Vpn pingo dal router A il router B ma non i pc della rete

ErGasti · ven 27 feb , 2009 5:28 pm

Salve a tutti ho configurato tre router in vpn:

A - B - C

Con gli ip interni es 192.168.1.1 e 192.168.3.1
il router A pinga il router B e i pc della lan e B pinga A e i pc

mentre il router A pinga il router C ma non i pc della lan e il router C non pinga ne il router A ne i pc lan
Il router C è diverso dal router B e anche la connessione è diversa ma sempre cisco

Non capisco cosa non funzioni quindi posto la conf. sperando in un aiuto.

Grazie a Tutti!!!

Router C:

Codice: Seleziona tutto

router1#sh run
Building configuration...

Current configuration : 4569 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxxxxxxxxxxxx
!
no aaa new-model
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
!         
crypto pki trustpoint TP-self-signed-3241932976
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3241932976
 revocation-check none
 rsakeypair TP-self-signed-3241932976
!         
!         
crypto pki certificate chain TP-self-signed-3241932976
 certificate self-signed 01
 .....................
...............
dot11 syslog
!         
!         
ip cef    
no ip domain lookup
ip domain name yourdomain.com
!         
!         
!         
username router1_VPN secret 5 xxxxxxxxxx
!         
!         
crypto isakmp policy 1
 encr 3des
 authentication pre-share
crypto isakmp key router1 address 8x.xxx.xxx.xxx 255.255.255.0
!         
!         
crypto ipsec transform-set VPN_router1 esp-3des esp-sha-hmac 
!         
crypto map STATIC_router1 local-address Loopback0
crypto map STATIC_router1 1 ipsec-isakmp 
 set peer 8x.xxx.xxx.xxx
 set transform-set VPN_router1 
 match address 100
!         
archive   
 log config
  hidekeys
!         
!         
!         
!         
!         
interface Loopback0
 ip address 9x.xxx.xxx.xx 255.255.255.248
 crypto map STATIC_router1
!         
interface ATM0
 no ip address
 ip route-cache flow
 no atm ilmi-keepalive
 dsl operating-mode auto 
!         
interface ATM0.1 point-to-point
 ip address 8x.xxx.xxx.xx 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 pvc 8/35 
  encapsulation aal5snap
 !        
!         
interface FastEthernet0
!         
interface FastEthernet1
!         
interface FastEthernet2
!         
interface FastEthernet3
!         
interface Dot11Radio0
 no ip address
 shutdown 
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!         
interface Vlan1
 ip address 192.168.3.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!         
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.1.0 255.255.255.0 Loopback0
!         
no ip http server
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool PoolRouter 9x.xxx.xxx.xx 9x.xxx.xxx.xx netmask 255.255.255.248
ip nat inside source list 110 pool PoolRouter overload
!         
access-list 23 permit 8x.xxx.xxx.xxx ----IP DEL PEER------
access-list 23 permit any
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny   ip 192.168.3.0 0.0.0.255 any
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.3.0 0.0.0.255 any
no cdp run
!         
control-plane
!         
!         
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 login local
 transport input ......
!         
scheduler max-task-time 5000
end

Router A:

Codice: Seleziona tutto

     

crypto isakmp policy 2

 authentication pre-share

crypto isakmp key router1 address 9x.xx.xx.xx  ----ip client vpn----


crypto map Sxxxxx local-address FastEthernet0/0

crypto map Sxxxxx 6 ipsec-isakmp 

 set peer 9x.xx.xx.xx    ----ip client vpn----

 set transform-set xxxxx

 match address 105

.
access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

ErGasti · ven 27 feb , 2009 11:23 pm

pingando gli ip della rete in vpn e usando le opzioni estese, selezionando vlan 1

pingo regolarmente gli ip dei pc ed apparati che sono up nella rete del router A
quindi credo sia un problema legato alla vlan ma quale sarà?

Codice: Seleziona tutto

#ping         
Protocol [ip]: 
Target IP address: 192.168.1.208
Repeat count [5]: 
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: vlan 1
Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.208, timeout is 2 seconds:
Packet sent with a source address of 192.168.7.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 80/83/88 ms

Wizard · mar 03 mar , 2009 12:50 pm

pingando gli ip della rete in vpn e usando le opzioni estese, selezionando vlan 1

E' giusto così!
Senò ti presenti con l'ip pubblico e x forza nn pinghi nulla!
Le prove falle dai PC dietro ai router!

ErGasti · mar 03 mar , 2009 7:21 pm

forse può aiutare il router è un 857w

Wizard ha scritto:
pingando gli ip della rete in vpn e usando le opzioni estese, selezionando vlan 1
E' giusto così!
Senò ti presenti con l'ip pubblico e x forza nn pinghi nulla!
Le prove falle dai PC dietro ai router!

ok ma dai pc dietro il router C non pingo nulla, non vedono la vpn.
ovviamente il router C lo pingano e vanno tranquillamente su internet attraverso il router

Sbagliate le acl?

Inoltre da server dietro il router A pingo il router ma non i pc dietro al router C

Poi sul router B io dal router stesso pingo tutti gli ip vpn anche senza usare le estese

Wizard · gio 05 mar , 2009 10:58 am

Ok, allora, in sostanza nn va il traffico da

192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

e vice versa

giusto?!

Andiamo x gradi:

La fase 1 va su correttamente?
La fase 2?

ErGasti · ven 06 mar , 2009 2:55 pm

esatto non pingo ne dal router A i pc dietro al router B

ne dai pc dietro al router B i pc dietro A

ma dal router usando le estese e vlan1 pingo tutti i pc dietro A ma solo così

ErGasti · ven 06 mar , 2009 2:59 pm

la vpn è su non dovrebbe essere li il problema dato che pingo i pc remoti e da:

Codice: Seleziona tutto

protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   current_peer xxx.xx.x.x port xxx
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 1234, #pkts encrypt: 1234, #pkts digest: 1234
    #pkts decaps: 13796, #pkts decrypt: 13796, #pkts verify: 13796
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
          
     local crypto endpt.: xxx.xxx.xxx.x, remote crypto endpt.: xx.xxx.xxx.x
     path mtu 1514, ip mtu 1514, ip mtu idb Loopback0
     current outbound spi: 0x99E46E98(2581884568)
          
     inbound esp sas:
      spi: 0x201EF7EB(538900459)
        transform: xxxx xxxx ,
        in use settings ={Tunnel, }
        conn id: 273, flow_id: Motorola SEC 1.0:273, crypto map: xxxxxxx
        sa timing: remaining key lifetime (k/sec): (4531662/2229)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

ErGasti · ven 06 mar , 2009 5:52 pm

ErGasti ha scritto:esatto non pingo ne dal router A i pc dietro al router B

ne dai pc dietro al router B i pc dietro A

ma dal router usando le estese e vlan1 pingo tutti i pc dietro A ma solo così

dimenticavo di dire che dal server dietro A riesco a pingare ed entrare sul router B usando il suo ip locale 192.168.3.1

Wizard · lun 09 mar , 2009 3:22 pm

ma dal router usando le estese e vlan1 pingo tutti i pc dietro A ma solo così

Allora le vpn sono ok...
Ma tutti i PC \ server hanno come default gateway i router Cisco in questione?

ErGasti · lun 09 mar , 2009 4:25 pm

Ricapitolando:

pc-dietro A pingo regolarmente il router B 192.168.3.1 ed entro in configurazione usando il suo ip

ma non i pc dietro a B es.:192.168.3.3

pc-dietro B non pingo niente dietro A

ma dal router B con le estese e vlan1 pingo tutti i pc dietro A

sui pc-server dietro a B c'è come gw B

sui pc-server dietro A c'è come gw A

io ho un dubbio che il traffico dalle fastehernet virtuali 0;1;2;3) non passi alla vlan1 e viceversa

questo motiverebbe il mancato ping del pc sulla fastethernet 1 che ha (il pc) ip 3.3 e ovviamente impedirebbe al pc stesso di pingare il server dietro A

Wizard · mar 10 mar , 2009 2:43 pm

Prova così va:

Codice: Seleziona tutto

no ip route 192.168.1.0 255.255.255.0 Loopback0

interface Loopback0
 ip address 9x.xxx.xxx.xx 255.255.255.248
 no  crypto map STATIC_router1

interface ATM0.1
 crypto map STATIC_router1

ErGasti · gio 12 mar , 2009 9:42 am

GRANDE!!!Mitico!

funziona che è un gioiello!!!

ma io sul router centrale ho messo come peer: 9x.xxx.xxx.xx 255.255.255.248

e non l'ip dell'atm0.1

come fa a funzionare avendo messo:
interface Loopback0
ip address 9x.xxx.xxx.xx 255.255.255.248
no crypto map STATIC_router1

Wizard · ven 13 mar , 2009 12:06 pm

Il problema + grosso era la rotta

ErGasti · ven 13 mar , 2009 10:56 pm

capito,
Grazie ancora!

Vpn pingo dal router A il router B ma non i pc della rete

Login • Iscriviti