SOHO 97 e VPN

[paolo563]

Ho letto molto sui forum e documentazione varia, però non ho trovato risposta al mio interrogativo, può anche darsi che non ho letto abbastanza, ma orientarsi su questi argomenti non è sempre così semplice.

Possiedo un SOHO97-K9 con IOS 12.4(6)T, che ho configurato abbastanza tranquillamente per un utilizzo normale con internet. Adesso ho l'esigenza di aggiungere la funzionalità di VPN Server in L2TP con IPSEC per remotizzarmi da fouri alla stregua dei roadwarrior. (Non mi piace il PPTP)
Sono arrivato al punto in cui devo impartire i comandi "crypto ......" ma sembra che tale comando non sia presente per questo IOS.
Non ho molta esperienza sui SOHO, era meglio un 837 dove qualche nozione in più la possiedo.

Per vostra esperienza e conoscenza la cosa è fattibile o stò chiedendo al topolino di partorire l'elefante?

Grazie a tutti.

"Due cose sono infinite: l'universo e la stupidità umana, ma riguardo l'universo ho ancora dei dubbi." A.Einstein

[Wizard]

1) Bisogna vedere che ios hai (sh ver)
2) Per la vpn client falla ipsec (cisco vpn client)

[paolo563]

Grazie per la sollecitudine Wizard ...
dunque lo sh ver lo posso postare solo al rientro dal lavoro .... al momento posso solo dire che l'IOS è 12.4(6)T.






"Due cose sono infinite: l'universo e la stupidità umana, ma riguardo l'universo ho ancora dei dubbi." A.Einstein

[paolo563]

Ecco lo sh ver :

Cisco IOS Software, SOHO97 Software (SOHO97-OY1-M), Version 12.4(6)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Thu 23-Feb-06 04:20 by ccai

ROM: System Bootstrap, Version 12.2(11r)YV3, RELEASE SOFTWARE (fc2)

admin uptime is 15 minutes
System returned to ROM by power-on
System image file is "flash:exit"

Cisco SOHO97 (MPC857DSL) processor (revision 0x500) with 58983K/6553K bytes of memory.
CPU rev number 7
1 Ethernet interface
1 ATM interface
128K bytes of NVRAM.
8192K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)

Configuration register is 0x2102

Cercando ancora qua e là mi sembra di aver capito che le versioni 12.4(x)T non supportano IPSEC mentre quelle 12.4(x) si.
Insomma questa T sembra essere il mio male; ho capito bene ?!

Se è così credo che debba andare su di un IOS tipo soho97-k9oy1-mz.124-13b (che mi sembra si l'ultimo).

Cosa ne pensate ?

[Wizard]

L'ultima e unica ios disponibile è la soho97-k9oy1-mz.124-13b.bin quindi, si, hai l'ultima versione di software.
Questa versione dovrebbe poter fare vpn client...

Prova intanto a copiare queste righe:

Codice: Seleziona tutto

conf t
crypto isakmp enable

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2

[paolo563]

Ok Wizard, prima devo caricare il nuovo IOS ... anzi prima mi salvo quello che ho attualmente (Software SOHO97-OY1-M, Version 12.4(6)T) e poi gli carico l' soho97-k9oy1-mz.124-13b.

Fatto questo iniziano le danze della conf e relativi test.

Oggi però credo che non ce la farò a fare tutto questo, ho avuto una nottataccia grazie ad un cluster RP7420 HP, praticamente ancora devo andare a letto.

Appena fatto posterò i risultati sul forum in modo da condividere la mia esperianza a chi, eventualmente, ne avesse bisogno.

Nel caso avessi ancora bisogno di qualche aiutino, vorrà dire che prima dei risultati posterò i quesiti.

[paolo563]

Ok ... ci sono riuscito .... VPN con Cisco Client.
In fondo non è stata poi così dura .... un'altro po e collassavo .

A segure la configurazione per soho 97 ADSL IP Dinamico e VPN Server per Cisco VPN Client. Condivido a chi ne ha bisogno la mia configurazione.

no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable password XXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userlist local
aaa authentication ppp default local
aaa authorization network grouplist local
!
aaa session-id common
no ip source-route
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool dhcppool
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
update arp
!
!
ip cef
no ip domain lookup
no ip bootp server
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip-tls
ip inspect name firewall esmtp
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall skinny
!
!
!
username AAAAAAAA password XXXXXXXX
username BBBBBBBB password YYYYYYYY
!
!
!
!
crypto isakmp policy 1
authentication pre-share
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key vpngroup
domain local
pool vpnclients
acl 106
!
!
crypto ipsec transform-set tr-null-sha esp-null esp-sha-hmac
crypto ipsec transform-set tr-des-md5 esp-des esp-md5-hmac
crypto ipsec transform-set tr-des-sha esp-des esp-sha-hmac
crypto ipsec transform-set tr-3des-sha esp-3des esp-sha-hmac
!
crypto dynamic-map vpnusers 1
description Client to Site VPN Users
set transform-set tr-des-md5
!
!
crypto map cm-cryptomap client authentication list userlist
crypto map cm-cryptomap isakmp authorization list grouplist
crypto map cm-cryptomap client configuration address respond
crypto map cm-cryptomap 65000 ipsec-isakmp dynamic vpnusers
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
no snmp trap link-status
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
ip address negotiated
ip access-group 101 in
no ip redirects
no ip unreachables
ip nat outside
ip inspect firewall out
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username CCCCCCCC password RRRRRRRR
ppp ipcp dns request
crypto map cm-cryptomap
!
ip local pool vpnclients 192.168.2.1 192.168.2.254
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
ip nat inside source list 105 interface Dialer0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 3 deny 192.168.2.0 0.0.0.255
access-list 3 permit any
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 169.254.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.0.2.0 0.0.0.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 198.18.0.0 0.1.255.255 any
access-list 101 deny ip 224.0.0.0 0.15.255.255 any
access-list 101 deny ip any host 255.255.255.255
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit udp any any eq isakmp
access-list 101 permit esp any any
access-list 101 permit tcp any any eq 1723
access-list 101 permit gre any any
access-list 101 deny icmp any any
access-list 101 deny ip any any
access-list 102 permit ip any host 192.168.1.1
access-list 102 deny ip any host 192.168.1.255
access-list 102 deny udp any any eq tftp
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny ip any 0.0.0.0 0.255.255.255
access-list 102 deny ip any 10.0.0.0 0.255.255.255
access-list 102 deny ip any 127.0.0.0 0.255.255.255
access-list 102 deny ip any 169.254.0.0 0.0.255.255
access-list 102 deny ip any 172.16.0.0 0.15.255.255
access-list 102 deny ip any 192.0.2.0 0.0.0.255
access-list 102 deny ip any 192.168.0.0 0.0.255.255
access-list 102 deny ip any 198.18.0.0 0.1.255.255
access-list 102 deny udp any any eq 135
access-list 102 deny tcp any any eq 135
access-list 102 deny udp any any eq netbios-ns
access-list 102 deny udp any any eq netbios-dgm
access-list 102 deny tcp any any eq 445
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any host 255.255.255.255
access-list 102 deny ip any any
access-list 105 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 105 permit ip 192.168.1.0 0.0.0.255 any
access-list 106 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 2 in
transport input telnet ssh
transport output none
!
scheduler max-task-time 5000
end


Il prossimo passo è L2TP IPSec con client nativo winXP su soho 97.

Grazie a tutti

[Wizard]

Sembra che vada bene...prova la vpn client e sappici dire.

[paolo563]

La VPN con il client Cisco funziona.
Adesso però ho un problema ..... il router dopo un po restarta da solo.

Ci sono una serie di errori che non ho ben capito se dipende dalla conf, dalla dimensione della flash o un problema di IOS.

MMMMmmmmmmmmm .... la cosa non mi piace ... provo a togliere un pò di access-list .. vediamo come va. Non vorrei che il firewall lavorasse troppo e mi pianta il tutto.
Se così non va provo con un'altro IOS .... più datato.

Faccio sapere .....

Scusate ma prima preferisco provarci fino in fondo da solo ... poi cerco aiuto.
Son fatto così .... sono un sistemista che ci volete fare.

[paolo563]

Allora,
di sostituire l'IOS non mi andava tanto, così ho lavorato sulle access-list ed ho scoperto una cosa ... sembra che il casino lo faccia l'access-list 101 (La conf è quella sopra).
Il problema è che non riesco a capirne il motivo.

Sono due giorni che me la riguardo e non riesco a capire perché questa access-list mi faccia restartare il router in continuazione dopo che sono passate 2 o 3 ore dalla sua configurazione. Attenzione ... HO DETTO CONFIGURAZIONE non accensione ... e si perché azzerando la NVRAM e riconfigurandolo da zero va per 2 o 3 ore poi iniziano i restart; se spengo e riaccendo appena inizia a tirare su le interfaccie (ATM0 e Ethernet0) da un panic di IOS, blatera qual'cosa riguardo all'insufficienza di memoria per eseguire il dump ed il giochino prosegue all'infinito.

C'è qualcuno che mi sappia dare almeno un'idea su dove indagare ? Oramai sono alla frutta.

Grazie

[Wizard]

La ACL 101 è fatta bene ed è applicata giustamente in entrata.
Se puoi aggiorna la IOS.

[paolo563]

Ciao Wizard,
ma non so quale metterci di IOS attualmente ho l'ultima versione 12.4(13b) quindi non posso certo fare upgrade .... l'unica cosa è fare downgrade verso una versione meno recente tipo 12.3, ma come detto in precedenza non posso andare verso una versione ...T in quanto non supporta l'IPSec.

Ho la sensazione di giocare a indovinello invece che programmare un router.

C'è qual'cosa che mi sfugge ..... ho questa sensazione.

Vha bhe ... faccio la prova del downgrade di IOS e vediamo come va a finire.

(Pensandoci bene forse è colpa dell'IOS; non è la prima volta che l'ultima versione mi frega .. soprattutto sui 7500 mi sono capitate diverse cosette poco simpatiche tra IOS e IOS)


Faccio sapere

[Wizard]

Non passare ad una 12.3, fai un downgrade ad una 12.4 che ti vada bene.

[paolo563]

Non ho mollato ... però, causa influenza, l'argomento subisce una piccola (spero) sospensione. (Non è semplice ragionare con i router quando hai 39 di febbre).
Appena ripreso provo con un IOS 12.4(qualcosa).