SR520, Alice Business e Tunnel IPsec

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Rispondi
garetjax76
n00b
Messaggi: 21
Iscritto il: mar 19 ott , 2010 5:05 pm

paolomat75 ha scritto:Non è quello che intendevo.
Torna indietro alla sittuazione di prima.
Quindi ricreo l'interfaccia Tunnel0?
Metti l'indirizzosed.sed. in una interfaccia loopback0.
Uhm.... così?
int Loopback0
ip address sed.sed.sed.sed 255.255.255.248

(se lo faccio però mi dice % sed.sed.sed.sed.sed overlaps with ATM0.1)
Nel tunnel come sorgente usa il loopback0. Il problema penso che dipenda che l'indirizzo sed.sed è secondary e non viene usato quello ma il primario nella negoziazione della VPN.
Ma, correggimi se sbaglio, se così fosse non dovrebbe neanche buttarla in UP la vpn, no?
Considera che adesso, come dicevo prima, l'indirizzo sed.sed non è più secondary sulla vpn1, ma è principale su atm0.1 (vedo che navighiamo lo stesso...)
Top
garetjax76
n00b
Messaggi: 21
Iscritto il: mar 19 ott , 2010 5:05 pm

Ragazzi penso proprio di esserci riuscito!!!!!!!!!
Credo che il problema fosse solo (come pensavo dall'inizio) di NAT.
Ho tratto spunto da questo sito http://www.blindhog.net/cisco-how-to-co ... ipsec-vpn/ per escludere il traffico delle vpn dal NAT, e credo anche che sia stata determinante l'aver tolto l'indirizzo punto-punto dall'ATM0.1.
Quando sono sicuro che funziona tutto posto la config intera!

Grazie 1000 per il supporto, sono troppo contento (ma non devo esserlo, la sfiga è dietro l'angolo) :)
Top
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ottimo :-).
Io ho finito ora di lavorare perché al riavvio del server per aggiornamenti di windoz non andavano più i server virtuali....
Che bella giornatina :-(
Non cade foglia che l'inconscio non voglia (S.B.)
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

garetjax76 ha scritto:Ragazzi penso proprio di esserci riuscito!!!!!!!!!
Credo che il problema fosse solo (come pensavo dall'inizio) di NAT
Ottimo, bene così

Rizio
Si vis pacem para bellum
Top
garetjax76
n00b
Messaggi: 21
Iscritto il: mar 19 ott , 2010 5:05 pm

Come promesso, riporto la config (limitatamente alla parte in questione):

Codice: Seleziona tutto

crypto isakmp policy 1
 hash md5
 authentication pre-share
!
crypto isakmp key <presharedkey> address FIL.FIL.FIL.FIL
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set Zyxel esp-des esp-sha-hmac 
!
crypto map CMAP-VPN 104 ipsec-isakmp 
 description Brescia
 set peer FIL.FIL.FIL.FIL
 set transform-set Zyxel 
 match address 104
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 ip address SED.SED.SED.SED 255.255.255.248
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 snmp trap ip verify drop-rate
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
 crypto map CMAP-VPN
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description LAN 192.168.0.0/24
 ip address 192.168.0.3 255.255.255.0
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool NAT-1 SED.SED.SED.SED SED.SED.SED.SED netmask 255.255.255.248
ip nat inside source route-map POLICY-VPN pool NAT-1 overload
ip nat inside source static tcp 192.168.0.11 5400 SED.SED.SED.SED xxxx extendable
!
ip access-list extended VPN
 deny   ip 192.168.0.0 0.0.0.255 172.24.1.64 0.0.0.63
 permit ip any any
!
access-list 104 permit ip 192.168.0.0 0.0.0.255 172.24.1.64 0.0.0.63
!
route-map POLICY-VPN permit 10
 match ip address VPN
Adesso però mi sorge un altro problema (minore ma che comunque voglio capire): la nat statica

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.11 5400 SED.SED.SED.SED xxxx extendable
l'ho creata in modo che i nostri rappresentanti, fuori sede, si potessero collegare ad un programma di messaggistica interno, il cui server gira sul 192.168.0.11 sulla porta xxxx, mediante il nostro ip pubblico.
Ora, chi è su internet riesce tranquillamente a collegarsi, chi è in filiale invece:
- se utilizza il 192.168.0.11 NON si collega (ma pinga il server)
- se utilizza l'ip pubblico invece sì

Inoltre (penso che i due problemi siano legati):

Codice: Seleziona tutto

SR520#ping 172.24.1.113
Sending 5, 100-byte ICMP Echos to 172.24.1.113, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

Codice: Seleziona tutto

SR520#ping 172.24.1.113 source 192.168.0.3
Sending 5, 100-byte ICMP Echos to 172.24.1.113, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 76/102/168 ms
Il mio intuito mi dice che è un problema di loopback, secondo voi?
Top
Rispondi

Torna a “Configurazioni End User”