help cisco 837 e telnet ssh e vpn

[killerstyle]

Buongiorno,

ho un ruoter cisco 837 che fino a ieri era collegato direttamente all'adsl e il collegamento telnet ssh funzionava perfettamente da fuori casa usando il putty. Oggi (causa passaggio alla 20 mega di telecom) ho dovuto sostituirlo con un modem / router linksys il quale l'ho collegato direttamente all'adsl (funziona perfettamente). Successivamente ho collegato il router cisco tramite fastethernet al router linksys e mi aspettavo di raggiungerlo lo stesso da fuori avendo dirottato il traffico ssh e telnet all'indirizzo della fastethernet del router cisco ma non lo raggiungo. Ho provato anche a inserire l'indirizzo del cisco in dmz sul router linksys ma non lo raggiungo lo stesso.

Help me please

[paolomat75]

Posta la configurazione.

Paolo

[killerstyle]

Buongiorno a tutti,
questo problema l'ho risolto era una cavolata (una mia distrazione) mi ero "solo" dimenticato di cambiare la default route era rimasta con dialer1 invece ora inserendo come destinazione l'ip del router linksys funziona tutto.

Ora ho un'altro piccolo problema con la vpn ovvero mi connetto correttamente (vpn chiusa correttamente es. pingo l'ip del router cisco) ma chiudendo la vpn internet non funziona che prima invece funzionava.

Ho scelto di far passare nel tunnel vpn anche il traffico internet ma ora non mi funziona più.


di seguito la configurazione (depurata da tutta la parte che non è della vpn)

----------------------------------

aaa new-model
!
!
aaa authentication login default local
aaa authentication login AUTH_USER_VPN local
aaa authorization network AUTH_GROUP_VPN local
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN_INTERNET
key *******
dns 8.8.8.8 8.8.4.4
pool VPN_POOL
acl 100
include-local-lan
max-users 10
netmask 255.255.255.0
!
crypto isakmp profile IKE-PROFILE
match identity group VPN_INTERNET
client authentication list AUTH_USER_VPN
isakmp authorization list AUTH_GROUP_VPN
client configuration address initiate
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set VPN_SET esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC_PROFILE
set transform-set VPN_SET
set isakmp-profile IKE-PROFILE
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
!
ip local pool VPN_POOL 192.168.4.1 192.168.4.10
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.0.3
!
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 permit ip any any


---------------------


Help me please

[killerstyle]

Nessuno che mi può aiutare ?

[paolomat75]

Non avendo la configurazione completa la butto li. Problema di NAT?

Paolo

[killerstyle]

in realtà la configurazione è completa ovviamente ho tolto la parte che non interessa alla vpn per pulizia del topic.

crypto isakmp client configuration group VPN_INTERNET
key *******
dns 8.8.8.8 8.8.4.4
pool VPN_POOL
acl 100
include-local-lan
max-users 10
netmask 255.255.255.0

access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 permit ip any any

[paolomat75]

Allora la configurazione è mancante del NAT, il router linksys non conosce la rete 192.168.4.0/24.

Paolo

[killerstyle]

Questo può essere anche perchè ho aperto le statistiche del cisco vpn dopo aver chiuso la vpn e provando ad aprire un sito la parte del contatore indica come pacchetti ricevuti zero e come inviati in continuo aumento.

L'unica cosa è che non posso fare nulla sul linksys non ha grandi configurazioni e poi perchè se pingo (dal pc remoto) l'ip del router cisco (con vpn chiusa) e l'ip del pc remoto (sempre con vpn chiusa) li pingo tranquillamente ? Questo non indica che il linksys la 192.168.4.0 la conosce ? La mia idea è che magari la 192.168.4.0 non conosce la via per uscire su internet come se non sà con quale gateway uscire. Questa è solo una idea poi magari sbaglio.


Grazie mille comunque per l'aiuto che mi stai dando.

[IkkI08]

Se ho ben capito il tuo problema, cosa non certa , è giusto che non riesci ad andare su internet perchè non è impostato il NAT. Il tuo router vede il subnet in questione ovviamente, devi renderlo utilizzabile dalla tua rete ad internet usando appunto il NAT.

[killerstyle]

ok ma il mio problema è che come descritto sopra ho l'unica interfaccia ovvero ethernet 0 quindi non sò come fare il nat perchè l'ethernet 0 potrei farla outside (essendo collegata al linksys quindi ad internet) ma l'inside chi è ? La Virtual-Template1

[paolomat75]

.. La Virtual-Template1

Direi di si.

Paolo

[killerstyle]

Questo è il risultato della nuova configurazione ma non funziona ancora

interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out

interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0
ip nat outside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE

ip nat inside source route-map ROUTE_MAP_VPN interface Virtual-Template1 overload

access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 permit ip any any

route-map ROUTE_MAP_VPN permit 1
match ip address 100

[paolomat75]

A prima vista hai invertito inside con outside. L'overload devi farla su Ethernet.

Paolo

[paolomat75]

Hai risolto?

Paolo

[killerstyle]

Si ieri sera che non ho avuto tempo prima di provare.

Il problema era il nat come consigliato da voi oltre l'errore dell'overload.

Grazie mille a tutti per l'aiuto siete sempre fantastici.