configurazione VPN server su 877

[md1946]

... miracolo!!! ho settato il vpn client e sembrerebbe funzionare, grazie a te. Lanciando il collegamento si connette e se lancio le statistiche mi dice ...

Byes

Received : 240
Send : 38807

Packets

Encrypted : 442
Decrypted : 6
Discarded : 564
Bypassed : 340

Se vado in connessioni di rete trovo la vpn, ma se visualizzo le risorse di rete non vedo ne i pc che fanno parte della rete che sta dietro al cisco nè le risorse condivise. Devo fare e/o verificare qualcosa?
Grazie ancora.

[md1946]

... anche dal lato cisco (vpn server) sembrerebbe funzionare tutto. Monitorando lo stato della vpn, il client risulta attivo, il tunnel è alzato e senza che dal client giungano richieste la situazione dopo un'ora è la seguente :

Pacchetti incapsulati : 6
Pacchetti estratti : 859
Pacchetti errore inviati : 0
Pacchetti errore ricevuti : 16

Funziona tutto regolarmente come sembra? Grazie ancora, wizard

[Wizard]

Hai provato con un banale ping a vedere se va tutto?
Dal pc dietro al linksys collegato in vpn client fai un ping al ip interno del router ad esempio e vedi...se risponde correttamente la vpn è OK.

[md1946]

... allora, il vpn client pinga sia l'indirizzo ip statico del router cisco che fa da vpn server, sia gli indirizzi ip utilizzati dai pc della rete che sta dietro. E' la conferma che la vpn funziona correttamente?
Ho letto che la classe del dhcp interno e quella del dhcp per i client vpn deve essere diversa, nella mia configurazione la prima, la seconda e quarta sono uguali, cambia soltanto la terza, tipo da 212.124.1.1 a 212.124.1.50, mentre il dhcp del linksys dietro cui sta il pc vpn client, va tipo da 212.124.1.101 a 212.124.1.121, va bene oppure è questo il motivo per cui non vedo le risorse condivise?
Non è un problema, ma dal vpn client non si riesce a fare traffico internet quando è connesso alla vpn, è un problema di split-tunneling come ho letto?
Ancora grazie mille, wizard

[Wizard]

- Si, la vpn funziona!
- Se non navighi quando sei collegato in vpn è un problema di split tunnel
- Non è obbligatorio avere le rete interna diversa dalla subnet degli ip rilasciati dal vpn client (basta che non ci siano indirizzo duplicati).[/quote]

[md1946]

... grandioso, non so proprio come ringraziarti per l'assistenza, senza di te non ce l'avrei mai fatta a settarla ed a farla funzionare.

L'impossibilità di navigare è un problema assolutamente secondario, quindi ho tutto il tempo di studiare la configurazione dello split-tunneling e vedere se ci capisco qualcosa.

Con la vpn attiva sostanzialmente i vpn client che sono dietro al linksys sono in rete con quelli che sono dietro il cisco vpn server, giusto? Se è così dovrei vedere le risorse condivise nelle risorse di rete, invece vedo soltanto le risorse "interne". In buona sostanza, da dietro al linksys vedo soltanto quelle dei pc che gli sono direttamente collegati e la stessa cosa succede dal cisco vpn server. Potrebbe essere un problema di access-list?

[Wizard]

Se dal pc connesso in vpn client fai: \\IP_PC_DIETRO_AL_CISCO funziona?
La scansione delle risorse di rete avviene tramite broadcast e la vpn direi che non fa passare broadcast...
Lo split tunnel è solo una acl quindi non è difficile da configurare.
Nel profilo vpn sul router cisco puoi configurare anche il nome della zona dnz remota e l'ip del dns così puoi lavorare x nome invece che x ip

[md1946]

... ho fatto varie prove digitando sulla barra degli indirizzi di ie7 //IP UTILIZZATO per ognuno dei pc che hanno risorse condivise, ottenendo sempre il messaggio di impossibilità a visualizzare la pagina web. Devo fare altre prove?

[md1946]

... allora, per quanto riguarda lo split-tunneling, se ho capito bene, si tratterebbe di aggiungere i seguenti comandi alla configurazione :

access-list 102 remark SDM_ACL Category=4
access-list 102 permit ip IP FISSO 0.0.0.255 any
crypto isakmp client configuration group ************
acl 102
exit

... giusto?

Il mancato accesso alle riosrse di rete, invece, potrebbe essere determinato dal fatto che il NAT-T non è configurato? cioè il transparent tunnel è inattivo? Nel caso si risolve il problema con questi comandi? ...

isakmp nat-traversal

mentre il vpn client dovrebbe essere configurato indicandogli che deve utilizzare Trasparent Tunneling - IPSec over UDP?

Con l'aiuto illuminante di wizard cerco di capire ma non è facile, abbiate pazienza, sopportatemi

[md1946]

... aggiornamento dal fronte. In attesa di avere lumi sulle righe di comando che avrei intenzione di aggiungere, ho provato ad aprire la porta 4500 udp del router linksys dietro il quale sta il vpn client, ma senza successo.

Successivamente ho provato prima a pingare l'indirizzo ip della stampante di rete, con successp, e poi a collegarmici dal browser ... mi si è aperta la pagina di stato. Dovrebbe essere la conferma che il problema è quello del NAT-T, giusto?

[Wizard]

Il nat-t dovrebbe già essere negoziato (lo vedi dalle statistiche del vpn client). Per lo split tunnel la acl 102 la devi fare così:

no access-l 102
access-l 102 remark *** ACL X SPILT-TUNNEL ***
access-l 102 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255

[md1946]

... ho apportato le modifiche che mi hai indicato alla acl 102, ho fatto attivare il transparent tunnel su udp sul vpn client. Ho fatto pingare i pc che stanno dietro al vpn server cisco con esito positivo, poi ho provato a collegarmici ma non li vedo, mentre continuo a collegarmi alla stampante di rete. Il vpn client non riesce ancora a fare traffico internet.

Noto una differenza, però, mentre prima della configurazione dello split tunneling, monitorando il tunnel IPSec c'era una grande differenza tra i pacchetti incapsulati e quelli estratti che continuavano ad aumentare senza che il vpn client facesse attività sulla vpn, adesso i pacchetti incapsulati e quelli estratti quasi coincidono ed aumentano solamente a seguito di una specifica attività del vpn client. Se dal vpn client pingo un pc della rete che sta dietro al vpn server, il monitor registra l'invio dei 4 pacchetti sia tra quelli incapsulati che tra quelli estratti. Lo stesso succede se cerco di connettermi, tanto che a seguito delle prove di cui sopra i pacchetti adesso sono 84 incapsulati ed 87 estratti, ed in assenza di attività sul vpn client rimangono fermi.

La configurazione attuale è ...

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ******
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$qeTh$fve4jBR177oAZ4cLsfN3c1
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.51 192.168.0.254
ip dhcp excluded-address 192.168.0.20
!
ip dhcp pool sdm-pool1
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.20
!
!
ip tcp synwait-time 10
no ip bootp server
ip name-server 195.110.128.1
ip name-server 212.48.4.11
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect log drop-pkt
ip inspect name SDM_MEDIUM appfw SDM_MEDIUM
ip inspect name SDM_MEDIUM cuseeme
ip inspect name SDM_MEDIUM dns
ip inspect name SDM_MEDIUM ftp
ip inspect name SDM_MEDIUM h323
ip inspect name SDM_MEDIUM https
ip inspect name SDM_MEDIUM icmp
ip inspect name SDM_MEDIUM imap reset
ip inspect name SDM_MEDIUM pop3 reset
ip inspect name SDM_MEDIUM netshow
ip inspect name SDM_MEDIUM rcmd
ip inspect name SDM_MEDIUM realaudio
ip inspect name SDM_MEDIUM rtsp
ip inspect name SDM_MEDIUM esmtp
ip inspect name SDM_MEDIUM sqlnet
ip inspect name SDM_MEDIUM streamworks
ip inspect name SDM_MEDIUM tftp
ip inspect name SDM_MEDIUM tcp
ip inspect name SDM_MEDIUM udp
ip inspect name SDM_MEDIUM vdolive
!
appfw policy-name SDM_MEDIUM
application im aol
service default action reset alarm
service text-chat action reset alarm
server deny name login.oscar.aol.com
server deny name toc.oscar.aol.com
server deny name oam-d09a.blue.aol.com
audit-trail on
application http
strict-http action allow alarm
port-misuse im action reset alarm
port-misuse tunneling action allow alarm
application im yahoo
service default action reset alarm
service text-chat action reset alarm
server deny name scs.msg.yahoo.com
server deny name scsa.msg.yahoo.com
server deny name scsb.msg.yahoo.com
server deny name scsc.msg.yahoo.com
server deny name scsd.msg.yahoo.com
server deny name messenger.yahoo.com
server deny name cs16.msg.dcn.yahoo.com
server deny name cs19.msg.dcn.yahoo.com
server deny name cs42.msg.dcn.yahoo.com
server deny name cs53.msg.dcn.yahoo.com
server deny name cs54.msg.dcn.yahoo.com
server deny name ads1.vip.scd.yahoo.com
server deny name radio1.launch.vip.dal.yahoo.com
server deny name in1.msg.vip.re2.yahoo.com
server deny name data1.my.vip.sc5.yahoo.com
server deny name address1.pim.vip.mud.yahoo.com
server deny name edit.messenger.yahoo.com
server deny name http.pager.yahoo.com
server deny name privacy.yahoo.com
server deny name csa.yahoo.com
server deny name csb.yahoo.com
server deny name csc.yahoo.com
audit-trail on
!
!
crypto pki trustpoint TP-self-signed-1663544984
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1663544984
revocation-check none
rsakeypair TP-self-signed-1663544984
!
!
crypto pki certificate chain TP-self-signed-1663544984
certificate self-signed 01

quit
username ************ privilege 15 view root secret ********************************
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group **********
key *************
pool SDM_POOL_1
acl 102
max-users 2
crypto isakmp profile sdm-ike-profile-1
match identity group **********
client authentication list sdm_vpn_xauth_ml_1
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
no snmp trap link-status
pvc 8/75
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.20 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address IP FISSO 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip inspect SDM_MEDIUM out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ********************* password *****************
!
ip local pool SDM_POOL_1 192.168.1.1 192.168.1.50
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.248 29978 interface Dialer0 29978
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp any host IP FISSO eq non500-isakmp
access-list 101 permit udp any host IP FISSO eq isakmp
access-list 101 permit esp any host IP FISSO
access-list 101 permit ahp any host IP FISSO
access-list 101 permit udp host 212.48.4.11 eq domain any
access-list 101 permit udp host 195.110.128.1 eq domain any
access-list 101 deny ip 192.168.0.0 0.0.0.255 any
access-list 101 permit tcp any any eq 29978
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
access-list 102 remark SDM_ACL Category=4
access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!

[Wizard]

A parte che odio sdm ma cmq...
Fai queste modifiche:

Codice: Seleziona tutto

interface Vlan1
ip proxy-arp
ip tcp adjust-mss 1452

interface Dialer0
ip mtu 1500
mtu 1500

interface ATM0
mtu 1500

interface ATM0.1 point-to-point
mtu 1500

no access-l 102
access-l 102 remark *** ACL PER SPLIT TUNNEL ***
access-list 102 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

clear ip nat translation *

no ip nat inside source list 1 interface Dialer0 overload
no ip nat inside source list 101 interface Dialer0 overload

access-l 101 remark *** ACL PER NAT ***
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any

[md1946]

... dopo le modifiche effettuate (grazie ancora), dalla console di sdm inserendo direttamente i comandi, la configurazione attuale è la seguente :

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Studio
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$qeTh$fve4jBR177oAZ4cLsfN3c1
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.51 192.168.0.254
ip dhcp excluded-address 192.168.0.20
!
ip dhcp pool sdm-pool1
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.20
!
!
ip tcp synwait-time 10
no ip bootp server
ip name-server 195.110.128.1
ip name-server 212.48.4.11
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect log drop-pkt

….

appfw policy-name SDM_MEDIUM
application im aol
service default action reset alarm
service text-chat action reset alarm
server deny name login.oscar.aol.com
server deny name toc.oscar.aol.com
server deny name oam-d09a.blue.aol.com
audit-trail on
application http
strict-http action allow alarm
port-misuse im action reset alarm
port-misuse tunneling action allow alarm
application im yahoo

…

audit-trail on
!
!
crypto pki trustpoint TP-self-signed-1663544984
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1663544984
revocation-check none
rsakeypair TP-self-signed-1663544984
!
!
crypto pki certificate chain TP-self-signed-1663544984
certificate self-signed 01

…

quit
username ************ privilege 15 view root secret ********************************
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group **********
key *************
pool SDM_POOL_1
acl 102
max-users 2
crypto isakmp profile sdm-ike-profile-1
match identity group **********
client authentication list sdm_vpn_xauth_ml_1
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
!
interface ATM0
mtu 1500
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
mtu 1500
no snmp trap link-status
pvc 8/75
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
ip unnumbered Dialer0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.20 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Dialer0
description $FW_OUTSIDE$
ip address IP FISSO 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect SDM_MEDIUM out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ********************* password ****************
!
ip local pool SDM_POOL_1 192.168.1.1 192.168.1.50
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.248 29978 interface Dialer0 29978
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp any host IP FISSO eq non500-isakmp
access-list 101 permit udp any host IP FISSO eq isakmp
access-list 101 permit esp any host IP FISSO
access-list 101 permit ahp any host IP FISSO
access-list 101 permit udp host 212.48.4.11 eq domain any
access-list 101 permit udp host 195.110.128.1 eq domain any
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit tcp any any eq 29978
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
access-list 102 remark SDM_ACL Category=4
access-list 102 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run

... io intanto faccio tutte le prove che avevo effettuato con la configurazione precedente.

[md1946]

... niente da fare, la situazione rimane la stessa, dal vpn client pingo i pc che stanno dietro al vpn server cisco, ma riesco a connettermi soltanto alla stampante.

Se tolto la riga di comando ...

ip nat inside source list 1 interface Dialer0 overload

... il router non si connette più.

Scusami se ti rompo, ma c'è qualche altra cosa che posso fare?