VPN site-to-site semmpre down

Virtual private networks e affini

Moderatore: Federico.Lagni

marfab
n00b
Messaggi: 11
Iscritto il: mer 11 feb , 2015 12:15 pm

Ciao Paolo,

Nel 2801 : boot system flash:c2801-advipservicesk9-mz.124-16.bin
Nel 1801 : boot system flash:c180x-adventerprisek9-mz.124-15.T.bin
A presto.
Fabio
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ve vuoi ti ci do un occhio in remoto
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Ho simulato la tua rete e a me funziona. Può essere un problema di IOS, anche se dal sito Cisco non si direbbe.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
marfab
n00b
Messaggi: 11
Iscritto il: mer 11 feb , 2015 12:15 pm

Hai fatto modifiche alla configurazione?? :oops: :oops:
Per ovviare al problema potrei avere una mano per configurare il 2801 come server e il 1801 come client di una vpn pptp??
grazie
Fabio
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Se vuoi quando torno a casa ti posto configurazione del lab.
Per il router come client PPTP non l'ho mai fatto.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
marfab
n00b
Messaggi: 11
Iscritto il: mer 11 feb , 2015 12:15 pm

Ti ringrazio.
Per la configurazione server pptp non ho avuto grossi problemi, essendo relativamente semplice, riesco infatti ad effettuare l'autenticazione con client windows e linux. Purtroppo non trovo esempi di configurazioni client di router cisco (escluso cisco client :? )
A presto
Fabio
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

R1

Codice: Seleziona tutto

!
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
! 
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key paolo address 95.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
crypto ipsec df-bit clear
!
crypto map mymap 10 ipsec-isakmp 
 set peer 95.1.1.1
 set transform-set myset 
 match address 100
!
!
!
!
interface Loopback0
 ip address 192.168.69.50 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0
 ip address 217.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet1/0
 no ip address
 shutdown
 negotiation auto
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!
interface Ethernet3/0
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/1
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/2
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/3
 no ip address
 shutdown
 duplex half
!
ip route 0.0.0.0 0.0.0.0 217.1.1.2
!
no ip http server
no ip http secure-server
!
!
access-list 100 permit ip 192.168.69.0 0.0.0.255 192.168.5.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end
R2

Codice: Seleziona tutto

!
!

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
! 
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key paolo address 217.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
crypto ipsec df-bit clear
!
crypto map mymap 10 ipsec-isakmp 
 set peer 217.1.1.1
 set transform-set myset 
 match address 100
!
!
!
!
interface Loopback0
 ip address 192.168.5.4 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 95.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
!
interface GigabitEthernet1/0
 no ip address
 shutdown
 negotiation auto
!
interface Serial2/0
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/1
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/2
 no ip address
 shutdown
 serial restart-delay 0
!
interface Serial2/3
 no ip address
 shutdown
 serial restart-delay 0
!
interface Ethernet3/0
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/1
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/2
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/3
 no ip address
 shutdown
 duplex half
!
ip route 0.0.0.0 0.0.0.0 95.1.1.2
!
no ip http server
no ip http secure-server
!
!
access-list 100 permit ip 192.168.5.0 0.0.0.255 192.168.69.0 0.0.0.255
no cdp log mismatch duplex
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 stopbits 1
line vty 0 4
 login
!
!
end
Per il PPTP, come ti ho detto non ho mai usato il router come client, ma questo non vuol dire che non si possa fare. In questi giorni sono preso con lavoro e studio. Se trovo un po' di tempo provo a farlo.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Codice: Seleziona tutto

R1#ping 192.168.5.4 source l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.4, timeout is 2 seconds:
Packet sent with a source address of 192.168.69.50
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 252/301/336 ms
R1#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 95.1.1.1 port 500
  IKE SA: local 217.1.1.1/500 remote 95.1.1.1/500 Active
  IPSEC FLOW: permit ip 192.168.69.0/255.255.255.0 192.168.5.0/255.255.255.0
        Active SAs: 2, origin: crypto map

R1#
Non cade foglia che l'inconscio non voglia (S.B.)
marfab
n00b
Messaggi: 11
Iscritto il: mer 11 feb , 2015 12:15 pm

Credo di aver risolto ...
Ho ripristinato le configurazioni dei router alle semplici connessioni adsl.

Ho trovato molto utile la seguente documentazione:
http://www.cisco.com/c/en/us/td/docs/io ... 1632258F65

Quindi l'ho applicata al mio caso ... :lol:
Ora devo testare le condivisioni, oltre poi a integrare regole di firewall ecc ... ma quello è un altro discorso, per il quale chiederò sicuramente aiuto in questo forum.

Linea Tiscali
.
.

authentication pre-share
group 2
crypto isakmp key CHIAVE address 95.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 217.X.X.X
tunnel destination 95.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
.
.

ip route 192.168.60.0 255.255.255.0 Tunnel0


Linea Telecom
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key CHIAVE address 217.X.X.X
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1

interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 95.X.X.X
tunnel destination 217.X.X.X
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1


ip route 192.168.0.0 255.255.255.0 Tunnel 0



#sh crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 95.X.X.X port 500
IKE SA: local 217.X.X.X/500 remote 95.X.X.X/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map

o#sh crypto isakmp sa
dst src state conn-id slot status
95.X.X.X 217.X.X.X QM_IDLE 1 0 ACTIVE

#sh crypto ipsec sa

interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 217.X.X.X

protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 95.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 24, #pkts encrypt: 24, #pkts digest: 24
#pkts decaps: 23, #pkts decrypt: 23, #pkts verify: 23
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 217.X.X.X, remote crypto endpt.: 95.X.X.X
path mtu 1514, ip mtu 1514, ip mtu idb Tunnel0
current outbound spi: 0xF3377CCF(4080499919)

inbound esp sas:
spi: 0xC0440187(3225682311)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3003, flow_id: FPGA:3, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4502154/2439)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

Paolo pensi che l'applicazione della crypto map direttamente sulla Dialer0, come facevo in precedenza, possa non produrre gli effetti desiderati con connessioni adsl nostrane??
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Con il tunnel è un altro modo, ma sinceramente penso che se funziona uno dovrebbe funzionare anche l'altro.
Comunque l'importante è che funzioni.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
marfab
n00b
Messaggi: 11
Iscritto il: mer 11 feb , 2015 12:15 pm

Anche a me sembra strano che nell'altro modo non funzioni.
Hai ragione anche tu quando dici che l'importante è che funzioni. E' altrettanto vero che essendo il sottoscritto parecchio testardo riproverò a rifare la precedente configurazione da zero alla ricerca del quasi sicuro errore.

Ti ringrazio per l'aiuto, augurandoti una buona serata.
A presto
Fabio
Rispondi