HDSL 4Mb con VPN

[b4y]

Salve a tutti, ho configurato un CISCO 2811 con 2 seriali collegate ad un' HDSL (F6 NGI) affasciata a 4 Mb, con un'interfaccia virtual-template che accorpa le 2 seriali. La connessione funziona perfettamente, ma l'interfaccia virtual-template continua a risultare down, il che impedisce l'attivazione della vpn che dovrei rendere operativa sulla linea in questione. Qualcuno saprebbe dirmi come risolvere il problema?! Grazie.

[b4y]

Sono affasciate dal provider e sul router, il problema è l'interfaccia virtual-template che mi sà dovrei cambiare in una dialer, poichè la virtual-template è un'interfaccia down/down e quindi la vpn con crypto-map associata a questa interfaccia, non và mai up.
Grazie per l'aiuto!

[paolomat75]

Ciao,
non capisco perché hai usato una virtual-template su una HDSL affasciata in IMA (suppongo).
Basterebbe lavorare sull'interfaccia IMA (Es. interface ATM0/IMA1.1 point-to-point).

Paolo

[b4y]

Non è IMA sono 2 seriali associate alla virtual-template

[paolomat75]

Non è IMA sono 2 seriali associate alla virtual-template

Giusto, l'avevi anche scritto. Non ho mai visto una linea del genere.
Che tipo di VPN vuoi instaurare? La VPDN usa proprio le virtual template.

Spero di esserti stato d'aiuto.

Paolo

[b4y]

Devo configurare una VPN site to site di backup, ma l'uso della virtual template non me lo permette, inoltre ho provato con l'utilizzo di una dialer interface, ma non si può associare alla point to point subif che deve supportare incapsulamento ppp su frame-relay (RFC1973) e lo fa solo con virtual template int. La connessione è un F6 NGI 4Mb. Spero mi possiate dare un consiglio perchè sono in stallo
Grazie, per l'aiuto

[paolomat75]

La site to site puoi farla con DMVPN. Se no classica puoi farla sull'interfaccia fastethernet con IP pubblico che penso ti abbiano fornito.
Se anche questo non basta, posta uno stralcio di configurazione che provo a simularlo .

Paolo

[b4y]

Grazie, per l'aiuto, ma il problema è che la fastethernet deve avere ip RFC1918, mentre la loopback ha ip pubblico, di seguito ti posto uno stralcio della cfg:
!version 15.0

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

no service dhcp

!

hostname ...............
!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

logging buffered 51200

logging console critical

enable secret 5 ...............................................
!

aaa new-model

!

!

aaa authentication login default local

aaa authorization exec default local

!

!

!

!

!

aaa session-id common

!

!

!

clock timezone Berlin 1

clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00

dot11 syslog

no ip source-route

!

!

!

!

ip cef

no ip bootp server

ip name-server 88.149.128.12

ip name-server 88.149.128.22

!


!

!

crypto pki trustpoint TP-self-signed-4271335726

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-4271335726

revocation-check none

rsakeypair TP-self-signed-4271335726

!

!

crypto pki certificate chain TP-self-signed-4271335726

certificate self-signed 01

.................................................

!

!

username ................ privilege 15 secret 5 ........................................

!

redundancy

!

!

ip tcp synwait-time 10

!

!

!

crypto isakmp policy 2

encr 3des

hash md5

authentication pre-share

group 2

!

crypto isakmp key ...................... address ........................
crypto isakmp keepalive 10 5 periodic

!

!


crypto ipsec transform-set uk esp-3des esp-md5-hmac



!

crypto map uk 1 ipsec-isakmp

set peer .................
set transform-set uk

set pfs group2

match address 109

!

interface Loopback0
ip address ............. 255.255.255.248

!

!

interface FastEthernet0/0

ip address 192.168.11.2 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

ip virtual-reassembly

duplex auto

speed auto

no mop enabled

!

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

!

interface Serial0/1/0

bandwidth 2048

no ip address

encapsulation frame-relay IETF

no fair-queue

frame-relay lmi-type cisco

!

!

interface Serial0/1/0.20 point-to-point

frame-relay interface-dlci 20 ppp Virtual-Template10

!

interface Serial0/1/1

bandwidth 2048

no ip address

encapsulation frame-relay IETF

no fair-queue

frame-relay lmi-type cisco

!

!

interface Serial0/1/1.20 point-to-point

frame-relay interface-dlci 20 ppp Virtual-Template10

!



!

interface Virtual-Template10

bandwidth 4096

ip address negotiated

ppp chap hostname .......................

ppp chap password 7 .........................
ppp pap sent-username .............. password 7 .................
crypto map uk

!

!

ip forward-protocol nd

!

ip flow-top-talkers

top 20

sort-by bytes

!

ip http server

ip http authentication local

ip http secure-server

ip route 0.0.0.0 0.0.0.0 ...............
!

access-list 109 remark SDM_ACL Category=4

access-list 109 permit ip 192.168.11.0 0.0.0.255 192.168.100.0 0.0.3.255

!

!

!

!

!

control-plane

!

!

!

line con 0

password 7 ........................
line aux 0

line vty 0 4

privilege level 15

transport input ssh

transport output ssh

!

scheduler allocate 20000 1000

end

[paolomat75]

Stasera sono stanco,
ma domani provo a simulare diverse soluzione che secondo me funzionano.
Se sabato non ti ho risposto sollecitami che mi scordo .

Buona notte

[b4y]

Ok, grazie per l'aiuto! Intanto stò facendo un pò di simulazioni anch'io, dopo aver messo su un lab che riproduce l'infrastruttura di rete in quetione, con i vari router ed ASA coinvolti dalle varie VPN. Ti faccio sapere il risultato, in attesa delle tue prove.
Byezz

[b4y]

Con la crypto map applicata alla loopback ed una route-map applicata alla f0/0, nell'ambiente di test sembra fuznionare, faccio qualche prova sui dispositivi in produzione ti faccio sapere. In ogni caso, mi farebbe piacere sapere il risultato dei tuoi test.
Grazie.
Byezz

[paolomat75]

Ok

Ciao