conf 2811

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
scansione
Cisco fan
Messaggi: 32
Iscritto il: mer 30 mag , 2012 8:38 pm
Località: Provincia di MB

ciao a tutti.
ho un problema con una rete configurata con un cisco 2811.
non mi permette di autentificarmi su un server remoto utilizzando una vpn pptpd
con lo stesso client se mi collego da un'altra rete con un cisco 1721, nessun problema.
dove potrebbe essere il problema, secondo voi?
grazie in anticipo.
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Potrebbe essere un'ACL in uscita che blocca il traffico o l'ISp stesso che filtra il tipo di servizio (mi è capitato un provider che lo fa perchè se vuoi attivare iquel tipo di traffico ti chiede €19,00 mensili).
Il fatto che con un 1721 agganciato ad un'altra linea la connessione si attivi non è troppo indicativo, di fatto escludi il malfunzionamento del clinet ma ci sono comunque router e linea diversi, cioè troppi fattori.
Prova a postare la configurazione del tuo router e vediamo se c'è qualcosa che non va.
Emiliano
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
scansione
Cisco fan
Messaggi: 32
Iscritto il: mer 30 mag , 2012 8:38 pm
Località: Provincia di MB

ciao, entrambe le ADSL sono Alice telecom.
ecco la conf del 2811
se mi collego a VPN IPSEC tutto funziona correttamente
secondo voi è possibile creare una site to site con 2 ip dinamici?
grazie



2811#show running-conf
Building configuration...

Current configuration : 5911 bytes
!
configuration mode exclusive auto
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 2811
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable password 7 095F5A0C1F04191D5D5B5578
!
no aaa new-model
memory-size iomem 10
!
!
ip cef
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.250.1 192.168.250.99
!
ip dhcp pool 192.168.250.0/24
network 192.168.250.0 255.255.255.0
default-router 192.168.250.1
dns-server 85.37.17.40 212.212.216.216
!
!
ip name-server 85.37.17.40
ip name-server 212.212.216.216
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!

!

username xxxxxxx privilege 15 password 7 131603170D0D0A257D737961
!
!
ip tcp mss 1495
!
!


!

!
!
!
!
interface FastEthernet0/0
ip address 192.168.250.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.251.1 255.255.255.0
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 125000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
interface Serial0/1/0
no ip address
shutdown
clock rate 2000000
!
interface ATM0/3/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
description connessione internet ALICE 7MB
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp chap hostname aliceadsl
ppp chap password 7 070E2D454D0C1801041E
ppp pap sent-username aliceadsl password 7 070E2D454D0C1801041E
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 420
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 5000
ip nat service sip udp port 5061
ip nat inside source static tcp 192.168.250.23 3389 interface Dialer0 3389
ip nat inside source static udp 192.168.250.22 5062 interface Dialer0 5062
ip nat inside source static udp 192.168.250.22 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.250.50 10002 interface Dialer0 10002
ip nat inside source static tcp 192.168.250.50 8002 interface Dialer0 8002
ip nat inside source static tcp 192.168.250.20 80 interface Dialer0 80
ip nat inside source static tcp 192.168.250.5 38670 interface Dialer0 38670
!

!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password 7 105D1D1C03161C045A537B79
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Ad occhio e croce come minimo mancano una ACL e un nat verso l'esterno...
tipo:

Codice: Seleziona tutto

access-list 101 permit ip 192.168.250.0 0.0.0.255 any
ip nat inside source list 101 interface dialer0 overload
Non mi capacito (ammesso che lo facciano) di come i client della rete 192.168.250.x/24 possano navigare con questa conf :roll:

P.S. abitauati a non postare mai le configurazioni con le password di tipo 7 (sostituiscile sempre con xxxxx come hai fatto per la username), ci volgliono 2 secondi a decifrarle, se vuoi ti mando la tua via PM per dimpostrartelo ;)
So che non c'è l'IP pubblico che ti è stato assegnato, ma in ambito di sicruezza le precauzioni non sono mai abbastanza...
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Forse mi sono rimbambito del tutto, ma non vedo la parte della VPN.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

paolomat75 ha scritto:Forse mi sono rimbambito del tutto, ma non vedo la parte della VPN.

Paolo
Se non ho capito male il router che termina le VPN è dall'altra parte, questo mi sa che è il router dietro a cui si trova il client che dovrebbe connettersi alla VPN... Anche perchè altrimenti manca la VPN manca il NAT, insomma... è tutto da fare ;)
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
scansione
Cisco fan
Messaggi: 32
Iscritto il: mer 30 mag , 2012 8:38 pm
Località: Provincia di MB

ciao, grazie per le risposte:
il server vpn pptp è remoto a questa rete 2811 client --------> server pptp
sul 2811 non ci sono vpn ( dovrei creare una site to site ma ho 2 ip dinamici)

ho dimenticato 2 righe, copia/incolla
tutta la rete naviga.

ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 420
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 5000
ip nat service sip udp port 5061
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.250.23 3389 interface Dialer0 3389
ip nat inside source static udp 192.168.250.22 5062 interface Dialer0 5062
ip nat inside source static udp 192.168.250.22 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.250.50 10002 interface Dialer0 10002
ip nat inside source static tcp 192.168.250.50 8002 interface Dialer0 8002
ip nat inside source static tcp 192.168.250.20 80 interface Dialer0 80
ip nat inside source static tcp 192.168.250.5 38670 interface Dialer0 38670
!
access-list 1 permit 192.168.250.0 0.0.0.255
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ah ok. Pensavo che facesse lui da server pptp :-)

Buona serata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi