Ciao a tutti,
dopo aver risolto grazie a voi la configurazione del mio cisco 1801 per la navigazione internet e l'assegnazione degli ip pubblici, vorrei configurare una vpn verso un abbonamento fastweb casalingo, ovvero senza ip pubblico, dove è utilizzato un NetGear ProSafe FVS114 come gateway/firewall...
ho appena fatto una prova di configurazione dello stesso netgear verso un apparato netgear con ip pubblico fisso e la vpn è andata su senza problemi, vorrei quindi ora replicare quelle impostazioni sul mio cisco e configurare la vpn la senza dover utilizzare altre periferiche...
la configurazione del cisco è quella postata nel topic di seguito:
http://www.ciscoforums.it/viewtopic.php ... 2&start=15
la configurazione delle caratteristiche della vpn invece ve le vado ad elencare:
Policy IKE:
Type: Responder
Exchange Method: Aggressive
Local username: VPN-Office
Remote username: VPN-Site
Encryption Algorithm: 3DES
Authentication Algorithm: SHA-1
Authentication Method: Pre-shared key
Pre-Shared Key: chiavecondivisa
DH Group: Group 2 (1024 bit)
Lifetime: 3600 sec
XAUTH: nessuno
VPN Policies:
Remote Endpoint: ippubblicofastweb
Netbios: Enabled
Keepalive: no
Local subnet: 192.168.0.0/24
Remote subnet: 192.168.1.0/24
Sa Lifetime: 3600 sec
Encryption Algorithm: 3DES
Integrity Algorithm: SHA-1
Perfect Forward Secrecy: abilitato
DH Group: Group2 (1024bit)
ora però non so come configurare il cisco con questi parametri, potete aiutarmi per favore o dirmi dove posso vedere come configurarli?
Grazie mille.
PS: ho provato ad usare l'sdm ma non funzionano i wizard...
EDIT: ho verificato che nelle policy ike, affinchè funzioni correttamente la vpn, devo usare un fullyqualified username anzichè gli indirizzi ip, in quanto con fastweb si ha il problema che l'ip assegnato non è quello pubblico... così la vpn funziona sempre e senza problemi.
Creazione VPN Site-to-Site tra Cisco e NetGear
Moderatore: Federico.Lagni
-
toddy
- n00b
- Messaggi: 4
- Iscritto il: mar 20 apr , 2010 9:47 am
prova con questo:
spero ti sia utile
crypto isakmp policy 10
hash sha
encrypthion 3des
authentication pre-share
group 2
crypto isakmp key chiavecondivisa address ippubblicofastweb
!
!
crypto ipsec transform-set MioSet esp-3des esp-sha-hmac
!
crypto map VPN1 local-address Loopback0
crypto map VPN1 10 ipsec-isakmp
set peer ippubblicofastweb
set transform-set MioSet
match address 101
!
!
!
!
interface Loopback0
ip address tuo_indirizzo_pubblico 255.255.255.xxx
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 85.xx.xx.xx 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
oam-pvc manage
encapsulation aal5snap
!
crypto map VPN1
!
interface Vlan1
description "LAN PRIVATA"
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
load-interval 30
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 123 interface ATM0.1 overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 123 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 123 permit ip 192.168.1.0 0.0.0.255 any
!
spero ti sia utile
crypto isakmp policy 10
hash sha
encrypthion 3des
authentication pre-share
group 2
crypto isakmp key chiavecondivisa address ippubblicofastweb
!
!
crypto ipsec transform-set MioSet esp-3des esp-sha-hmac
!
crypto map VPN1 local-address Loopback0
crypto map VPN1 10 ipsec-isakmp
set peer ippubblicofastweb
set transform-set MioSet
match address 101
!
!
!
!
interface Loopback0
ip address tuo_indirizzo_pubblico 255.255.255.xxx
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 85.xx.xx.xx 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
oam-pvc manage
encapsulation aal5snap
!
crypto map VPN1
!
interface Vlan1
description "LAN PRIVATA"
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
load-interval 30
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 123 interface ATM0.1 overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 123 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 123 permit ip 192.168.1.0 0.0.0.255 any
!
Marco T.
-
Blue Ice
- n00b
- Messaggi: 13
- Iscritto il: mer 17 mar , 2010 12:37 pm
- Località: Roma
rieccomi a postare i miei progressi...
ispirandomi un po' a tutti i topic presenti sul forum, ma di più a questo qua:
http://www.ciscoforums.it/viewtopic.php ... highlight=
sono arrivato ad una fase intermedia della mia configurazione, ovvero... stabilisco la vpn in fase1 ma la fase2 si ferma con l'errore (sul netgear): "No proposal chosen"
vi posto la configurazione attuale del cisco:
ispirandomi un po' a tutti i topic presenti sul forum, ma di più a questo qua:
http://www.ciscoforums.it/viewtopic.php ... highlight=
sono arrivato ad una fase intermedia della mia configurazione, ovvero... stabilisco la vpn in fase1 ma la fase2 si ferma con l'errore (sul netgear): "No proposal chosen"
vi posto la configurazione attuale del cisco:
Codice: Seleziona tutto
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0 htgroup2010 hostname ht-casa.dyndns.org no-xauth
crypto isakmp keepalive 30 5
!
crypto isakmp peer address 93.40.131.252
set aggressive-mode password htgroup2010
set aggressive-mode client-endpoint user-fqdn HT-Casa
!
!
crypto ipsec transform-set VPN-SHA esp-3des esp-sha-hmac
!
crypto map VPN 1 ipsec-isakmp
description Tunnel to HT-Casa
set peer ht-casa.dyndns.org dinamic
set transform-set VPN-SHA
set pfs group2
match address 100
!
interface Loopback0
ip address 80.21.44.17 255.255.255.0
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
crypto map VPN
!
interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.48.29.178 255.255.255.252
ip access-group 131 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip nat outside
ip inspect IDS out
ip virtual-reassembly
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat pool INTERNET 80.21.44.18 80.21.44.18 netmask 255.255.255.240
ip nat inside source list 100 pool INTERNET overload
ip access-list extended sdm_vlan1_in
remark SDM_ACL Category=1
remark Nega NAT per Traffico VPN
deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip any any
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 100
!
sul netgear le impostazioni invece sono:
[b]IKE[/b]
Type: Initiator
Exchange Method: Aggressive
Local fqdn: ht-casa.dyndns.org
Remote ip: 80.21.44.17
Encryption Algorithm: 3DES
Authentication Algorithm: MD5
Authentication Method: Pre-shared key
Pre-Shared Key: htgroup2010
DH Group: Group 2 (1024 bit)
Lifetime: 28800 sec
[b]IPSEC[/b]
Remote Endpoint: 80.21.44.17
Netbios: Enabled
Keepalive: si
Ping: 192.168.0.254
Local subnet: 192.168.1.0/24
Remote subnet: 192.168.0.0/24
Sa Lifetime: 3600 sec
Encryption Algorithm: 3DES
Integrity Algorithm: SHA-1
Perfect Forward Secrecy: abilitato
DH Group: Group2 (1024bit)
credo che il problema sia nella configura ipsec, ma non riesco a trovare il problema, qlc può aiutarmi?
:?: :wink: 