VPN ip sec

[atomix]

Salve a tutti sto cercando di installare questa vpn ipsec per un mio amico,ma non riesco a stabilire la connessione.Potreste verificare se ci sono errori nella mia configurazione?Io vorrei che la vpn si stabilisse nella porta vlan 2..
Grazie ancora
saluti

Codice: Seleziona tutto

Current configuration : 5443 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Laboratorio
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.1.1
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.254
!
ip dhcp pool HostPc
   network 172.16.1.0 255.255.255.0
   default-router 172.16.1.1
   dns-server 8.8.8.8 8.8.4.4
!
ip dhcp pool MPLs
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.254
   dns-server 8.8.8.8 8.8.4.4
!
!
!
!
crypto pki trustpoint TP-self-signed-4019649088
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4019649088
 revocation-check none
 rsakeypair TP-self-signed-4019649088
!
!
crypto pki certificate chain TP-self-signed-4019649088
 certificate self-signed 01
  30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34303139 36343930 3838301E 170D3032 30333031 30323237
  32305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 30313936
  34393038 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100BEDC 993D5B3C F437EB8D 4563551E 810ADD58 B8803FD4 A8689975 BF72CFFC
  7FB45CDA A6EC96BF CCBBE81B A48F3294 ADF4DF2A 113BCBC5 09C09CAA EAEEC2F6
  7D0D833F BDCD23C1 5D0A86C4 55168AAD 7B8683B0 57F9DB8D 9001672E C8FFD0DC
  E7AD019B FB9F4922 4BB2EEDE 5608476E 13D649CB E872D8A9 B96987A2 B005FC11
  F7BD0203 010001A3 6B306930 0F060355 1D130101 FF040530 030101FF 30160603
  551D1104 0F300D82 0B4C6162 6F726174 6F72696F 301F0603 551D2304 18301680
  1410C94A 3D223413 045E904F 98A53A47 CD3D6145 5D301D06 03551D0E 04160414
  10C94A3D 22341304 5E904F98 A53A47CD 3D61455D 300D0609 2A864886 F70D0101
  04050003 81810036 950A8B8C E6EF310B F1AFE052 63A0FEBA 6C567E84 C1884A50
  77EBFE01 16DAD8D0 5CE80D31 098F164A 46731201 DEF048E3 11F77905 9BA7FE05
  5E98A8E3 2FFD6790 E7E19515 729933B4 150C8D7D C507B709 51E54E6D 44B6F1B9
  2A500658 D4E32CC9 72A21C8D 1CBB255D 37ED2DCE F5C58CFB 17AEB766 A0AED331
  B67F3FE9 9A1E61
  quit
username Manuele privilege 15 secret 5 xxxxxx
username Manu password 0 Gelo
!
!
crypto logging session
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group remote-vpn
 key 987bjdwiuhdiq%ihjo
 dns 192.168.1.254
 wins 192.168.1.254
 domain xxxxxxx.it
 pool remote-pool
 acl 158
 save-password
 split-dns xxxxxx.it
 max-users 5
 max-logins 5
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
 set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address Dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
!
!
interface ATM0
 no ip address
 ip nat inside
 ip virtual-reassembly
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
 switchport access vlan 2
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan2
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp chap hostname [email protected]
 ppp chap password 0 alicenewag
 ppp pap sent-username [email protected] password 0 alicenewag
 crypto map remotemap
!
ip local pool remote-pool 192.168.100.0 192.168.110.100
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.100.0 255.255.255.0 Dialer0
!
ip http server
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark ************************************************************
access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 158 remark *************************************************************
!
!
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

[Rizio]

Premetto che non ho mai fatto il tipo di tunnel che stai facendo tu ora, ho imparato a fare tunnel GRE crittato con IPSEC e vado bene con quelli, perciò non sò se l'osservazione è pertinente o meno però non vedo l'ip di destinazione del tunnel o nessun altra informazione relativa al "next-hop" del tunnel.

Rizio

[atomix]

Ciao grazie per la risposta.
Allora la situazione è questa,io vorrei configurare il cisco 877 come un vpn server e permettere ad utenti remoti di collegarsi con il pc alla rete.Potresti aiutarmi, magari postando una configurazione partendo dalla mia per favore?Io vorrei dare la possibilità ai clienti che si connettono di entrare dentro la Vlan 2

Grazie ancora Saluti

[Rizio]

Allora la situazione è questa,io vorrei configurare il cisco 877 come un vpn server e permettere ad utenti remoti di collegarsi con il pc alla rete.Potresti aiutarmi, magari postando una configurazione partendo dalla mia per favore?Io vorrei dare la possibilità ai clienti che si connettono di entrare dentro la Vlan 2

Ti posso solo riportare un paio di link che ho trovato sul sito cisco:
http://www.cisco.com/en/US/products/hw/ ... _list.html
http://www.cisco.com/en/US/docs/routers ... ezvpn.html

Ho configurato l'accesso vpn solo su asa (e per altro solo per provare), sorry.

Rizio

[rain3]

Ciao,
la connessione vpn si stabilisce e non raggiungi gli host oppure non va proprio ?

Ti posto un pezzo di configurzione provalo:

Codice: Seleziona tutto

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group testgroup
 key !password!
 dns 8.8.8.8
 pool ippool
 acl 120
crypto isakmp profile VPNclient
   description VPN clients profile
   match identity group testgroup
   client authentication list clientauth
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
!
crypto dynamic-map dynmap 5
 set transform-set myset 
 set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
interface Dialer0
crypto map mymap
!
ip local pool ippool 10.200.80.1 10.200.80.254
!
ip nat inside source route-map nat interface Dialer0 overload
!
access-list 120 permit ip 192.168.1.0 0.0.0.255 any
route-map nat permit 10
 match ip address 120
!
 

[atomix]

Ciao devo solo aggiungerla alla configurazione mia quindi con le impostaioni che avevo inserito?
saluti

[rain3]

Basati su questa per creare la tua configurazione .