ciao a tutti, ho un grosso problema, ho preso un cliente con una vpn a 5 punti. Ho configurato la sede centrale e le periferiche e tutto è perfetto, il
dominio funziona, i client si agganciano ad exchange. Il cliente usa una companyweb per accedere ai suoi files, che a sua volta
punta alla sede centrale a milano (è un'assocurazione) ora dalla sede dove c'è il mio router principale 1900 con un Asa che gestisce la Vpn riesco ad accedere alla parte web del company web a milano, dalle sedi periferiche non c'è verso. Non riesco a fargli fare un doppio salto sulla vpn per farli andare verso milano quando cliccano i link preposti. Io ho configurato solo la sede della mia cittá e le 4 periferiche. ma se da quella vado verso Milano devo sicuramente aggiungere una route statica per le periferche, cosa che ho fatto ma se frega altamente e passa i pacchetti sull'interfaccia serial0.1 che naturalmente non sa dove girarli. Sul web non ho trovato aiuti... siete la mia unica speranza...
Doppio instradamento VPN HELP!!!
Moderatore: Federico.Lagni
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Beh se avessi postato almeno una parte della configurazione sarebbe stato meglio penso.
Hai messo le reti delle altre sedi che vadano al centro stella?
Beh se avessi postato almeno una parte della configurazione sarebbe stato meglio penso.
Hai messo le reti delle altre sedi che vadano al centro stella?
Non cade foglia che l'inconscio non voglia (S.B.)
-
alessandro2875
- n00b
- Messaggi: 14
- Iscritto il: ven 20 mag , 2011 9:08 am
Ciao, intanto grazie,
ecco la conf.
Ti dico funziona tutto ma non riesco a fare il doppio hop dalle remote alla sede remota centrale.
La risposta del supporto centrale è stata: la vpn sono cavoli vostri. Grazie....
ASA Version 8.2(1)
!
hostname sede
domain-name cisco.it
enable password fmTHKfrBi8zB3TPo encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 10.55.47.16 remote2
name 10.55.47.0 remote1
name 10.55.47.32 remote3
name 10.55.47.48 remote4
!
interface Vlan1
nameif inside
security-level 100
ip address 10.51.47.4 255.255.255.192
!
interface Vlan2
nameif outside
security-level 0
ip address 2.xxx.xxx.194 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.it
same-security-traffic permit intra-interface
access-list outside_1_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote2 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote2 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote1 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote3 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote4 255.255.255.240
access-list outside_2_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote1 255.255.255.240
access-list outside_3_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote3 255.255.255.240
access-list outside_4_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote4 255.255.255.240
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 101 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 101 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 2.xxx.xxx.193 1
route inside 10.30.0.0 255.255.0.0 10.51.47.2 1
route inside 10.50.0.0 255.255.0.0 10.51.47.2 1
route inside 10.60.0.0 255.255.0.0 10.51.47.2 1
route inside 10.128.0.0 255.128.0.0 10.51.47.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 10.51.47.5 255.255.255.255 inside
http 10.51.47.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer 88.xxx.xxx.73
crypto map outside_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 2 match address outside_2_cryptomap
crypto map outside_map 2 set peer 82.xxx.xxx.194
crypto map outside_map 2 set transform-set ESP-DES-SHA
crypto map outside_map 3 match address outside_3_cryptomap
crypto map outside_map 3 set peer 94.xxx.xxx.105
crypto map outside_map 3 set transform-set ESP-DES-SHA
crypto map outside_map 4 match address outside_4_cryptomap
crypto map outside_map 4 set peer 88.xxx.xxx.217
crypto map outside_map 4 set transform-set ESP-DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 1
lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username it4you password GcHBgCwQE.vGeT6B encrypted privilege 15
tunnel-group 82.xxx.xxx.194 type ipsec-l2l
tunnel-group 82.xxx.xxx.194 ipsec-attributes
pre-shared-key *
tunnel-group 94.xxx.xxx.105 type ipsec-l2l
tunnel-group 94.xxx.xxx.105 ipsec-attributes
pre-shared-key *
tunnel-group 88.xxx.xxx.217 type ipsec-l2l
tunnel-group 88.xxx.xxx.217 ipsec-attributes
pre-shared-key *
tunnel-group 88.xxx.xxx.73 type ipsec-l2l
tunnel-group 88.xxx.xxx.73 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f0fc596baa905b317f7729a9e69a1c23
: end
sede#
ecco la conf.
Ti dico funziona tutto ma non riesco a fare il doppio hop dalle remote alla sede remota centrale.
La risposta del supporto centrale è stata: la vpn sono cavoli vostri. Grazie....
ASA Version 8.2(1)
!
hostname sede
domain-name cisco.it
enable password fmTHKfrBi8zB3TPo encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 10.55.47.16 remote2
name 10.55.47.0 remote1
name 10.55.47.32 remote3
name 10.55.47.48 remote4
!
interface Vlan1
nameif inside
security-level 100
ip address 10.51.47.4 255.255.255.192
!
interface Vlan2
nameif outside
security-level 0
ip address 2.xxx.xxx.194 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name cisco.it
same-security-traffic permit intra-interface
access-list outside_1_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote2 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote2 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote1 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote3 255.255.255.240
access-list inside_nat0_outbound extended permit ip 10.51.47.0 255.255.255.192 remote4 255.255.255.240
access-list outside_2_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote1 255.255.255.240
access-list outside_3_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote3 255.255.255.240
access-list outside_4_cryptomap extended permit ip 10.51.47.0 255.255.255.192 remote4 255.255.255.240
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 101 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 101 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 2.xxx.xxx.193 1
route inside 10.30.0.0 255.255.0.0 10.51.47.2 1
route inside 10.50.0.0 255.255.0.0 10.51.47.2 1
route inside 10.60.0.0 255.255.0.0 10.51.47.2 1
route inside 10.128.0.0 255.128.0.0 10.51.47.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 10.51.47.5 255.255.255.255 inside
http 10.51.47.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set peer 88.xxx.xxx.73
crypto map outside_map 1 set transform-set ESP-DES-SHA
crypto map outside_map 2 match address outside_2_cryptomap
crypto map outside_map 2 set peer 82.xxx.xxx.194
crypto map outside_map 2 set transform-set ESP-DES-SHA
crypto map outside_map 3 match address outside_3_cryptomap
crypto map outside_map 3 set peer 94.xxx.xxx.105
crypto map outside_map 3 set transform-set ESP-DES-SHA
crypto map outside_map 4 match address outside_4_cryptomap
crypto map outside_map 4 set peer 88.xxx.xxx.217
crypto map outside_map 4 set transform-set ESP-DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 1
lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username it4you password GcHBgCwQE.vGeT6B encrypted privilege 15
tunnel-group 82.xxx.xxx.194 type ipsec-l2l
tunnel-group 82.xxx.xxx.194 ipsec-attributes
pre-shared-key *
tunnel-group 94.xxx.xxx.105 type ipsec-l2l
tunnel-group 94.xxx.xxx.105 ipsec-attributes
pre-shared-key *
tunnel-group 88.xxx.xxx.217 type ipsec-l2l
tunnel-group 88.xxx.xxx.217 ipsec-attributes
pre-shared-key *
tunnel-group 88.xxx.xxx.73 type ipsec-l2l
tunnel-group 88.xxx.xxx.73 ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f0fc596baa905b317f7729a9e69a1c23
: end
sede#
-
alessandro2875
- n00b
- Messaggi: 14
- Iscritto il: ven 20 mag , 2011 9:08 am
Sempre tramite VPN.
Attualmente le sedi remote riescono a collegarsi alla sede centrale e ai computer ad essa connessa ma non riescono a raggiungere le ulteriori classi di rete remote.
Il firewall asa ha indirizzo ip 10.51.47.4 occorre che le sedi remote riescano ad arrivare a queste classi di indirizzi attraverso il gateway 10.51.47.2 collegato nella rete interna del firewall.
Attualmente le sedi remote riescono a collegarsi alla sede centrale e ai computer ad essa connessa ma non riescono a raggiungere le ulteriori classi di rete remote.
Il firewall asa ha indirizzo ip 10.51.47.4 occorre che le sedi remote riescano ad arrivare a queste classi di indirizzi attraverso il gateway 10.51.47.2 collegato nella rete interna del firewall.
-
moorpheus
- Cisco fan
- Messaggi: 49
- Iscritto il: mer 12 set , 2007 7:44 am
Allora potresti configurare una seconda VPN in ogni sede remota che punti verso la companyweb ed il gioco è fatto.
Mi è venuta in mente una cosa però, magari sarà una cavolata.
Ma i router delle sedi periferiche sanno che devono instradare i pacchetti destinati alla sede di Milano attraverso il tunnel VPN?
I router delle sedi periferiche instradano sulla VPN solo i pacchetti destinati verso la sede centrale, tutto il resto lo butta fuori verso internet.
Prova con un tracert da un client periferico verso la sede di Milano e vedi dove il router (periferico) cerca di instradare i pacchetti.
Spero di non aver detto castronerie.
Mi è venuta in mente una cosa però, magari sarà una cavolata.
Ma i router delle sedi periferiche sanno che devono instradare i pacchetti destinati alla sede di Milano attraverso il tunnel VPN?
I router delle sedi periferiche instradano sulla VPN solo i pacchetti destinati verso la sede centrale, tutto il resto lo butta fuori verso internet.
Prova con un tracert da un client periferico verso la sede di Milano e vedi dove il router (periferico) cerca di instradare i pacchetti.
Spero di non aver detto castronerie.
-
alessandro2875
- n00b
- Messaggi: 14
- Iscritto il: ven 20 mag , 2011 9:08 am
Hum...sulla prima ho dei seri dubbi nel senso che nella sede di Milano non mi fanno mettere le mani, non posso quindi creare un tunnel diretto perchè dall'altra parte non riesco a fare nulla...sulla seconda ti chiedo...ma se io carico il companyweb correttamente e quindi apro tramite vpn il server iis che c'è in sede centrale la modifica la devo fare per forza in sede perchè se sono già li quando clicco su un collegamento che punta a Milano è li che deve capire come comportarsi quando arriva traffico dalle remote...magari dico io una castroneria...
P.S la company web è detenuta dal server in sede...non a Milano..a milano ci vanno solo alcuni link da dentro alla companyweb...è questo che non capisco...se dalla centrale ci vado...perchè dalle periferiche mi deve tagliare fuori?
P.S la company web è detenuta dal server in sede...non a Milano..a milano ci vanno solo alcuni link da dentro alla companyweb...è questo che non capisco...se dalla centrale ci vado...perchè dalle periferiche mi deve tagliare fuori?
-
moorpheus
- Cisco fan
- Messaggi: 49
- Iscritto il: mer 12 set , 2007 7:44 am
Mmmm bel casino.....vediamo se ho capito bene.
Il server web IIS webcompany è fisicamente nella sede centrale.
Se accedi alle pagine web dai client che sono fisicamente nella rete della sede centrale i link verso Milano funzionano.
Se invece accedi alle pagine web con i client delle sedi remote le pagine web funzionano, ma se tenti di accedere ai link verso Milano questi non funzionano.
Va considerato che le pagine web le carichi in locale percui se accedi al link sulla pagina web dalla sede centrale, il router conosce la route e ti instrada, se invece tenti di accedere al link della pagina web da un PC delle sedi remote, i router non sanno dov'è la lan di Milano.
C'ho visto giusto?
Il server web IIS webcompany è fisicamente nella sede centrale.
Se accedi alle pagine web dai client che sono fisicamente nella rete della sede centrale i link verso Milano funzionano.
Se invece accedi alle pagine web con i client delle sedi remote le pagine web funzionano, ma se tenti di accedere ai link verso Milano questi non funzionano.
Va considerato che le pagine web le carichi in locale percui se accedi al link sulla pagina web dalla sede centrale, il router conosce la route e ti instrada, se invece tenti di accedere al link della pagina web da un PC delle sedi remote, i router non sanno dov'è la lan di Milano.
C'ho visto giusto?
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Oltre ad un problema di routing, potrebbe essere anche di DNS che non risolve certi indirizzi (la butto li).
Non cade foglia che l'inconscio non voglia (S.B.)
-
alessandro2875
- n00b
- Messaggi: 14
- Iscritto il: ven 20 mag , 2011 9:08 am
Hum..no qui è un problema di networking puro e semplice. La sede centrale funziona perchè ha come gateway il server remoto a Milano, quella periferica ha come gateway l'sbs interno della sede centrale e non riesce a fare il doppio giro e saltare sull'altro gateway. La cosa che mi fa incazzare è che prima con un 857 in sede e dei soho con route statiche funzionava. Comunque ho dovuto contattare un Guru della Cisco perchè il cliente mi sta col fiato sul collo. Quando me l'ha risolto posto la config perchè può aiutare altre persone! SE me la risolve perchè sta bestemmiando parecchio pure lui...
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
OK. Se hai problemi, mandami in privato uno schema con gli indirizzi e la configurazione dei router periferici.
Buona giornata
Paolo
Buona giornata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
alessandro2875
- n00b
- Messaggi: 14
- Iscritto il: ven 20 mag , 2011 9:08 am
Va bene, grazie mille...vediamo se il Guru risolve...altrimenti te la posto. C'è Guru e Guru 
-
alessandro2875
- n00b
- Messaggi: 14
- Iscritto il: ven 20 mag , 2011 9:08 am
L'uomo non ne è uscito vivo...dice che è un problema di firmware...oggi vado ad aggiornare ASA e 857...ma mi pare di sognare...si pingano gli apparati ma non fanno passare i pacchetti...mah..
