Cisco 877 <-> iphone dynamic-vpn con ipsec

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Ciao,
è da qualche giorno che stò litigando con il mio 877 e l'iphone per creare una vpn tra i due. L'iphone si collega ma dopo non riesce a raggiungere nessuna delle macchine in lan. Se provo a collegarmi tramite vpnc o client ufficiale cisco ottengo:
S4.5 AM_packet3
[2010-02-01 15:10:34]
NAT status: this end behind NAT? YES -- remote end behind NAT? no
NAT-T mode, adding non-esp marker
vpnc: no response from target

vedo i pacchetti dalla mia adsl di casa arrivare ma il client sembra non interpretarli. Che sia un problema di nat-traversal ?

A seguito la mia configurazione:


crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90


crypto isakmp client configuration group remote-vpn
key ZHZxZfu2S1L7GKN3d6j
dns 212.216.112.112
pool remote-pool
acl 158
save-password
max-users 3
max-logins 2
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address Dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn

interface Loopback0
no ip address



interface Dialer0
description Alice
ip address negotiated
ip access-group 131 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip verify unicast reverse-path
ip nat outside
ip inspect Firewall out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
crypto map remotemap
!
!
ip local pool remote-pool 10.0.69.0 10.0.69.7

p nat pool pool1 10.0.77.0 10.0.78.0 netmask 0.0.0.255
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.75 80 interface Dialer0 80
ip nat inside source static tcp 10.0.77.13 60000 interface Dialer0 60000
ip nat inside source static tcp 10.0.77.13 22 interface Dialer0 60022
ip nat inside source static tcp 10.0.77.13 9000 interface Dialer0 9000
ip nat inside source static tcp 10.0.77.13 60009 interface Dialer0 60009
ip nat inside source static udp 10.0.77.13 60009 interface Dialer0 60009
ip nat inside source static udp 10.0.77.13 60012 interface Dialer0 60012
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.69.0 255.255.255.248 Dialer0
!
!
access-list 1 permit 10.0.77.0 0.0.0.255
access-list 100 permit ip any any
access-list 100 permit icmp any any
access-list 101 permit ip any any
access-list 101 permit icmp any any
access-list 110 remark *** ACL nonat ***
access-list 110 deny ip 10.0.77.0 0.0.0.255 10.0.69.0 0.0.0.248
access-list 110 permit ip 10.0.77.0 0.0.0.255 any
access-list 131 remark *** ACL outside ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any
access-list 131 permit tcp 84.247.192.0 0.0.63.255 any eq 22
access-list 131 permit tcp any any eq 60009
access-list 131 permit udp any any eq 60009
access-list 131 permit udp any any eq 60012
access-list 131 permit udp any any eq isakmp
access-list 131 permit ip 10.0.69.0 0.0.0.248 10.0.77.0 0.0.0.255
access-list 158 remark *** ACL split-tunnel vpnclient ***
access-list 158 permit ip 10.0.77.0 0.0.0.255 10.0.69.0 0.0.0.248
access-list 180 permit ip any any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
!
!
!
route-map nonat permit 10
match ip address 110
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Domande che mi sono sorte nel mentre... Nella documentazione del 877 ci sono esempi solo di easyvpn, in cosa differiscono da una vpn "remote access" ?
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

ip local pool remote-pool 10.0.69.0 10.0.69.7

p nat pool pool1 10.0.77.0 10.0.78.0 netmask 0.0.0.255
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.69.0 255.255.255.248 Dialer0

access-list 1 permit 10.0.77.0 0.0.0.255

access-list 110 remark *** ACL nonat ***
access-list 110 deny ip 10.0.77.0 0.0.0.255 10.0.69.0 0.0.0.248
access-list 110 permit ip 10.0.77.0 0.0.0.255 any
La acl 110 a cosa è associata?
La acl associata al nat è la 1...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Wizard ha scritto:
ip local pool remote-pool 10.0.69.0 10.0.69.7

p nat pool pool1 10.0.77.0 10.0.78.0 netmask 0.0.0.255
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.69.0 255.255.255.248 Dialer0

access-list 1 permit 10.0.77.0 0.0.0.255

access-list 110 remark *** ACL nonat ***
access-list 110 deny ip 10.0.77.0 0.0.0.255 10.0.69.0 0.0.0.248
access-list 110 permit ip 10.0.77.0 0.0.0.255 any
La acl 110 a cosa è associata?
La acl associata al nat è la 1...
Ciao, grazie per la risposta. L'access-list 110 in un primo momento l'avevo assegnata alla Loopback così:

ip nat inside source list 110 interface Loopback0 overload

Non capisco se l'interfaccia Lookback è necessaria per le vpn remoteaccess, e se esiste deve avere assegnato un ip pubblico ?

Successiva ho rimosso quella regola e l'ho messa in fondo:
route-map nonat permit 10
match ip address 110

ma non sono convinto degli effetti!
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Come faccio ad essere sicuro di avere il nat-traversal attivato ?
Avatar utente
rinux
Cisco fan
Messaggi: 71
Iscritto il: mer 22 apr , 2009 4:20 pm
Località: near Frosinone

Ciao,
non ho ben capito se qualcuno ha un tunnel VPN che funziona correttamente con i router ISR comunque per il momento io ho riscontrato problemi di cfg con i router mentre tutto funziona egregiamente sugli ASA.

In pratica su configurazioni attive dove viene utilizzato regolarmente AnyConnect in SSL oppure il client VPN IPSec, il client VPN del iPhone si è connesso senza problemi sugli ASA, mentre su un router Cisco877 va in errore nella fase di hanshake isakmp... anzi con un'altra cfg dice che non trova il profilo!

NB: sul client iPhone ho utilizzato la modalità IPSec (ho trovato alcuni esempi con tunnel L2TP ma non li ho ancora testati).


73 de Arturo
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Con queste conf pasa correttamente la fase 1 e 2. Anche con un client linux (vpnc) il tunnel ipsec viene creato, sniffando con tcpdump i pacchetti transitano correttamente ma non raggiungono la lan.
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Problema risolto! C'era per permit di troppo nella acl del nat sulla Dialer0, i pacchetti venivano inviati con l'ip pubblico dell'end point e non con quelli privati. Tolta quella funziona!
digitel
Cisco fan
Messaggi: 62
Iscritto il: lun 09 feb , 2009 8:21 am

egarim
mi confermi che la configurazione che hai postato funziona con cisco 877 e iphone ?? (quale iphone ??)

Grazie mille.


P.S. e' da giorni che sto sbattendo la testa sul creare una connessione vpn tra un iphone4s (ios5 ultimo) e un 877 , ho provato varie cfg (split tunneling e non, virtual template e non ecc.ecc. ma non c'e' verso che il tunnel venga creato, la fase 1 sembra andare ma nella 2 si pianta qualcosa...)
Rispondi