Script DMVPN client in NAT e SPOKE con IP dinamico

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Ci sono praticamente tutte le configurazioni ...tranne una DMVPN...eccola qui.

Router HUB

Codice: Seleziona tutto

!
hostname HUB
!

!
multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key "KEY" address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set DMVPN esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile VIG-DMVPN
 set security-association lifetime seconds 120
 set transform-set DMVPN
!
!
interface Tunnel0
 ip address 192.168.50.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip next-hop-self eigrp 90
 ip nhrp authentication "KEY"
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 no ip split-horizon eigrp 90
 delay 1000
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 0
 tunnel protection ipsec profile VIG-DMVPN
!
!
!
interface ATM0.1 point-to-point
 ip address 89.37.11.51 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
!
!
interface Loopback0
 description INTERFACCIA WEB
 ip address 85.11.11.10 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 no snmp trap link-status
!
interface Loopback1
 description INTERFACCIA DMVPN HUB
 ip address 85.11.11.11 255.255.255.255
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 no snmp trap link-status
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 hold-queue 100 out
!
router eigrp 90
 network 192.168.1.0
 network 192.168.50.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip nat inside source route-map NAT0-RM interface Loopback0 overload
!
access-list 100 remark --DMVPN SPOKE-01--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 remark --DMVPN sPOKE-02--
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

!
route-map NAT0-RM permit 1
 match ip address 100
!
!

end
ROUTER SPOKE

Codice: Seleziona tutto

!
hostname SPOKE-01
!

multilink bundle-name authenticated
!
!
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key "KEY" address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set DMVPN esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile VIG-DMVPN
 set security-association lifetime seconds 120
 set transform-set DMVPN
!
!
interface Tunnel0
 ip address 192.168.50.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication "KEY"
 ip nhrp map 192.168.50.1 85.11.11.11
 ip nhrp map multicast 85.11.11.11
 ip nhrp network-id 1
 ip nhrp holdtime 360
 ip nhrp nhs 192.168.50.1
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source Dialer0
 tunnel mode gre multipoint
 tunnel key 0
 tunnel protection ipsec profile VIG-DMVPN
!
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp chap hostname xxxxx
 ppp chap password xxxxx
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1350
 hold-queue 100 out
!

!
router eigrp 90
 network 192.168.2.0
 network 192.168.50.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip nat inside source route-map NAT0-RM interface Dialer0 overload
!
access-list 100 remark --DMVPN HUB--
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 remark --DMVPN SPOKE-02--
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.2.0 0.0.0.255 any

!
route-map NAT0-RM permit 1
 match ip address 100
!
!
end
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Bella zot!
Metto il topic come importante!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
infinity
Cisco fan
Messaggi: 38
Iscritto il: gio 28 ago , 2008 3:30 pm

Ciao a tutti...

La DMVPN...il mio cruccio e la mia delizia...

Zot...una domanda...

Si riesce ad applicare due tipi di protezione ad un tunnel ??

ad esempio questo tunnel è protetto da un 3DES...si potrebbe negoziare anche con un AES ?

Io intendo potrebbe accettare entrambi i protocolli ?
maggiore81
Cisco pathologically enlightened user
Messaggi: 215
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:

Buondì
questa conf potrebbe essere utilizzata per fare una VPN tra un punto statico e uno dinamico (dietro fastweb) ?

Io avrei un router zyxel in fasweb che può fare una vpn ipsec e gradirei terminarla nel C877 che ho in sede centrale.

Potrei riciclare la config?
Dott. Spadoni
Network Administrator
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

infinity ha scritto:............
Si riesce ad applicare due tipi di protezione ad un tunnel ??

ad esempio questo tunnel è protetto da un 3DES...si potrebbe negoziare anche con un AES ?

Io intendo potrebbe accettare entrambi i protocolli ?
a memotia su un crypto ipsec profile si puo' applicare un solo transform set quindi no!...ripeto,a memoria...

maggiore81 ha scritto:Buondì
questa conf potrebbe essere utilizzata per fare una VPN tra un punto statico e uno dinamico (dietro fastweb) ?
Si,se per "punto" intendo IP pubblico,dove lo statico e' il router HUB
maggiore81 ha scritto: Io avrei un router zyxel in fasweb che può fare una vpn ipsec e gradirei terminarla nel C877 che ho in sede centrale.

Potrei riciclare la config?
Non penso che zyxel supporti questo tipo di configurazione,se la connessione di FW e' una "normale" ADSL potresti fare altre cose...ma andiamo off topic
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
maggiore81
Cisco pathologically enlightened user
Messaggi: 215
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:

ciao!

Io su fastweb ho un contratto business e un canchero di HAG con 3 eth.

in una delle eth ho collegato uno zyxel zywall2 con l'ultimo firmware e in teoria potrei fare una vpn IPSEC.
Volendo potrei sostituire lo zywall2 con un 3Com Secure Router o un Ciscio 831.

Preferivo mantenere lo zyxel o il 3com altrimenti non so dove metterli :)

Una volta ho collegato con successo lo zyxel al C877 in ipsec impostando l'ip con cui usciva lo zyxel da fastweb in quel momento, solo che io non ho mai e dico mai fatto funzionare una vpn ipsec (a funziona verso B ma non viceversa, e ho postato qui le conf senza mai risolvere nulla).

Vorrei collegare le due sedi dove nella sede A con ip pubblico statico (ho una /29) ho un C877 e da fw ho ip dinamico
Dott. Spadoni
Network Administrator
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Ritorniamo al solito discorso : se sei dentro la rete privata di Fastweb (HUG) ed esci tramite NAT son casini su casini per una VPN.....dynamicVPN sugli zyxel non so ma dubito che possa funzionare.
Fai prima a cambiare connessione sulle sedi remote..
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
maggiore81
Cisco pathologically enlightened user
Messaggi: 215
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:

Ciao
purtroppo devo partire dal presupposto che cè fastweb e che non si cambia.
Se richiedessi un ip statico avrei risolto 1000 problemi, ma per ora non si fa.

Oggi provo a sostiuire lo zyxel con il C831 e provo, che dici, potrebbe funzionare?
Dott. Spadoni
Network Administrator
Avatar utente
Rhize
Cisco power user
Messaggi: 89
Iscritto il: mer 22 apr , 2009 8:57 pm

Chiedo scusa per l'ignoranza, ma sul router Spoke non ci dovrebbe essere anche la riga tunnel destination sotto l'interfaccia Tunnel0 ?
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Aemm no, perchè ?
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi