SR520, Alice Business e Tunnel IPsec

[garetjax76]

Sono di nuovo qua con il mio SR520 e le VPN IPsec che devo realizzare.
Ho fatto qualche passo avanti e mi sono un attimo chiarito le idee, ma continuo ad avere problemi nel realizzare un tunnel ipsec da e verso la nostra filiale.
La situazione:
- router in sede Cisco SR520 (192.168.0.3)
- adsl in sede Business Telecom con 6 indirizzi ip (classe 255.255.255.248)
- router in filiale Zyxel 661H (172.24.1.113)
- adsl in filiale uguale a quella in sede
- lo Zyxel è configurato con il primo ip statico disponibile nella sottorete, l'ip punto-punto non viene utilizzato
- il Cisco invece (come vedrete) utilizza il punto-punto fornito da telecom sulla ATM0.1, mentre natta la rete locale con il primo ip statico disponibile

Il massimo che sono riuscito a fare, per ora, è tirare su il tunnel e far pingare (ma solo dal cisco) la sottorete della filiale.
Quindi il tunnel ipsec presumo sia corretto.
Riesco ad accedere (ma solo dal cisco) a tutti gli apparati in filiale, se provo da un pc che ha come default gateway il cisco, non funziona.
Immagino che sia un problema o di NAT oppure di "tunnel source" che è impostato come ip pubblico del router, però anche se provo a mettere "tunnel source VLAN1" si comporta esattamente nello stesso modo.
(si capisce che non ne so una mazza di ios? )

La configurazione:

Codice: Seleziona tutto

Current configuration : 7857 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SR520
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
enable secret 5 
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-3423622799
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3423622799
 revocation-check none
 rsakeypair TP-self-signed-3423622799
!
!
crypto pki certificate chain TP-self-signed-3423622799
 certificate self-signed 01
3082023D 308201A6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33343233 36323237 3939301E 170D3032 30353133 30383032 
  34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 34323336 
  32323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100E9A6 E76B8424 7445BF4E 358DAC91 F08A89CF 66D9CADE C1C019C3 B2676666 
  0B27CE1D B1A09F7B 619402F1 96DD1810 93792CC3 CD36B7CE 6E138A7C EA25EEC0 
  B187F065 CA415F1B 02A975BA A300B55D 90B4929E A86D8A9B E3DDF25F 3FC814AC 
  90138831 6D538BCB 318AD86D 28EBD90C F04E12F7 7846E48B 94FA72E6 E7DC55DA 
  9DED0203 010001A3 65306330 0F060355 1D130101 FF040530 030101FF 30100603 
  551D1104 09300782 05535235 3230301F 0603551D 23041830 168014D7 7060E2C0 
  69923857 BDCBD22A CB5D6716 812EEA30 1D060355 1D0E0416 0414D770 60E2C069 
  923857BD CBD22ACB 5D671681 2EEA300D 06092A86 4886F70D 01010405 00038181 
  000845E7 674FF470 B9D275E2 C41C79AA A84C6A1B 215F768C 6D7C1483 767DCEB8 
  53DDAAC1 710CDABF 6ABF61AF 88BC2610 7AC54F24 1B46E0D4 9271E13E 0A5CC155 
  B1869E1C 1203947C 470DBB1A 1F52C724 5C10B7EE 9997A946 AD268AD5 11019988 
  2D54188F 8857D80F 5D0B8DA7 962CC1BB CE5AD275 EED771EF 414720EC 82694C8A 89
  quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 151.99.125.3
ip name-server 8.8.8.8
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 
! 
!
crypto isakmp policy 1
 hash md5
 authentication pre-share
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key <presharedkey> address fil.fil.fil.fil no-xauth
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set Zyxel esp-des esp-sha-hmac 
!
crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Brescia
 set peer fil.fil.fil.fil
 set transform-set Zyxel 
 match address 101
!
archive
 log config
  logging enable
  logging size 600
  hidekeys
!
!
!
class-map type inspect match-any SDM-Voice-permit
 match protocol h323
 match protocol skinny
 match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-any sdm-cls-insp-traffic
 match protocol cuseeme
 match protocol dns
 match protocol ftp
 match protocol h323
 match protocol https
 match protocol icmp
 match protocol imap
 match protocol pop3
 match protocol netshow
 match protocol shell
 match protocol realmedia
 match protocol rtsp
 match protocol smtp extended
 match protocol sql-net
 match protocol streamworks
 match protocol tftp
 match protocol vdolive
 match protocol tcp
 match protocol udp
class-map type inspect match-all sdm-invalid-src
 match access-group 100
class-map type inspect match-all sdm-protocol-http
 match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
 class type inspect sdm-cls-icmp-access
  inspect 
 class class-default
  pass
policy-map type inspect sdm-inspect
 class type inspect sdm-invalid-src
  drop log
 class type inspect sdm-cls-insp-traffic
  inspect 
 class type inspect sdm-protocol-http
  inspect 
 class type inspect SDM-Voice-permit
  pass
 class class-default
  pass
policy-map type inspect sdm-inspect-voip-in
 class type inspect SDM-Voice-permit
  pass
 class class-default
  drop
policy-map type inspect sdm-permit
 class class-default
  drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
 service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
 service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
 service-policy type inspect sdm-inspect
zone-pair security sdm-zp-out-in source out-zone destination in-zone
 service-policy type inspect sdm-inspect-voip-in
!
!
!
interface Tunnel0
 ip unnumbered Vlan1
 ip virtual-reassembly
 tunnel source sed.sed.sed.sed
 tunnel destination fil.fil.fil.fil
 tunnel mode ipip
 crypto map SDM_CMAP_1
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 ip address pp.pp.pp.pp 255.255.255.252
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 snmp trap ip verify drop-rate
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description LAN 192.168.0.0/24
 ip address 192.168.0.3 255.255.255.0
 ip address sed.sed.sed.sed 255.255.255.248 secondary
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 172.24.1.64 255.255.255.192 Tunnel0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool NAT-1 sed.sed.sed.sed sed.sed.sed.sed netmask 255.255.255.248
ip nat inside source route-map SDM_RMAP_1 pool NAT-1 overload
!
access-list 100 deny   ip 192.168.0.0 0.0.0.255 172.24.1.64 0.0.0.63
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.0.0 0.0.0.255 172.24.1.64 0.0.0.63
!
!
!
!
route-map SDM_RMAP_1 permit 1
!
!
control-plane
!
banner login ^C^C
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
end

uno show crypto session:

Codice: Seleziona tutto

Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: fil.fil.fil.fil port 500
  IKE SA: local sed.sed.sed.sed/500 remote fil.fil.fil.fil/500 Active
  IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 172.24.1.64/255.255.255.192
        Active SAs: 2, origin: crypto map

(perché Active SAs: 2?)

[Rizio]

Certo che te la sei complicata ben bene la vita ehhh!!!! Non sò come tu riesca a capirci in quella conf ma fatto stà che io proverei a modificare il tunell così:

Codice: Seleziona tutto

interface Tunnel0
no ip unnumbered Vlan1
ip virtual-reassembly
tunnel source vlan1
tunnel destination fil.fil.fil.fil
tunnel mode ipsec ipv4
crypto map SDM_CMAP_1

Rizio

[garetjax76]

Certo che te la sei complicata ben bene la vita ehhh!!!! Non sò come tu riesca a capirci in quella conf ma fatto stà che io proverei a modificare il tunell così:

Codice: Seleziona tutto

interface Tunnel0
no ip unnumbered Vlan1
ip virtual-reassembly
tunnel source vlan1
tunnel destination fil.fil.fil.fil
tunnel mode ipsec ipv4
crypto map SDM_CMAP_1

Rizio

Nope, se provo a mettere tunnel mode ipsec ipv4 (avevo già provato) non funziona più niente (sh crypto session mi dà tutto down). Stessa cosa se provo a togliere l'ip unnumbered.
Non mi sembra particolarmente intricata la config, ma siccome sono un niubbo totale mi piacerebbe sapere come la modificheresti...

[Rizio]

Nope, se provo a mettere tunnel mode ipsec ipv4 (avevo già provato) non funziona più niente (sh crypto session mi dà tutto down). Stessa cosa se provo a togliere l'ip unnumbered.

Non mi sembra particolarmente intricata la config, ma siccome sono un niubbo totale mi piacerebbe sapere come la modificheresti...

Mettiamola così: se tu sei niubbo e ci capisci nella conf che usi io sono più niubbo di te perchè non ci capisco

Detto questo, se puoi provare a partire da zero io farei un bel

Codice: Seleziona tutto

copy run: scp:

e braserei tutto ripartendo semplicemente con l'assegnazione degli indirizzi ip fondamentali (vlan, ppp, etc), poi provi a tirare su il tunnel -e solo quello- vedendo se il traffico transita.
Quando sei sicuro che il tunnel c'è ed è funzionante allora comincia a mettere acl, route-map e zbf.

Di più non riesco ad aiutarti perchè purtroppo non ho mai lavorato con nessun router zyxel e non sò che tipo di vpn sono in grado di instaurare loro. Mi spiace. Le modifiche alla conf che avrei fatto sono quelle che ti ho detto prima di fondo, non posso fare di più senza conoscere l'apparecchio dall'altro capo della rete.

In ogni caso, se non puoi arare tutto e ripartire comunque io almeno le acl e lo zbf li tirerei giù perchè così non sai dove ti si può bloccare il traffico.....

Rizio

[garetjax76]

Purtroppo al momento non posso arare la config (che comunque mi è costata parecchi litri di sudore ) perché il router è utilizzato per navigare.
Oltretutto ho avuto poco tempo per fare dei test di base, perché dovevo per forza utilizzare l'unica adsl che ho a disposizione... quindi dovevo farli di fretta, in pausa pranzo o quando non lavorava nessuno.

La route-map (che in effetti è l'unica cosa che mi è davvero oscura) me l'ha aggiunta il CCP quando ho provato la prima volta a creare la vpn site to site... non capisco davvero a cosa serva e con cosa potrei sostituirla.

Per il resto, mi rugherebbe (darebbe fastidio) parecchio ranzare via tutto quando sono così vicino (o perlomeno penso di esserlo) al risultato finale, anche perché credo che alla fine, con quel poco che so, rifarei tutto alla stessa maniera.

Lo Zyxel non è un apparato particolarmente rompiballe, semplicemente con una vpn configurata tramite i classici parametri fase 1 e fase 2 (che ho già provveduto a replicare sul cisco), manda richieste IKE al peer che vengono negoziate tra i due router - e tra queste informazioni c'è anche l'ip degli apparati.

Cavolo, mi basterebbe avere almeno una config base funzionante di una vpn site-to-site tra due Cisco, ma che abbiano il NAT di mezzo...
E poi mi chiedo: perché cavolo dal router riesco a vedere la rete remota ma dal mio pc no?
Credo che basterebbe trovare la risposta a questa domanda per risolvere il problema.

[Rizio]

Scusa ma se fai uno

Codice: Seleziona tutto

sh ip route

cosa ti restituisce per la net relativa allo zyxel?

Inoltre, visto che neanche io capisco la route-map a cosa sia associata come selezione proverei a spostare il nat così:

Codice: Seleziona tutto

no ip nat inside source route-map SDM_RMAP_1 pool NAT-1 overload
ip nat inside source list 101 interface pool NAT-1 overload

Per finire, prima di fare qualunque modifica, se ti va benen la conf così fai un bel

Codice: Seleziona tutto

wr

così scrivi la conf sulla flash e se qualcosa và storto non fai altro che riavviare ed il router riparte da quando l'hai "writato" senza colpo ferire.

Il discorso che ti facevo prima di arare tutto partiva comunque da una copia di backup della conf fatta con il comando che ti avevo scritto copiando così tutta la conf su un qualunque server su cui fosse attivo un server ssh

Rizio

[garetjax76]

Scusa ma se fai uno

Codice: Seleziona tutto

sh ip route

cosa ti restituisce per la net relativa allo zyxel?

172.24.0.0/26 is subnetted, 1 subnets
S 172.24.1.64 is directly connected, Tunnel0

Inoltre, visto che neanche io capisco la route-map a cosa sia associata come selezione proverei a spostare il nat così:

Codice: Seleziona tutto

no ip nat inside source route-map SDM_RMAP_1 pool NAT-1 overload
ip nat inside source list 101 interface pool NAT-1 overload

Perché 101? Se faccio così e non metto il NAT sulla 100 non navigo più... (manca comunque qualcosa nel secondo comando)

Per finire, prima di fare qualunque modifica, se ti va benen la conf così fai un bel

Codice: Seleziona tutto

wr

così scrivi la conf sulla flash e se qualcosa và storto non fai altro che riavviare ed il router riparte da quando l'hai "writato" senza colpo ferire.

Il discorso che ti facevo prima di arare tutto partiva comunque da una copia di backup della conf fatta con il comando che ti avevo scritto copiando così tutta la conf su un qualunque server su cui fosse attivo un server ssh

Rizio

Ok, questo l'ho già fatto (uso Putty con output su file)

[paolomat75]

Perché usi il tunnel? Prova a mettere la cripto map sul ATM0.1 e levare ip route sul tunnel

Ciao
Paolo

[Rizio]

Inoltre, visto che neanche io capisco la route-map a cosa sia associata come selezione proverei a spostare il nat così:

Codice: Seleziona tutto

no ip nat inside source route-map SDM_RMAP_1 pool NAT-1 overload
ip nat inside source list 101 interface pool NAT-1 overload

Perché 101? Se faccio così e non metto il NAT sulla 100 non navigo più... (manca comunque qualcosa nel secondo comando)

Perchè volevo escludere la route-map che, ripeto, non capisco. Volevo provare a nattare la rete verso lo zyxel utilizzando l'acl di selezione che avevi già.
Cmq prova anche a fare come dice Paolo e vediamo che lui ne sà di più

Rizio

[garetjax76]

Perché usi il tunnel? Prova a mettere la cripto map sul ATM0.1 e levare ip route sul tunnel

Avevo provato ad usare il tunnel dopo vari tentativi falliti con la crypto-map sull'atm0.1, e perché avevo trovato un esempio su internet che usava il tunnel.
Effettivamente mi sembrava anche la strada logicamente e stilisticamente migliore.

Comunque, dato che prima di creare il tunnel non avevo provato ad impostare l'indirizzo secondario sulla vlan1, ho riprovato a rimettere la crypto-map sull'atm0.1

Adesso la vpn non va più su... se provo a fare un debug crypto isakmp mi dice

*May 15 02:03:31.289: ISAKMP (0:2813): received packet from fil.fil.fil.fil dport 500 sport 500 Global (R) QM_IDLE
*May 15 02:03:31.289: ISAKMP:(2813):Checking IPSec proposal 1
*May 15 02:03:31.289: ISAKMP: transform 1, ESP_DES
*May 15 02:03:31.289: ISAKMP: attributes in transform:
*May 15 02:03:31.289: ISAKMP: SA life type in seconds
*May 15 02:03:31.289: ISAKMP: SA life duration (VPI) of 0x0 0x1 0x51 0x80
*May 15 02:03:31.289: ISAKMP: encaps is 1 (Tunnel)
*May 15 02:03:31.289: ISAKMP: authenticator is HMAC-SHA
*May 15 02:03:31.293: ISAKMP:(2813):atts are acceptable.
*May 15 02:03:31.293: ISAKMP:(2813): IPSec policy invalidated proposal with error 8
*May 15 02:03:31.293: ISAKMP:(2813): phase 2 SA policy not acceptable! (local sed.sed.sed.sed remote fil.fil.fil.fil)
*May 15 02:03:31.293: ISAKMP:(2813):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 2219120904, message ID = -1836856830

e provando quindi a fare un debug crypto ipsec:

*May 15 02:06:04.768: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= sed.sed.sed.sed, remote= fil.fil.fil.fil,
local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.24.1.64/255.255.255.192/0/0 (type=4),
protocol= ESP, transform= NONE (Tunnel),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*May 15 02:06:04.772: IPSEC(ipsec_process_proposal): invalid local address sed.sed.sed.sed

(uhm dovrei sistemare l'orologio interno )

E' strano, a me gli indirizzi sembrano tutti corretti... non è che c'entra in qualche modo l'ip punto-punto che ho sulla atm0.1 (di cui comunque non ho traccia nel debug)?

[paolomat75]

Ora sono al lavoro e purtroppo non ho tempo, comunque leggo nei debug che fa riferimento ancora al tunnel.

Paolo

[garetjax76]

Ora sono al lavoro e purtroppo non ho tempo, comunque leggo nei debug che fa riferimento ancora al tunnel.

Uh? Dove?
Se ti riferisci al ISAKMP: encaps is 1 (Tunnel) e transform= NONE (Tunnel) penso che sia solo l'indicazione del tipo incapsulazione, che può essere appunto Tunnel o Transport (e sullo Zyxel c'è Tunnel).

[paolomat75]

Ora sono al lavoro e purtroppo non ho tempo, comunque leggo nei debug che fa riferimento ancora al tunnel.

Uh? Dove?
Se ti riferisci al ISAKMP: encaps is 1 (Tunnel) e transform= NONE (Tunnel) penso che sia solo l'indicazione del tipo incapsulazione, che può essere appunto Tunnel o Transport (e sullo Zyxel c'è Tunnel).

Ops.... Hai ragione. Ho riletto un po meglio.

Codice: Seleziona tutto

IPSEC(ipsec_process_proposal): invalid local address sed.sed.sed.sed

Direi che stai usando un IP sbagliato sullo Zyxel c'è configurato un altro IP.
Dovrebbe essere l'IP della ATM0.1 da entrambe le parti

Paolo

[garetjax76]

Ora sono al lavoro e purtroppo non ho tempo, comunque leggo nei debug che fa riferimento ancora al tunnel.

Uh? Dove?
Se ti riferisci al ISAKMP: encaps is 1 (Tunnel) e transform= NONE (Tunnel) penso che sia solo l'indicazione del tipo incapsulazione, che può essere appunto Tunnel o Transport (e sullo Zyxel c'è Tunnel).

Ops.... Hai ragione. Ho riletto un po meglio.

Codice: Seleziona tutto

IPSEC(ipsec_process_proposal): invalid local address sed.sed.sed.sed

Direi che stai usando un IP sbagliato sullo Zyxel c'è configurato un altro IP.
Dovrebbe essere l'IP della ATM0.1 da entrambe le parti

Sullo Zyxel c'è configurato l'ip corretto (sed.sed.sed.sed), sull'interfaccia ATM0.1 c'è ptp.ptp.ptp.ptp.
Allora, ho provato a togliere l'ip sed.sed.sed.sed dalla VLAN1 e metterlo al posto dell'indirizzo point-to-point che avevo configurato sulla ATM0.1 (quindi adesso il point-to-point non ce l'ho più da nessuna parte).
In questo modo il tunnel va su, ma i pacchetti non arrivano.

Tracing the route to 172.24.1.113
1 hostXX-XXX-static.XX-XX-b.business.telecomitalia.it (XX.XX.XX.XX) !A * !A

dove XX.XX.XX.XX è il primo indirizzo nella sottorete dell'indirizzo punto-punto (il default gateway telecom?)

[paolomat75]

Non è quello che intendevo.
Torna indietro alla sittuazione di prima. Metti l'indirizzosed.sed. in una interfaccia loopback0.
Nel tunnel come sorgente usa il loopback0. Il problema penso che dipenda che l'indirizzo sed.sed è secondary e non viene usato quello ma il primario nella negoziazione della VPN.

Ciao
Paolo