX.local
max-users 10
max-logins 10
banner ^C
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
^C
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set RTRtran esp-3des esp-sha-hmac
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set RTRtran
!
!
crypto dynamic-map remote-dyn 20
set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address ATM0.35
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
!
!
!
interface Loopback0
description Loopback di NAT
ip address 9X.XX.XX.X5 255.255.255.248
!
interface Tunnel0
ip address 10.10.10.1 255.255.255.0
tunnel source 9X.XX.XX.X5
tunnel destination 9X.XX.XXX.X7
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
!
interface Ethernet0
ip address 192.168.92.253 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
ip virtual-reassembly
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm auto-configuration
no atm ilmi-keepalive
no atm address-registration
no atm ilmi-enable
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.35 point-to-point
ip address 9X.XX.XX.XX1 255.255.255.252
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map remotemap
pvc 8/35
oam-pvc manage
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip local pool remote-pool 192.168.100.1
ip route 0.0.0.0 0.0.0.0 ATM0.35
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip route 192.168.100.0 255.255.255.0 ATM0.35
no ip http server
no ip http secure-server
!
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Loopback0 overload
!
access-list 23 permit 192.168.92.0 0.0.0.255
access-list 101 remark ************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark ************************************************************
access-list 101 deny ip 192.168.92.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.92.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.92.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 158 remark *************************************************************
!
control-plane
!
!
line con 0 XXXXXXXXXXXXX
password
login
no modem enable
line aux 0
password XXXXXXXXXXXXXXX
login
line vty 0 4
password XXXXXXXXXXXXXXX
login
!
scheduler max-task-time 5000
end [/code]

[andITcsco]

Aggiungo l'output del comando..

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: Tunnel0
Uptime: 00:35:34
Session status: UP-ACTIVE
Peer: 9X.XX.XXX.X7 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 9X.XX.XXX.X7
Desc: (none)
IKE SA: local 9X.XX.XX.X5/500 remote 9X.XX.XXX.X7/500 Active
Capabilities:D connid:1001 lifetime:23:24:25
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 1044 drop 0 life (KB/Sec) 4470035/1465
Outbound: #pkts enc'ed 1482 drop 0 life (KB/Sec) 4469416/1465

Interface: ATM0.35
Username: remoto02
Group: remote-vpn
Assigned address: 192.168.100.1
Session status: UP-IDLE
Peer: 2XX.XXX.XX.XX0 port 38156 fvrf: (none) ivrf: (none)
Phase1_id: remote-vpn
Desc: (none)
IKE SA: local 9X.XX.XX.X5/500 remote 2XX.XXX.XX.XX0/38156 Active
Capabilities:CDXN connid:1011 lifetime:23:58:04

Codice: Seleziona tutto

[Wizard]

Non riesco ad accedere da VPN client. In particolare uno dei due user (remoto02) sembra funzionare vedo il prompt di login, inserisco la password e il router la accetta ma sul più bello quando è ora di ricevere ip address va giù tutto e sul client in basso a sinistra compare "not connected". Con l'utente "remoto01" non riesco a fare l'accesso, mi pianto sulla schermata di login.

Mettiamo che con remoto01 sbagli a digitare la pass e concentriamoci su remoto02.

Ho controllato la configurazione e mi sembra tutto a posto...
Unica cosa magari aumenta il pool:

ip local pool remote-pool 192.168.100.1 192.168.100.10

Non è che la rete del client da dove provi è una 192.168.100.x?

[andITcsco]

Ciao,

ho eseguito qualche modifica sulla configurazione.
1-Ho cambiato la classe di indirizzi del remote-pool e ho reso disponibili 10 indirizzi.
2-Ho eliminato una delle due policy, ne resta una che dovrebbe gestire RAS da Client e tunneling verso sede remota.
Purtroppo niente da fare con il client non mi collego. Ho rivisto la config degli user, è vero sbagliavo psswd (ooops) ora mi autentico sia con remoto01 che con remoto02. Il tunnel con client però non va sù. Posto di nuovo la conf e l'output del comando show crypto session detail.

Codice: Seleziona tutto

Current configuration : 4835 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname gobinoA
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
multilink bundle-name authenticated
!
!
username remoto02 password 7 121E101E1604
username remoto01 password 7 01120800490E07
!
! 
crypto logging session
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key abtlgb3 address 9X.XX.XXX.x7 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group remote-vpn
 key XXXX
 dns 151.99.125.2
 domain XXX.local
 pool remote-pool
 acl 158
 save-password
 split-dns XXX.local
 max-users 10
 max-logins 10
 banner ^C 
-------------------------------------------------------------- 
System is RESTRICTED to authorized personnel ONLY 
Unauthorized use of this system will be logged and prosecuted 
to the fullest extent of the law. 
If you are NOT authorized to use this system, LOG OFF NOW 
-------------------------------------------------------------- 
     ^C
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set RTRtran esp-3des esp-sha-hmac 
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-sha-hmac 
!
crypto ipsec profile VTI
 set transform-set RTRtran 
!
!
crypto dynamic-map remote-dyn 10
 set transform-set VPN-CLI-SET 
!
!
crypto map remotemap local-address ATM0.35
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn 
!
!
!
!
interface Loopback0
 description Loopback di NAT
 ip address 9X.XX.XX.X5 255.255.255.248
!
interface Tunnel0
 ip address 10.10.10.1 255.255.255.0
 tunnel source 9X.XX.XX.X5
 tunnel destination 9X.XX.XXX.X7
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VTI
!
 interface Ethernet0
 ip address 192.168.92.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 ip virtual-reassembly
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm auto-configuration
 no atm ilmi-keepalive
 no atm address-registration
 no atm ilmi-enable
 dsl operating-mode auto
 hold-queue 224 in
!
interface ATM0.35 point-to-point
 ip address 9X.XX.XXX.XX1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 crypto map remotemap
 pvc 8/35 
  oam-pvc manage
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip local pool remote-pool 192.168.254.1 192.168.254.10
ip route 0.0.0.0 0.0.0.0 ATM0.35
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip route 192.168.254.0 255.255.255.0 ATM0.35
no ip http server
no ip http secure-server
!
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Loopback0 overload
!
access-list 23 permit 192.168.92.0 0.0.0.255
access-list 101 remark ************************************************************ 
access-list 101 remark *** ACL PER PAT *** 
access-list 101 remark ************************************************************ 
access-list 101 deny   ip 192.168.92.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 101 permit ip 192.168.92.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT *** 
access-list 158 remark ************************************************************* 
access-list 158 permit ip 192.168.92.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 158 remark ************************************************************* 
!
control-plane
!
!
line con 0
 password XXX
 login
 no modem enable
 line aux 0
 password XXX
 login
line vty 0 4
 password XXX
 login
!
scheduler max-task-time 5000
end

E qui l'output del comando

Codice: Seleziona tutto

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

Interface: Tunnel0
Uptime: 00:02:43
Session status: UP-ACTIVE     
Peer: 94.81.212.17 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 9X.XX.XXX.X7
      Desc: (none)
  IKE SA: local 9X.XX.XX.X5/500 remote 9X.XX.XXX.X7/500 Active 
          Capabilities:D connid:1013 lifetime:23:54:43
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 459 drop 0 life (KB/Sec) 4513488/3436
        Outbound: #pkts enc'ed 882 drop 0 life (KB/Sec) 4512866/3436

Interface: ATM0.35
Username: remoto01
Group: remote-vpn
Assigned address: 192.168.254.5
Session status: UP-IDLE
 Peer: 8X.XX.XXX.XX0 port 1418 fvrf: (none) ivrf: (none)
      Phase1_id: remote-vpn
      Desc: (none)
  IKE SA: local 9X.XX.XX.X5/4500 remote 8X.XX.XXX.XXX/1418 Active 
          Capabilities:CDXN connid:1015 lifetime:23:59:21

[Wizard]

Riesci, magari una sera, a rimuovere il tunnel gre e tenere sl la vpn client x vedere se è un problema di "compatibilità" tra le 2 vpn?

[andITcsco]

Ho già fatto questo test. Ho temporanemente messo in shutdown il tunnel 0 poi cancellato tutte le sessioni VPN attive e provato a lanciare il client, ma anche in questo caso non sono riuscito a connettermi.

Eppure sulla documentazione Cisco ho letto che VPN site-to-site e Easy VPN per accesso da Client possono essere implementate contemporaneamente su di un apparato..

[Wizard]

VPN client e VPN L2L IPSec ne ho configurate un tot sia su router che firewall Cisco e funzionano però, in effetti mai con una interfaccia tunnel...

Dalla altra parte della vpn l2l cosa hai?

[andITcsco]

VPN client e VPN L2L IPSec ne ho configurate un tot sia su router che firewall Cisco e funzionano però, in effetti mai con una interfaccia tunnel...

Infatti, l'intefaccia tunnel ho dovuto utilizzarla perchè l'encap dell'acceso ATM non è PPPoA (ma RFC 1483). Ho provato a configurare l2l senza interfaccia tunnel ma non funziona (credo sia dovuto proprio alla mia configurazione ATM che non ha la dialer ma la loopback per il NAT outside). Posto qui di seguito la mia configurazione di l2l senza interfaccia tunnel (la base è quella del tuo post della sezione VPN).

Codice: Seleziona tutto

crypto isakmp policy 10 
 encr 3des 
 hash md5 
 authentication pre-share 
 group 2 
crypto isakmp key <IP site_B> no-xauth 

crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac 

crypto map VPN local-address atm 0.35
crypto map VPN 10 ipsec-isakmp 
 set peer <IP site_B> 
 set transform-set VPN-SET 
 match address 151 

interface atm 0.35 
crypto map VPN 

no access-list 101 
access-list 101 remark ************************************************************* 
access-list 101 remark *** ACL PER PAT E NAT0 *** 
access-list 101 remark ************************************************************* 
access-list 101 deny   ip 192.168.92.0 0.0.0.255 192.168.1.0 0.0.0.255 
access-list 101 permit ip 192.168.2.0 0.0.0.255 any 

access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC *** 
access-list 151 remark ************************************************************* 
access-list 151 permit   ip 192.168.92.0 0.0.0.255 192.168.1.0 0.0.0.255 
access-list 151 remark ************************************************************* 

Dalla altra parte della vpn l2l cosa hai?

Ho un Cisco 857 medesima configurazione ATM e interfaccia tunnel.

Hai qualche altra idea?

Ti ringrazio.
Andy

[andITcsco]

Ciao,

credo proprio che il problema stia nella configurazione dell'accesso ADSL.
La configurazione attuale con sotto-interfaccia ATM point-to-point e loopback interface non consente di raggiungere l'IP remoto da cui lancio il Client VPN.

Dalla CLI non riesco a pingare l'IP remoto, anzi dalla CLI non raggiungo nessun indirizzo sulla Internet poichè la default route utilizza la sub interface ATM.

Al contrario invece dalla CLI riesco a pingare l'IP pubblico del sito_b e credo sia per questo che il tunnel site-to-site con interfacia tunnel funziona.

Adesso sono davvero a corto di idee..

Hai esperienza di tunnel l2l con configurazione ADSL e con sotto-interfaccia ATM point-to-point e loopback interface?E di accesso remoto con la medesima configurazione ADSL?

Andy

[Wizard]

Se l'IP che fa traffico è quello nella loopback devi fare così:

Codice: Seleziona tutto

crypto map VPN local-address Loopback0

[andITcsco]

Ciao,

Se l'IP che fa traffico è quello nella loopback devi fare così:

Codice:
crypto map VPN local-address Loopback0

ho già provato e non funziona.
Questa mattina per curiosità ho provato ad applicare la configurazione per accesso da Client su di un altro router che lavora in PPPoA.
Ho applicato la crypto map con il comando

Codice: Seleziona tutto

crypto map remotemap local-address dialer 0 

e l'accesso da Client funziona correttamente. Ho paura che dovrò rivedere la configurazione del cliente in oggetto, configurando la Dialer e negoziando il primo IP disponbile del pool in Radius. Credo sia l'unico modo per far funzionare l2l e soprattutto l'accesso da Client.

Da quello che ho notato attivato i debug, con la configurazione ATM point-to-point + Loopback il router non riesce a rispondere alle richieste provenienti dal Client perchè semplicemente non lo raggiunge. Come detto sopra il router si presenta su Internet con l'IP della punto-punto e quindi i pacchetti non tornano indietro.

Per il tunnel l2l invece la situazione è differente. Il collegamento funziona perchè la punto-punto del router raggiunge direttamente l'altro peer (le due sedi distano neanche due Km e molto probabilmente sono connesse allo stesso DSLAM).

Queste sono le verifiche che ho fatto, appena possibile modificherò la configurazione di entrambi gli apparati e testerò nuovamente.

E poi ovviamente aggiornerò il post

Andy

[Wizard]

Guarda che atm0.1 + lo0 + vpn client è una config che ho visto moltissime volte!
Si risolve con il comando che ti ho detto prima e sinceramente nn so perchè nn funzioni...

crypto map ### local-address Loopback0

[andITcsco]

Ciao,

ho rivisto la configurazione, applicando la modifica da te segnalata (più volte).

crypto map ### local-address Loopback0

Adesso l'accesso da client funziona (esegue login, raggiungo tutti gli host della rete).

Ho verificato due problemi però:
1- perdita di pacchetti dal client verso la LAN (5% circa).
2- ogni tanto il tunnel site-to-site va giù e torna up appena c'è un pò di traffico tra le due LAN.

Ti ringrazio molto Wizard, nel caso avessi voglia di darmi qualche dritta per risolvere questi due nuovi problemi ti posto la conf.

Andy

Codice: Seleziona tutto

Building configuration...

Current configuration : 4934 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXX
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
multilink bundle-name authenticated
!
!
username remoto02 password XXX
username remoto01 password XXX
!
! 
crypto logging session
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key abtlgb3 address 9X.XX.XXX.XX7 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group remote-vpn
 key XXX
 dns 151.99.125.2
 domain XXX.local
 pool remote-pool
 acl 158
 save-password
 split-dns XXX.local
 max-users 10
 max-logins 10
 banner ^CC 
-------------------------------------------------------------- 
System is RESTRICTED to authorized personnel ONLY 
Unauthorized use of this system will be logged and prosecuted 
to the fullest extent of the law. 
If you are NOT authorized to use this system, LOG OFF NOW 
-------------------------------------------------------------- 
          ^C
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set RTRtran esp-3des esp-sha-hmac 
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-sha-hmac 
!
crypto ipsec profile VTI
 set transform-set RTRtran 
!
!
 crypto dynamic-map remote-dyn 10
 set transform-set VPN-CLI-SET 
!
!
crypto map remotemap local-address Loopback0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn 
!
!
!
!
interface Loopback0
 description Loopback di NAT
 ip address 9X.XX.XX.X5 255.255.255.248
!
interface Tunnel0
 ip address 10.10.10.1 255.255.255.0
 tunnel source 9X.XX.XX.X5
 tunnel destination 9X.XX.XXX.XX7
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VTI
!
interface Ethernet0
 ip address 192.168.92.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 ip virtual-reassembly
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no atm auto-configuration
 no atm ilmi-keepalive
 no atm address-registration
 no atm ilmi-enable
 dsl operating-mode auto
 hold-queue 224 in
!
interface ATM0.35 point-to-point
 ip address 9X.XX.XXX.XX2 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 no ip mroute-cache
 no snmp trap link-status
 crypto map remotemap
 pvc 8/35 
  oam-pvc manage
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip local pool remote-pool 192.168.254.1 192.168.254.10
ip route 0.0.0.0 0.0.0.0 ATM0.35
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip route 192.168.254.0 255.255.255.0 ATM0.35
no ip http server
no ip http secure-server
!
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Loopback0 overload
!
access-list 23 permit 192.168.92.0 0.0.0.255
access-list 101 remark ************************************************************ 
access-list 101 remark *** ACL PER PAT *** 
access-list 101 remark ************************************************************ 
access-list 101 deny   ip 192.168.92.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 101 permit ip 192.168.92.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT *** 
access-list 158 remark ************************************************************* 
access-list 158 permit ip 192.168.92.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 158 remark ************************************************************* 
!
control-plane
!
!
 line con 0
 password XXX
 login
 no modem enable
line aux 0
 password XXX
 login
line vty 0 4
 password XXX
 login
!
scheduler max-task-time 5000
end

[Wizard]

1- perdita di pacchetti dal client verso la LAN (5% circa).

2- ogni tanto il tunnel site-to-site va giù e torna up appena c'è un pò di traffico tra le due LAN.

1) Magari è un problema di linea internet
2) Direi che è normale x una vpn, devi controllare i parametri del idle timeout

[andITcsco]

1) Magari è un problema di linea internet
2) Direi che è normale x una vpn, devi controllare i parametri del idle timeout

1- Ho fatto dei test accedendo, da due diverse connettività Internet, da Client verso il router. In entrambi i casi con tunnel VPN Client attivo ho verificato una perdita di pacchetti del 5% (facendo dei ping verso IP di un server in LAN). Ho fatto lo stesso test di raggiungibilità ICMP, sempre da due connettvità Internet diverse, direttamente sull'IP pubblico del cliente ed in questo caso NESSUNA perdita di pacchetti. Potrebbe essere un problema di configurazione?

2- Beh effettivamente ci sono dei parametri su cui si potrebbe agire, provo.

Codice: Seleziona tutto

crypto ipsec security-association idle-time 3600 

Codice: Seleziona tutto

crypto isakmp xauth timeout 90