Ciao a Tutti,
Sono nuovo del Forum e spero di trovare utili spunti per la mia attività sistemistica.
Il problema è il seguente:
Per un cliente ho configurato 2 Router Cisco 1841 con VPN e Backup ISDN. IL problema è che il Tunnel VPN non va su.
Visto che i 2 Router non sono stati acquistati dal cliente con Memoria e IOS adeguati per VPN, suppongo che il problema possa essere nella release dell'IOS
Originariamente i Router avevano 32MB-F/128MB-DR portati a 64MB-F/256MB-DR con memoria Cisco compatibile
Limmagine IOS era per entrambi: C1841-IPbase-mz124-12c.bin
Ho caricato nella Flash la: C1841-advsecurityk9-mz124-T15.bin
senza acquistare da Cisco la licenza ma, utilizzando un'immagine che ho backuppato da un altro C1841.
La mia configurazione fatta da CLI per entrambi gli apparati la posto a parte.
Grazie a tutti e Buone Feste
VPN Lan to Lan Cisco 1841
Moderatore: Federico.Lagni
-
CiscoBGP
- Cisco power user
- Messaggi: 90
- Iscritto il: ven 26 dic , 2008 3:02 pm
- Località: Reggio Emilia
Building configuration...
Current configuration : 2743 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router1
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15T.bin
boot-end-marker
!
enable secret 5 $1$yABg$MQeRBuox/W7KSl4WFGphN1
!
no aaa new-model
ip cef
!
!
!
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
isdn switch-type basic-net3
!
!
username xxxxx privilege 15 password 0 xxxxx
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 tunnelVPN address x.x.x.x
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set SetVPN esp-3des esp-md5-hmac
!
crypto map C-MAP 20 ipsec-isakmp
set peer x.x.x.x
set transform-set SetVPN
match address 110
!
!
!
interface FastEthernet0/0
description "Interfaccia Lan"
ip address 192.168.11.199 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface ATM0/0/0
description "Interfaccia WAN fisica ADSL"
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
description "Interfaccia WAN logica ADSL"
ip address x.x.x.x 255.255.255.248
ip mtu 1500
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map C-MAP
pvc 8/35
encapsulation aal5snap
!
!
interface BRI0/1/0
description "Interfaccia ISDN fisica di Backup"
no ip address
encapsulation ppp
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
!
interface Dialer0
description "Interfaccia logica di Backup"
ip address x.x.x.x 255.255.255.252
dialer pool 1
dialer idle-timeout 600
dialer string 0522767034
dialer-group 1
!
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.1
!
ip http server
no ip http secure-server
ip nat inside source route-map NatVPN interface ATM0/0/0.1 overload
ip nat inside source static tcp 192.168.11.100 80 x.x.x.x 80 extendable
ip nat inside source static tcp 192.168.11.100 3389 x.x.x.x 3389 extendable
ip nat inside source static tcp 192.168.11.101 3389 x.x.x.x 3389 extendable
ip nat inside source static tcp 192.168.11.102 3389 x.x.x.x 3389 extendable
!
access-list 110 permit ip 192.168.11.0 0.0.0.255 192.200.200.0 0.0.0.255
access-list 120 deny ip 192.168.11.0 0.0.0.255 192.200.200.0 0.0.0.255
access-list 120 permit ip 192.168.11.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map NatVPN permit 20
match ip address 120
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password telnetxxxx
login
transport input telnet
!
scheduler allocate 20000 1000
end
Router1#
Current configuration : 2743 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router1
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15T.bin
boot-end-marker
!
enable secret 5 $1$yABg$MQeRBuox/W7KSl4WFGphN1
!
no aaa new-model
ip cef
!
!
!
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
isdn switch-type basic-net3
!
!
username xxxxx privilege 15 password 0 xxxxx
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 tunnelVPN address x.x.x.x
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set SetVPN esp-3des esp-md5-hmac
!
crypto map C-MAP 20 ipsec-isakmp
set peer x.x.x.x
set transform-set SetVPN
match address 110
!
!
!
interface FastEthernet0/0
description "Interfaccia Lan"
ip address 192.168.11.199 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface ATM0/0/0
description "Interfaccia WAN fisica ADSL"
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
description "Interfaccia WAN logica ADSL"
ip address x.x.x.x 255.255.255.248
ip mtu 1500
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map C-MAP
pvc 8/35
encapsulation aal5snap
!
!
interface BRI0/1/0
description "Interfaccia ISDN fisica di Backup"
no ip address
encapsulation ppp
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
!
interface Dialer0
description "Interfaccia logica di Backup"
ip address x.x.x.x 255.255.255.252
dialer pool 1
dialer idle-timeout 600
dialer string 0522767034
dialer-group 1
!
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.1
!
ip http server
no ip http secure-server
ip nat inside source route-map NatVPN interface ATM0/0/0.1 overload
ip nat inside source static tcp 192.168.11.100 80 x.x.x.x 80 extendable
ip nat inside source static tcp 192.168.11.100 3389 x.x.x.x 3389 extendable
ip nat inside source static tcp 192.168.11.101 3389 x.x.x.x 3389 extendable
ip nat inside source static tcp 192.168.11.102 3389 x.x.x.x 3389 extendable
!
access-list 110 permit ip 192.168.11.0 0.0.0.255 192.200.200.0 0.0.0.255
access-list 120 deny ip 192.168.11.0 0.0.0.255 192.200.200.0 0.0.0.255
access-list 120 permit ip 192.168.11.0 0.0.0.255 any
dialer-list 1 protocol ip permit
route-map NatVPN permit 20
match ip address 120
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password telnetxxxx
login
transport input telnet
!
scheduler allocate 20000 1000
end
Router1#
-
CiscoBGP
- Cisco power user
- Messaggi: 90
- Iscritto il: ven 26 dic , 2008 3:02 pm
- Località: Reggio Emilia
Router2# show running-config
Building configuration...
Current configuration : 3064 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router2
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15T.bin
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$s5.9$40NGOgEcxQpQ1gdN6FEMz1
!
no aaa new-model
ip cef
!
!
!
!
ip domain name yourdomain.com
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
!
username xxxx privilege 15 password 0 xxxxx
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 tunnelVPN address x.x.x.x
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set SetVPN esp-3des esp-md5-hmac
!
crypto map C-MAP 20 ipsec-isakmp
set peer x.x.x.x
set transform-set SetVPN
match address 110
!
!
!
interface FastEthernet0/0
description "Rete LAN "
ip address 192.200.200.202 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1/0
description "Interfaccia WAN seriale"
no ip address
encapsulation frame-relay IETF
!
interface Serial0/1/0.1 point-to-point
description "Collegamento a rete Frame-Relay"
ip address x.x.x.x 255.255.255.240
ip nat outside
ip virtual-reassembly
frame-relay interface-dlci 336 IETF
crypto map C-MAP
!
ip route 0.0.0.0 0.0.0.0 Serial0/1/0.1
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map NatVPN interface Serial0/1/0.1 overload
!
access-list 110 permit ip 192.200.200.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 120 deny ip 192.200.200.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 120 permit ip 192.200.200.0 0.0.0.255 any
route-map NatVPN permit 20
match ip address 120
!
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege le
vel of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use
.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
-----------------------------------------------------------------------
^C
!
line con 0
login local
transport preferred telnet
transport output telnet
line aux 0
line vty 0 4
privilege level 15
password telnetxxxx
login
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
end
Router2#
Building configuration...
Current configuration : 3064 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router2
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15T.bin
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$s5.9$40NGOgEcxQpQ1gdN6FEMz1
!
no aaa new-model
ip cef
!
!
!
!
ip domain name yourdomain.com
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
!
username xxxx privilege 15 password 0 xxxxx
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 tunnelVPN address x.x.x.x
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set SetVPN esp-3des esp-md5-hmac
!
crypto map C-MAP 20 ipsec-isakmp
set peer x.x.x.x
set transform-set SetVPN
match address 110
!
!
!
interface FastEthernet0/0
description "Rete LAN "
ip address 192.200.200.202 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1/0
description "Interfaccia WAN seriale"
no ip address
encapsulation frame-relay IETF
!
interface Serial0/1/0.1 point-to-point
description "Collegamento a rete Frame-Relay"
ip address x.x.x.x 255.255.255.240
ip nat outside
ip virtual-reassembly
frame-relay interface-dlci 336 IETF
crypto map C-MAP
!
ip route 0.0.0.0 0.0.0.0 Serial0/1/0.1
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map NatVPN interface Serial0/1/0.1 overload
!
access-list 110 permit ip 192.200.200.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 120 deny ip 192.200.200.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 120 permit ip 192.200.200.0 0.0.0.255 any
route-map NatVPN permit 20
match ip address 120
!
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege le
vel of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use
.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
-----------------------------------------------------------------------
^C
!
line con 0
login local
transport preferred telnet
transport output telnet
line aux 0
line vty 0 4
privilege level 15
password telnetxxxx
login
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
end
Router2#
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Fai un paio di ping da entrambi i lati della vpn poi su ogni router dai il seguente comado:
sh cry isa sa
vedrai lo stato della fase 1
sh cry isa sa
vedrai lo stato della fase 1
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
CiscoBGP
- Cisco power user
- Messaggi: 90
- Iscritto il: ven 26 dic , 2008 3:02 pm
- Località: Reggio Emilia
Ciao Wizard,
Ho usato il comando che mi hai indicato con questo risultato:
Router1#show crypto isakmp sa
dst src state connn-id slot staus
Router1#
Lo stesso risultato l'ho ottenuto sul Router2 dopo avere lanciato un ping
da entrambi i Router verso IP Lan.
E' possibile che ISAKMP non sia attivo?
Ho provato ad abilitarlo ma il comando:
Router1(config)#enable crypto isakmp
Non è presente o non me lo prende.
Forse non ho caricato l'immagine correttamente su uno/entrambi i Router?
Buon Anno a tutti!!
Ho usato il comando che mi hai indicato con questo risultato:
Router1#show crypto isakmp sa
dst src state connn-id slot staus
Router1#
Lo stesso risultato l'ho ottenuto sul Router2 dopo avere lanciato un ping
da entrambi i Router verso IP Lan.
E' possibile che ISAKMP non sia attivo?
Ho provato ad abilitarlo ma il comando:
Router1(config)#enable crypto isakmp
Non è presente o non me lo prende.
Forse non ho caricato l'immagine correttamente su uno/entrambi i Router?
Buon Anno a tutti!!
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mhm ma il ping lo hai fatto così?!
ping IP_REMOTO source FastEthernet0/0
ping IP_REMOTO source FastEthernet0/0
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
CiscoBGP
- Cisco power user
- Messaggi: 90
- Iscritto il: ven 26 dic , 2008 3:02 pm
- Località: Reggio Emilia
Ciao Wiz,
No il Ping lo avevo effettuato senza indicare l'interfaccia sorgente.
L'ho fatto come mi hai indicato tu, su entrambi i Router e la fase 1
non è andata su.
E' possibile che avendo caricato una nuova immagine(advsecurityK9) ma avendo mantenuto su un Router la configurazione che avevo fatto con la precedente immagine(IPBase) mi abbia sporcato la conf?
Ah,... la conf l'hai guardata? dovrebbe essere corretta.
Grazie Wiz
No il Ping lo avevo effettuato senza indicare l'interfaccia sorgente.
L'ho fatto come mi hai indicato tu, su entrambi i Router e la fase 1
non è andata su.
E' possibile che avendo caricato una nuova immagine(advsecurityK9) ma avendo mantenuto su un Router la configurazione che avevo fatto con la precedente immagine(IPBase) mi abbia sporcato la conf?
Ah,... la conf l'hai guardata? dovrebbe essere corretta.
Grazie Wiz
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Si la config sembra OK...
Devi debuggare...
Inizia dal isakmp...
debug crypto isaknp sa
ter mon
mentre provi un ping da una parte alla altra
Devi debuggare...
Inizia dal isakmp...
debug crypto isaknp sa
ter mon
mentre provi un ping da una parte alla altra
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
CiscoBGP
- Cisco power user
- Messaggi: 90
- Iscritto il: ven 26 dic , 2008 3:02 pm
- Località: Reggio Emilia
Wiz alla fine ho risolto!
Il problema era sull'IOS del secondo Router.
L'immagine non era stata caricata correttamente.
Ho rifatto la conf con immagine nuova ed è salita subito.
Ora che ho risolto questo problemino...ho un problema.
Fare una VPN su Backup ISDN.
Posso postare sempre in questa sezione VPN o devo andare in configurazioni?
Thanks
Il problema era sull'IOS del secondo Router.
L'immagine non era stata caricata correttamente.
Ho rifatto la conf con immagine nuova ed è salita subito.
Ora che ho risolto questo problemino...ho un problema.
Fare una VPN su Backup ISDN.
Posso postare sempre in questa sezione VPN o devo andare in configurazioni?
Thanks
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Maledetti bug...
Si Si apri pure un nuovo topic in questa sezione
Si Si apri pure un nuovo topic in questa sezione
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
