VPN PPTP 837... non pinga...

[giankyfava]

Salve,

ho il seguente problema: ho un cisco 837 con una multigroup telecom su cui ho configurato un accesso pptp. Il router è collegato a un firewall con PPTP Passthrough. La lan privata è 10.0.0.0 255.255.255.0. Di seguito la configurazione del router:

Codice: Seleziona tutto

!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname multimecc
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Y2TI$Pe4yRgZ9UexhEE5YTj8lG1
!
no aaa new-model
!
resource policy
!
no ip source-route
!
!
ip cef
no ip domain lookup
ip domain name 191.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
username cisco privilege 15 secret 5 $1$v/oA$fG7aSUs3.B3aYlhu5EOoq.
username xxxxxx password 7 yyyyyyyyyyyyyyyyyyyyyy
!
! 
!
!
!
interface Ethernet0
 ip address XXX.XXX.XXX.XXX 255.255.255.248
 ip access-group 122 out
 ip nat inside
 no ip virtual-reassembly
 no keepalive
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address YYY.YYY.YYY.YYY 255.255.255.252
 ip nat outside
 no ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35 
  oam-pvc 0
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Virtual-Template1 
 ip unnumbered FastEthernet1
 peer default ip address pool VPNPOOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication pap chap ms-chap
!
ip local pool VPNPOOL 10.0.0.80 10.0.0.99
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
!
control-plane
!
!
line con 0
 exec-timeout 2400 0
 password 7 082C59421D10081211085E5C7A73747F
 login
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 password 7 03094E0712062C494D0A4B5D474A5B5B
 login
!
scheduler max-task-time 5000
end

Il mio problema che pur riuscendo a connettermi in vpn non riesco a fare il pingdelle macchine in lan... Mi potete aiutare? Grazie.


[/code]

[Wizard]

Frena...la vpn client pptp termina sul cisco o sul firewall?
Nel tuo caso direi meglio sul firewall

[giankyfava]

Frena...la vpn client pptp termina sul cisco o sul firewall?
Nel tuo caso direi meglio sul firewall

termina sul cisco... ma se posso fare in maniera migliore e/o più semplice non hai che da dire...

[Wizard]

Devi farlo terminare sulla macchina che è il gateway della rete quindi credo il firewall. Fai in questo modo e rimuovi la config della vpn pptp dal cisco

[giankyfava]

Devi farlo terminare sulla macchina che è il gateway della rete quindi credo il firewall. Fai in questo modo e rimuovi la config della vpn pptp dal cisco

Cioè? Se intendi che dovrei fare la vpn col firewall è un guaio. Il digicom firegate che ho non fa da server vpn...

[Wizard]

Allora leva quel cexxo di firewall e fai diventare il Cisco il gw\firewall\router\vpn server della tua rete!
Non dico che sia cosa facile ma è la migliore!

[giankyfava]

Allora leva quel cexxo di firewall e fai diventare il Cisco il gw\firewall\router\vpn server della tua rete!
Non dico che sia cosa facile ma è la migliore!

Lo posso fare, ma che modifiche dovrei fare alla configurazione del router?
Secondary IP sull'eth0, ip nat source con overload... poi?

Sai indicarmi qualche esempio di configurazione?

[Wizard]

- eth0: imposti ip interno (gateway della rete)
- atm0.1: a posto così
- crei una loopback0 dove configuri un ip pubblico e gli fai fare nat
- crei le acl per il nat e nat0
- crei le acl in ingresso
- configuri ip inspect
- configuri ips (ip audit o ips, dipende dalla versione di ios)

[giankyfava]

Altrimenti, (a parte il firewall) così potrebbe andare?

Codice: Seleziona tutto

Building configuration...

Current configuration : 3164 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname multimecc
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Y2TI$Pe4yRgZ9UexhEE5YTj8lG1
!
no aaa new-model
!
resource policy
!
no ip source-route
!
!
ip cef
no ip domain lookup
ip domain name 191.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
username cisco privilege 15 secret 5 $1$v/oA$fG7aSUs3.B3aYlhu5EOoq.
username kkkkkkkkk password 7 zzzzzzzzzzzzzzzzzzzzzzzzz
!
! 
!
!
!
interface Ethernet0
 ip address xxx.xxx.xxx.xxx 255.255.255.248 secondary
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 no ip virtual-reassembly
 no keepalive
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address yyy.yyy.yyy.yyy 255.255.255.252
 ip nat outside
 no ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35 
  oam-pvc 0
  encapsulation aal5snap
 !
ip nat pool mialan xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.248
ip nat inside source list 101 pool mialan overload
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Virtual-Template1 
 ip unnumbered FastEthernet1
 peer default ip address pool VPNPOOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication pap chap ms-chap
!
ip local pool VPNPOOL 10.0.0.80 10.0.0.99
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
access-list 101 remark ********************
access-list 101 remark *ACL PER PAT E NAT0*
access-list 101 remark ********************
access-list 101 deny   ip 10.0.0.0 0.0.0.255 10.0.0.80 0.0.0.11
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
!
control-plane
!
!
line con 0
 exec-timeout 2400 0
 password 7 082C59421D10081211085E5C7A73747F
 login
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 password 7 03094E0712062C494D0A4B5D474A5B5B
 login
!
scheduler max-task-time 5000
end

[Wizard]

Si, a parte che manca la parte firewall per il resto sembra andare bene

[giankyfava]

Si, a parte che manca la parte firewall per il resto sembra andare bene

Grazie mille, sei stato gentilissimo... provo e poi ti faccio sapere...

[giankyfava]

Ok, ho tolto il firewall giocattolo e ho fatto fare tutto al cisco, funge pure la vpn... tuttavia ho un dubbio... mi ero dimenticato di mettere la regola di nat0 e di togliere l'access-list per tutto il traffico lan e tuttavia la vpn funziona lo stesso... ovvero io ho una lan privata 10.0.0.0 con maschera di classe c e faccio nat su tutta la classe. Il pool vpn va da 10.0.0.80 a 10.0.0.99, come può funzionare pur essendo sottoposta a nat???

Poi approfitto di nuovo della tua disponibilità perchè ho anche un problemino da quando sono andato a inserire le access-list per il firewall applicando l'inspect alla ATM0.1, ovvero mi sono accorto che navigavo ancora ma il pptp non mi loggava più... quindi ho dovuto ritoglierle... ti posto le regole:

Codice: Seleziona tutto

ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
  .
  .
  .
 ip access-group 111 in
  .
 ip inspect myfw out
  .
  .
  .
 access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny  ip any any

Mi sono dimenticato qualcosa??? Il pptp usa altre porte? Ah dimenticavo uso l'mppe in auto con opzione "required"...

[Wizard]

Codice: Seleziona tutto

ip inspect name myfw pptp

access-list 111 permit gre any any

[giankyfava]

Codice: Seleziona tutto

ip inspect name myfw pptp

access-list 111 permit gre any any

"ip inspect name myfw pptp" lo devo inserire sempre all'interno dell'interfaccia ATM0.1 vero?

[Wizard]

Per l'ip inspect basta che inserisci quella regola che ti ho scritto, in quel modo il pptp si agiungerà tra i protocolli che inspezioni.