VPN tra due lan con router CISCO 877 e problema SDM

[andriy299]

Una saluto a tutti,

ho la necessità di creare una VPN tra due edifici.

Nell'edificio 1 è presente una LAN composta da un server (che funge da gateway principale) e svariati client. Tutti sono collegati ad internet tramite un router CISCO 877. Tutta la rete si identifica con un indirizzo IP pubblico statico (del router?).

Nell'edificio 2 è presente, attualmente, una LAN formata da un solo computer collegato ad internet, sempre con un CISCO 877. Anche questa rete possiede un unico indirizzo IP pubblico statico.

Per la configurazione della VPN ho provato, inizialmente, ad utilizzare SDM ma una volta avviato mi venivano richieste username e password telnet. Inserendo quelle che da me impostate tramite la configurazione via telnet dei due router, veniva visualizzato sempre l'errore di credenziali non valide. (Considerate le mie poche conoscenze in merito, qualcuno mi saprebbe indicare come risolvere questo problema?)

Sto pertanto pensando di effettuare una configurazione "manuale" della VPN ma, molto sinceramente, non saprei quali comandi e di quali parametri ho bisogno per configurare il tutto. Qualcuno può aiutarmi?

Immagino che prima dovrei configurare il router dell'edificio 1 (quello con i dati e i programmi a cui voglio accedere) e poi configurare il router dell'edificio 2.



Ringrazio anticipatamente tutti per qualsiasi aiuto o suggerimento

[blublublu]

non conosco SDM, ma visto che usa HTTP e che per accedere via HTTP a un router lo user deve avere privilege 15 immagino che sia quello il problema.
Basta dare il comando "username nome privilege 15" per risolvere

[andriy299]

non conosco SDM, ma visto che usa HTTP e che per accedere via HTTP a un router lo user deve avere privilege 15 immagino che sia quello il problema.
Basta dare il comando "username nome privilege 15" per risolvere

Intanto grazie! Ho dato quel comando lì e SDM adesso funziona... Adesso il punto è come e cosa utilizzare per creare la VPN: SDM o tramite configurazione manuale...

Con SDM è più facile? Da linea di comando non saprei da dove iniziare....

[paolomat75]

non conosco SDM, ma visto che usa HTTP e che per accedere via HTTP a un router lo user deve avere privilege 15 immagino che sia quello il problema.
Basta dare il comando "username nome privilege 15" per risolvere

Intanto grazie! Ho dato quel comando lì e SDM adesso funziona... Adesso il punto è come e cosa utilizzare per creare la VPN: SDM o tramite configurazione manuale...

Con SDM è più facile? Da linea di comando non saprei da dove iniziare....

Ciao,
anche se non l'ho mai usato SDM è più semplice sicuramente.

Prova così, poi se mai chiedi supporto

[andriy299]

Ciao, ho provato ad installare la VPN sul server dell'edificio 1 con lo strumento Easy VPN Server di SDM. Dapprima il software configura il protocollo AAA ma successivamente, non appena terminata la configurazione, premendo sul pulsante Launch Easy VPN Server wizard non si ha nessun effetto.

Ho letto su questo forum che molti di voi sconsigliano l'utilizzo di SDM per l'installazione di una VPN, ma il problema sopra esposto mi fa pensare che il software è fatto davvero male. In ogni caso la versione di SDM da me utilizzata è la 2.4, non so se nelle altre versioni avviene lo stesso problema.


A questo punto non mi resta che configurare tutto tramite linea di comando. Qualcuno potrebbe darmi dei suggerimenti su come configurare, sia lato server che lato client, i due router per una VPN??


Inoltre faccio una piccola digressione. Ho provato a creare una VPN attraverso gli strumenti di windows prendendo spunto da questo breve video: http://www.5min.com/Video/Configure-a-X ... e-27865301

Ovviamente, seguendo alla lettera tutti i passaggi, ho creato sul server dell'edificio 1 una "connessione" che accetta connessioni in ingresso (aggiungendo un utente con i permessi) mentre sul computer client posto nell'edificio 2 ho creato una connessione al server (fornendo l'IP pubblico del router a cui è collegato il server). Se effettuo il collegamento con questa connessione il risultato è il perenne errore 800.

Non so davvero cosa fare, di reti me ne intendo pochissimo...Spero che qualcuno abbia un buon suggerimento da darmi....


Grazie

[paolomat75]

Ciao,
per darti una mano bisognerebbe sapere un pò della topologia di rete come è adesso e come la vuoi.
Per l'errore 800 può dipendere dal IOS vecchio (fonte microsoft) oppure da qualche configurazione di sicurezza del router/server.
Posta la versione del IOS e tutte le informazioni precedenti.

[andriy299]

Gentilissimo paolomat75, intanto ti ringrazio per la risposta. Lo scenario della struttura attuale è il seguente:

Edificio 1 - Vi è configurata una rete in cui è presente un hub a cui sono collegati un server e diversi client (4). Il server funge da gateway predefinito di questa rete. Gli indirizzi IP della rete sono settati manualmente. In questa rete (ovviamente) vi è un solo IP pubblico. La connettività di questa rete è assicurata da un router CISCO 877 (chiamiamolo router 1) collegato via console ad un client della rete da cui effettuo la sua configurazione (quando necessario).


Edificio 2 - Vi è configurata una rete composta, attualmente, da un solo computer collegato ad internet via ethernet con un router CISCO 877 (chiamiamolo router 2). Anche in questa rete gli indirizzi IP della rete sono settati manualmente e vi è un solo IP pubblico. Essendo che questo computer lavorava nella rete dell'edificio 1, l'IP di rete del computer è settato manualmente con un ip facente parte del range di quelli settati nel primo edificio e ha come gateway predefinito l'indirizzo ip di rete del server.

Tutti i client lavorano con SO Windows XP, tranne un client e il server del primo edificio che hanno installato Windows Server 2003.


L'obiettivo è quello di creare una VPN tra i due edifici in modo tale da permettere lo scambio di dati e l'esecuzione di un particolare programma che risiede sul server dell'edificio 1. Sostanzialmente, il collegamento che vorrei venisse realizzato è quello tra il/i computer dell'edificio 2 e il server dell'edificio 1 tramite VPN.

Date le mie conoscenze, non so se questo sia un collegamento facile o difficile. Posto ora le configurazioni dei due router e la loro versione IOS (uguale per entrambi):


VERSIONE IOS

Codice: Seleziona tutto

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(6)T8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 25-Jul-07 22:42 by khuie

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

Router uptime is 6 hours, 22 minutes
System returned to ROM by power-on
System image file is "flash:c870-advipservicesk9-mz.124-6.T8.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
          
If you require further assistance please contact us by sending email to
[email protected].
          
Cisco 877 (MPC8272) processor (revision 0x300) with 118784K/12288K bytes of memory.
Processor board ID FHK113913J2
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
128K bytes of non-volatile configuration memory.
28672K bytes of processor board System flash (Intel Strataflash)
          
Configuration register is 0x2102

CONFIGURAZIONE ROUTER1

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!         
!         
crypto pki trustpoint TP-self-signed-2877052941
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2877052941
 revocation-check none
 rsakeypair TP-self-signed-2877052941
!         
!         
crypto pki certificate chain TP-self-signed-2877052941
 certificate self-signed 01 nvram:IOS-Self-Sig#3104.cer
username **** privilege 15 password ****
!         
!         
!         
!         
!         
!         
interface ATM0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !        
 dsl operating-mode auto 
!         
interface FastEthernet0
!         
interface FastEthernet1
!         
interface FastEthernet2
!         
interface FastEthernet3
!         
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!         
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp chap hostname ***********
 ppp chap password ***********
 ppp pap sent-username *********** password ***********
!         
ip route 0.0.0.0 0.0.0.0 Dialer0
!         
!         
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!         
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!         
!         
!         
!         
control-plane
!         
!         
line con 0
 no modem enable
line aux 0
line vty 0 4
 login    
!         
scheduler max-task-time 5000
!         
webvpn context Default_context
 ssl authenticate verify all
 !        
 no inservice
!         
end   
 

CONFIGURAZIONE ROUTER2

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!         
!         
crypto pki trustpoint TP-self-signed-1141983489
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1141983489
 revocation-check none
 rsakeypair TP-self-signed-1141983489
!         
!         
crypto pki certificate chain TP-self-signed-1141983489
 certificate self-signed 01 nvram:IOS-Self-Sig#3909.cer
username **** privilege 15 password ****
!         
!         
!         
!         
!         
!         
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !        
 dsl operating-mode auto 
!         
interface FastEthernet0
!         
interface FastEthernet1
!         
interface FastEthernet2
!         
interface FastEthernet3
!         
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!         
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp chap hostname *********
 ppp chap password *********
 ppp pap sent-username ********* password *********
!         
ip route 0.0.0.0 0.0.0.0 Dialer0
!         
!         
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!         
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!         
!         
!         
!         
control-plane
!         
banner login ^CCC
          
------------------------------------------------
          
 *********************************************
          
------------------------------------------------
          
^C        
!         
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!         
scheduler max-task-time 5000
!         
webvpn context Default_context
 ssl authenticate verify all
 !        
 no inservice
!         
end

[moorpheus]

Scusa Adri ma c'è qualcosa che non torna.
Dalle due conf vedo che hai le connessioni verso l'esterno (internet) sulle dialer, ergo non utilizzi IP statici ma negoziati con l'ISP (IP dinamici).
Con queste impostazioni sicuramente non puoi utilizzare una VPN punto punto, ma puoi sempre impostare i due router uno come VPN server, l'altro come client.
Se usi l'SDM le configurazioni sono molto semplici, ma devi installare la versione 1.5 di Java sul pc usato per configurare i router con IOS datate, altrimenti alcuni menù fondamentali non funzionano.

Se fai una ricerca sul sito ufficiale Cisco di manuali per usare l'SDM ne trovi a bizzeffe, ma ti consiglio di trovare qualcosa anche sulle VPN altrimenti non sai da dove iniziare.

[paolomat75]

Scusa Adri ma c'è qualcosa che non torna.
Dalle due conf vedo che hai le connessioni verso l'esterno (internet) sulle dialer, ergo non utilizzi IP statici ma negoziati con l'ISP (IP dinamici).
Con queste impostazioni sicuramente non puoi utilizzare una VPN punto punto, ma puoi sempre impostare i due router uno come VPN server, l'altro come client.
Se usi l'SDM le configurazioni sono molto semplici, ma devi installare la versione 1.5 di Java sul pc usato per configurare i router con IOS datate, altrimenti alcuni menù fondamentali non funzionano.

Se fai una ricerca sul sito ufficiale Cisco di manuali per usare l'SDM ne trovi a bizzeffe, ma ti consiglio di trovare qualcosa anche sulle VPN altrimenti non sai da dove iniziare.

Ciao,
puoi fare anche una VPN punto-punto con IP dinamici usando i DNS dinamici (es. Dyndns).

Buona giornata
Paolo

[andriy299]

Grazie a entrambi per le risposte.

Per quanto riguarda le configurazioni dei due router, sono state fatte parecchi anni fa dal tecnico che ha installato il tutto, quindi non saprei cosa modificare per rendere gli indirizzi totalmente statici.

Inoltre, ho aggiornato con l'ultima versione Java ma SDM ancora non funziona, i pulsanti che dovrebbero far partire i wizard non sembrano avere alcun effetto. Ho provato sia con Site-to-site VPN sia con Easy VPN Server/Remote senza avere risultati.

Forse dovrei installare proprio al versione di Java 1.5???

In ogni caso, per il router 2 ho già un indirizzo su dyndns, utilizzato per le prove di configurazione VPN con Windows. È possibile configurare i router da linea di comando utilizzando i dyndns (senza quindi modificare parametri descritti da moorpheus)???

Ancora grazie...

[moorpheus]

Come ti avevo detto, per far funzionare SDM devi installare la versione 1.5.x di Java, ma ricordati di disabilitare le versioni 1,6.x dal pannello di controllo, altrimenti sei punto e accapo.

Gli indirizzi IP statici/dinamici dipendono dal tipo di contratto che hai con l'ISP.

Da linea di comando puoi fare qualsiasi conf sui router, premesso che tu sappia come farlo.

[andriy299]

Sono riuscito a far partire SDM. Ho configurato tramite Easy VPN server il router 1. Questa è la configurazione attuale:


CONFIGURAZIONE ROUTER 1

Codice: Seleziona tutto

!This is the running config of the router: ***********
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
!
aaa session-id common
!
resource policy
!
ip cef
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-2877052941
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2877052941
 revocation-check none
 rsakeypair TP-self-signed-2877052941
!
!
crypto pki certificate chain TP-self-signed-2877052941
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32383737 30353239 3431301E 170D3032 30333031 31303136 
  35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38373730 
  35323934 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100A506 EFED4B70 2276018C 5ECE9DE9 2774F8FC 92A0E5C9 383722ED BE06D439 
  9DBD4522 52D2FFC1 8E794B6D A38442F1 11337026 5DBCA634 C44C9DAC B614B49F 
  1DCB5A20 63C18AF5 08BE76F3 DDCC9A60 DB3A01D8 F4D46BF2 73AFC92B 1FE0A733 
  993A25F1 FBF6EE36 A9A1F322 54415447 CCA4AE9E BB2A2280 7BC9E5C1 9F848BE5 
  C5A10203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603 
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 06CD0F38 
  AB21B681 EE6474D1 D0F299F6 38B901A2 301D0603 551D0E04 16041406 CD0F38AB 
  21B681EE 6474D1D0 F299F638 B901A230 0D06092A 864886F7 0D010104 05000381 
  81002362 0BB30110 E4230744 436B02F0 08055963 45808FBF FEB59D48 48E07455 
  54028035 AED4F7F1 A075EF40 ED5D4238 EE4A6C18 8F6BB780 150949D4 3849895F 
  6676704D C0AE491B 361720DC 2E0DDCF7 742F4BBD 95EBF6AB 6EB3433E 5845C259 
  5866BFA1 1DCA9AB4 53BF9535 4E703127 18A20B26 7AC40024 663A9D8B 00B1C285 A2B6
  quit
username *********** privilege 15 password ***********
username *********** secret 5 ***********
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group ****
 key ****
 pool SDM_POOL_2
 save-password
 max-users 15
 banner ^C***********^C

crypto isakmp profile sdm-ike-profile-1
   match identity group ***********
   client authentication list sdm_vpn_xauth_ml_1
   isakmp authorization list sdm_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto ipsec profile SDM_Profile1
 set transform-set ESP-3DES-SHA 
 set isakmp-profile sdm-ike-profile-1
!
!
!
!
!
interface ATM0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto 
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
 ip unnumbered Dialer0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp chap hostname ****
 ppp chap password ****
 ppp pap sent-username **** password ****
!
ip local pool SDM_POOL_1 11.0.0.50 11.0.0.100
ip local pool SDM_POOL_2 10.0.0.3 10.0.0.50
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!
!
!
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Effettuando il test non mi da nessun errore.


Ho poi configurato il router 2 con Easy VPN remote. Questa è la sua configurazione:


CONFIGURAZIONE ROUTER 2

Codice: Seleziona tutto

!This is the running config of the router: ***********
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-1141983489
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1141983489
 revocation-check none
 rsakeypair TP-self-signed-1141983489
!
!
crypto pki certificate chain TP-self-signed-1141983489
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 31313431 39383334 3839301E 170D3032 30333031 30303533 
  34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 31343139 
  38333438 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100A4D5 E26265EF 5EC965E2 6419BEC6 9C12BFE6 A0C8F8EB D474070D E69D02D8 
  B890601B B86B7C36 9FE0D04B 0961554B 4D329CE7 4968F7E0 17119F11 C9009D8F 
  BDC8BF2C 4E6B4830 D2FE2A53 75106A01 781F7F2E 841F2229 C4379201 86D725CA 
  76948953 669F3181 EB93E554 7ADB93F3 0953FF24 326F6CAE CC5CBDB3 48241362 
  CBB50203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603 
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 26D5557A 
  3E47C66A D03202A4 F7676DE0 F442A6E9 301D0603 551D0E04 16041426 D5557A3E 
  47C66AD0 3202A4F7 676DE0F4 42A6E930 0D06092A 864886F7 0D010104 05000381 
  810080B0 CA81D96D B6BD0E57 A450BFD8 F60C18F8 D716D39F 876208B0 704187F3 
  D818636F C01B00B1 B06427A6 8F42E284 0F71ED1E BDE5DC9C DE5DB13F 0E84FE1E 
  6A66EEBE F1EDA5E3 87F252E1 3E958E42 DECC48C3 A6F1E6DA 5E5DE004 BA7136D1 
  B8229198 6BEC2660 C6859843 D1788D1D BEDB3C5F C315A48A 2C90691A 24C0A3D0 5F7C
  quit
username *********** privilege 15 password ***********
!
! 
!
!
!
!
!
crypto ipsec client ezvpn ***********
 connect auto
 group *********** key ***********
 mode client
 peer ***********
 virtual-interface 1
 username *********** password ***********
 xauth userid mode local
!
!
!
!
!
interface Loopback0
 ip address 11.0.0.52 255.255.255.255
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto 
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 crypto ipsec client ezvpn *********** inside
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp chap hostname ***********
 ppp chap password ***********
 ppp pap sent-username *********** password ***********
 crypto ipsec client ezvpn ***********
!
ip route 0.0.0.0 0.0.0.0 Dialer0 2
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!
!
!
!
control-plane
!
banner login ^CCC

------------------------------------------------

  ***********

------------------------------------------------

^C
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Effettuo il test richiedendomi le password di autenticazione, lo stato va su UP ma il report VPN Troubleshooting riporta:

Codice: Seleziona tutto

Router Details 

Attribute Value 
Router Model  877  
Image Name  c870-advipservicesk9-mz.124-6.T8.bin  
IOS Version  12.4(6)T8  
Hostname  Router  


Test Activity Summary 

Activity Status 
Checking the tunnel status...  Up  


Test Activity Details 

Activity Status 
Checking the tunnel status...  Up  
    Encapsulation :122   
    Decapsulation :0   
    Send Error :0   
    Received Error :0   


Troubleshooting Results 


Failure Reason(s)  

A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets.



Recommended Action(s)

1)Contact your ISP/Administrator to resolve this issue. 
2)Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.  

In ogni caso, a parte questo errore che non so come risolvere, lo stato della VPN su remote è UP. La spia VPN sul router 2 è accesa, come è accesa sul router 1 (in cui però non vedo nessun client collegato).


I problemi che ho dopo queste configurazioni sono i seguenti:

1) Sul computer dell'edificio 2, se la spia VPN è accesa, non ho connessione ad internet (se faccio il reset da edit easy vpn remote di SDM senza far partire la VPN la connessione ritorna)

2)Se provo a fare Esegui-->Percorso di rete (con l'ip del router1) mi dice impossibile trovare l'indirizzo di rete

3)Nel router 1, ho la spia accessa della VPN, ho la connessione internet, ma non ho traccia del client.

4)Ovviamente la VPN non funziona....


Cosa dovrei cambiare di quella configurazione per far funzionare il tutto??


Grazie per la disponibilità

[moorpheus]

Sistema i valori degli MTU su tutti e due i router da riga di comando e vedi come va:


int atm0
ip mtu 1500
mtu 1500

int dialer 0
ip mtu 1500
mtu 1500

Sulla ip route del secondo router togli quel 2 finale. ip route 0.0.0.0 0.0.0.0 Dialer0 2

[andriy299]

Grazie Morpheus, purtroppo ho inserito i comandi da te suggeriti ma l'unico risultato che ottengo adesso è quello che, nei due computer collegati ai due router tramite il cavo console, quando si attiva la spia VPN (che si accende quando faccio connect dal computer client), non ho connessione a internet....


Ho provato a scollegare il cavo console ma ottengo sempre lo stesso problema. Questo post infatti lo sto scrivendo non in modalità VPN.


Un'altra modifica che ho fatto è quella di modificare nel router client, tramite SDM, la modalità di attivazione del tunnel: da "auto" a "manuale" in modo da permettermi la connessione/disconnessione dalla modalità VPN quando voglio.


Per chiarezza ti posto la configurazione del router 2 (client) con le modifiche da te suggerite (le stesse modifiche le ho fatte anche nel router 1 server, di cui non posso postare al momento la configurazione che è la stessa di quella del post precedente con l'eccezione dell'aggiunta delle righe di codice postate da te):

CONFIGURAZIONE ROUTER 2

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!         
!         
crypto pki trustpoint TP-self-signed-1141983489
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1141983489
 revocation-check none
 rsakeypair TP-self-signed-1141983489
!         
!         
crypto pki certificate chain TP-self-signed-1141983489
 certificate self-signed 01 nvram:IOS-Self-Sig#3909.cer
username **** privilege 15 password ****
!         
!         
!         
!         
!         
!         
!         
crypto ipsec client ezvpn ****
 connect auto
 group **** key ****
 mode client
 peer ****
 virtual-interface 1
 username **** password ****
 xauth userid mode local
!         
!         
!         
!         
!         
interface Loopback0
 ip address 11.0.0.52 255.255.255.255
!         
interface Loopback1
 no ip address
!         
interface ATM0
 mtu 1500 
 no ip address
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !        
 dsl operating-mode auto 
!         
interface FastEthernet0
!         
interface FastEthernet1
!         
interface FastEthernet2
!         
interface FastEthernet3
!         
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!         
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 10.0.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 crypto ipsec client ezvpn **** inside
!         
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp chap hostname ****
 ppp chap password ****
 ppp pap sent-username **** password ****
 crypto ipsec client ezvpn ****
!         
ip route 0.0.0.0 0.0.0.0 Dialer0
!         
!         
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!         
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!         
!         
!         
!         
control-plane
!         
banner login ^CCC
          
------------------------------------------------
          
  ****
          
------------------------------------------------
          
^C        
!         
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!         
scheduler max-task-time 5000
!         
webvpn context Default_context
 ssl authenticate verify all
 !        
 no inservice
!         
end   

Cosa mi suggerite di fare a questo punto?

[andriy299]

Un saluto a tutti,

scusate ma riapro questa discussione poichè non sono riuscito ancora a risolvere il mio problema...nel post precedente ho inserito le configurazioni attuali dei due router... avete ulteriori suggerimenti da darmi? Ho effettuato le modifiche consigliate dal gentilissimo moorpheus ma senza ottenere risultati....

Grazie in anticipo