Salve a tutti,
leggo sempre il forum perché mi è sempre stato utile per piccoli e grandi dubbi ...
Questa volta ho cercato di non "scocciare" più di tanto ma, ahimè non ci sono riuscito. Ho letto consigli ed esempi di configurazione qua e la per i vari posti e sono riuscito a fare bei passi (almeno per me), ma la vpn proprio non va.
Ho necessità di fare VPN lan to lan e ho a disposizione 2 cisco 857 con IOS 12.4. Questo mi ha già spiazzato con l'introduzione (ovviamente ottima) di nuove funzioni, tra cui le vlan.
Ho scritto a manina le configurazioni, anche se solo con il minimo delle funzionalità, dei due router. Per la vpn ho preso spunto da alcuni esempi. Ho allegato le configurazioni dei due router che ho chiamato sito A e sito B.
Una volta risolto il problema e la VPN funziona si dovrebbe accendere anche la spia VPN sul frontale del router ? Credo di si.
Una volta realizzata la VPN è possibile pingare, come test più che altro, da un client di una lan un client dell'altra ?
Grazie in anticipo a chiunque abbia qualche indicazione o suggerimento.
Spero questo post torni utile anche a qualcun'altro.
Saluti
VPN non va tra 2 857
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Lo avrò scritto 100 volte, manca sia la acl per crypto che quella per il nat0.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
l'indiano
- Cisco fan
- Messaggi: 27
- Iscritto il: gio 08 dic , 2005 11:06 am
Grazie Wizard per l'attenzione. Mi hai spronato a cercare e leggere di più, purtroppo però non conoscevo "nat0" e in molti post che mi potrebbero interessare ho letto appunto di nat0 oppure di de nat. Leggerò più attentamente questi post in modo da mettere a fuoco l'argomeno.
Intanto mi hanno dato i parametri ufficiali per la vpn ma i dubbi aumentano! Riporto di seguito i prerequisiti:
IP pubblico remoto 81.x.x.x
IP pubblico locale x.x.x.x
modalità tunnel
- IKE: encryprion 3DES-168
authentication: md5/hmac-128
key group: DH1, DH2, DH5 o DH7
preshared key: chiave condivisa
lifetime: 86400 sec
- IPSEC: encryption: 3des-168
authentication: md5/hmac-128
lifetime: 28800 sec
ip sorgente 192.168.231.6 / 255.255.255.255
ip destinazione: 10.179.7.147/32; 10.188.6.200/32; 10.188.7.200/32
- nat-t: no
Mi potete aiutare a capire come mai mi hanno detto di presentarmi con un ip (192.168.231.6) con una subnet mask da 255.255.255.255 ? Non riesco a capire come posso far lavorare la lan interna se ho una subnet di questo tipo. A dire il vero mi è passato per la testa qualcosa del tipo che devo realizzare un nat tra interfacce virtuali ... ma punto 1 credo di aver detto una fesseria , punto 2 non saprei esattamente come realizzare tutto questo.
Grazie in anticipo per l'aiuto.
Saluti
Intanto mi hanno dato i parametri ufficiali per la vpn ma i dubbi aumentano! Riporto di seguito i prerequisiti:
IP pubblico remoto 81.x.x.x
IP pubblico locale x.x.x.x
modalità tunnel
- IKE: encryprion 3DES-168
authentication: md5/hmac-128
key group: DH1, DH2, DH5 o DH7
preshared key: chiave condivisa
lifetime: 86400 sec
- IPSEC: encryption: 3des-168
authentication: md5/hmac-128
lifetime: 28800 sec
ip sorgente 192.168.231.6 / 255.255.255.255
ip destinazione: 10.179.7.147/32; 10.188.6.200/32; 10.188.7.200/32
- nat-t: no
Mi potete aiutare a capire come mai mi hanno detto di presentarmi con un ip (192.168.231.6) con una subnet mask da 255.255.255.255 ? Non riesco a capire come posso far lavorare la lan interna se ho una subnet di questo tipo. A dire il vero mi è passato per la testa qualcosa del tipo che devo realizzare un nat tra interfacce virtuali ... ma punto 1 credo di aver detto una fesseria , punto 2 non saprei esattamente come realizzare tutto questo.
Grazie in anticipo per l'aiuto.
Saluti
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Configurare delle regole di NAT mi sa l'unica strada percorribile se la tua rete non è 192.178.231.0/24ip sorgente 192.168.231.6 / 255.255.255.255
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
l'indiano
- Cisco fan
- Messaggi: 27
- Iscritto il: gio 08 dic , 2005 11:06 am
Salve a tutti,
torno a scrivere dopo un po' perché ho risolto, già da tempo, il collegamento delle due sedi che non riuscivo a fare. Sono riuscito grazie proprio a questo forum.
E nella speranza che possa tornare utile a qualcun'altro domani posto la configurazione da me adottata.
Nel frattempo ripropongo il quesito del mese scorso:
mi hanno detto che per la vpn io mi devo presentare con un indirizzo 192.168.231.6 con una sunbent mask 255.255.255.255.
Io non capisco (l'ignoranza che incombe) come faccio con una subnet mask di questo tipo a far funzionare il tutto... !
Per ora grazie e spero che tutto questo possa aiutare più persone.
Saluti
Claudio
torno a scrivere dopo un po' perché ho risolto, già da tempo, il collegamento delle due sedi che non riuscivo a fare. Sono riuscito grazie proprio a questo forum.
E nella speranza che possa tornare utile a qualcun'altro domani posto la configurazione da me adottata.
Nel frattempo ripropongo il quesito del mese scorso:
mi hanno detto che per la vpn io mi devo presentare con un indirizzo 192.168.231.6 con una sunbent mask 255.255.255.255.
Io non capisco (l'ignoranza che incombe) come faccio con una subnet mask di questo tipo a far funzionare il tutto... !
Wizard io non ho problemi a trasformare la mia rete da un 192.168.25.0/24 a 192.168.231.0/24. Ma perché se avessi questo ID di rete la VPN con quel tipo di configurazione potrebbe funzionare ? E come faccio a far lavorare le macchine all'interno della rete ?Wizard ha scritto:Configurare delle regole di NAT mi sa l'unica strada percorribile se la tua rete non è 192.178.231.0/24ip sorgente 192.168.231.6 / 255.255.255.255
Per ora grazie e spero che tutto questo possa aiutare più persone.
Saluti
Claudio
-
l'indiano
- Cisco fan
- Messaggi: 27
- Iscritto il: gio 08 dic , 2005 11:06 am
Eccomi di ritorno ...
in effetti non era così difficile .. sono i tropp dubbi che mi mandano in panico
Wizard mi aveva messo sulla buona strada dicendomi " .. se la tua rete non è 192.168.231.0/24 ...)
Significava semplicemente (credo) che se la nework id è 192.168.231.0/24 solo la macchina con indirizzo 192.168.231.6 può scambiare dati, attraverso la vpn, con la rete remota. Avendomi fornito loro tre indirizzi IP del tipo
10.179.7.147/32;
10.188.6.200/32;
10.188.7.200/32
posso supporre che si tratti di tre server e quindi dall'altra parte avranno creato la vpn per questi tre indirizzi verso il mio 192.168.231.6/32.
Ovviamente devo essere onesto e dire che non sono riuscito a fare tutto a linea di comando, ovvero tutta la parte di vpn è stata fatta con il tool SDM.
Domani, al rientro in ufficio, allego la configurazione del router 857.
Saluti e grazie a tutti.
Claudio
in effetti non era così difficile .. sono i tropp dubbi che mi mandano in panico
Wizard mi aveva messo sulla buona strada dicendomi " .. se la tua rete non è 192.168.231.0/24 ...)
Significava semplicemente (credo) che se la nework id è 192.168.231.0/24 solo la macchina con indirizzo 192.168.231.6 può scambiare dati, attraverso la vpn, con la rete remota. Avendomi fornito loro tre indirizzi IP del tipo
10.179.7.147/32;
10.188.6.200/32;
10.188.7.200/32
posso supporre che si tratti di tre server e quindi dall'altra parte avranno creato la vpn per questi tre indirizzi verso il mio 192.168.231.6/32.
Ovviamente devo essere onesto e dire che non sono riuscito a fare tutto a linea di comando, ovvero tutta la parte di vpn è stata fatta con il tool SDM.
Domani, al rientro in ufficio, allego la configurazione del router 857.
Saluti e grazie a tutti.
Claudio
