ho un problema di accesso alla rete VPN da Cisco VPN Client per Mac OS X. Sostanzialmente il tunnel viene instaurato correttamente con il router Cisco 2811, ma una volta connesso il Mac raggiunge solamente il router oppure un altro peer connesso tramite client. Nessuna macchina collegata sulla LAN/DMZ del router è visibile da Mac.
Ho pensato potesse essere un problema del client, magari un'incompatibilità tra la versione del sistema operativo e quella del client. Ho così provato a configurare e ad utilizzare il client integrato su Mac OS X (sui nuovi è disponibile VPN IpSec) ma niente da fare, stesso comportamento.
Ora la configurazione del router è consolidata da almeno un anno, ho configurato decine di client di colleghi/collaboratori su sistema operativo Microsoft Windows XP o Seven e non ho mai avuto questo tipo di problema. Dubito si tratti di un problema di ACL sul router.
Senz'altro qualcuno di voi avrà già usato VPN Client su Mac e magari può aiutarmi in qualche modo. Posto comunque qui di seguito i passi salienti della configurazione VPN del router. Invece, per completezza, la versione del client per Mac OS X usata è la 4.9.01.0180.
Codice: Seleziona tutto
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
username xyz password <encrypted>
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
lifetime 28800
!
crypto isakmp client configuration group <nome gruppo>
key <password gruppo>
dns 192.168.XXX.XXX
domain miaazienda.net
pool ippool
crypto isakmp profile VPNclient
description VPN clients profile
match identity group testgroup
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0/0
description WAN-INTERNET
ip address 2XX.XXX.XXX.XX0 255.255.255.248
ip nat outside
ip virtual-reassembly
no ip mroute-cache
duplex full
speed 10
no cdp enable
crypto map mymap
!
interface FastEthernet0/1
no ip address
ip virtual-reassembly
shutdown
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0/0
switchport access vlan 2
duplex full
speed 100
!
interface FastEthernet0/0/1
switchport access vlan 2
duplex full
speed 100
!
interface FastEthernet0/0/2
switchport access vlan 2
duplex full
speed 100
!
interface FastEthernet0/0/3
switchport access vlan 3
duplex full
speed 100
!
interface Vlan1
no ip address
!
interface Vlan2
description LAN
ip address 192.168.0.253 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan3
description DMZ
ip address 172.16.1.253 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip local pool ippool 192.168.254.1 192.168.254.20
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 2XX.XXX.XXX.XX7
no ip http server
no ip http secure-server
!
!
ip nat inside source list 101 interface FastEthernet0/0 overload
!
!
access-list 101 remark *** ACL PER VPN ***
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 101 deny ip 172.16.1.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
!
!
control-plane
!
!
line con 0
password XXX
line aux 0
password XXX
line vty 0 4
password XXX
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 193.204.114.232
end
Codice: Seleziona tutto
