Salve a tutti,
Mi sto imbattendo in un problema di cui non riesco a venire a capo ....
Ho una sede remota collegata ad Internet attraverso un Cisco837 che implementa Easy VPN server e un notebook con VPN Client installato.
Collegandomi a questa sede da casa (connessione con modem analogico e IP dinamico) tutto funziona perfettamente.
Collegando invece lo stesso notebook alla rete locale del mio ufficio, dove è installato un'altro 837, la connessione non funziona.
Convinto che si trattasse di un problema di firewall, ho provato a disattivare tutto partendo da una configurazione di base completamente sprotetta (che allego ...) ma nulla è cambiato.
Eppure la configurazione attuale funziona correttamente su tutto il resto (navigazione, NAT statico verso i server interni ....)
Qualcuno può darmi un'idea ?
Grazie.
Problemi con VPN Client...
Moderatore: Federico.Lagni
- tonycimo
- Cisco pathologically enlightened user
- Messaggi: 185
- Iscritto il: mer 26 gen , 2005 9:26 am
- Località: Roma
ciao,
io ho utilizzato un cisco vpn client e nella configurazione del programma erano presenti delle voci per il transparent tunneling.
Io credo sia il tuo problema: cerca qualche configurazione analoga tipo ipsec over udp (NAT/PAT) oppure ipsec over tcp (con la porta).
io ho utilizzato un cisco vpn client e nella configurazione del programma erano presenti delle voci per il transparent tunneling.
Io credo sia il tuo problema: cerca qualche configurazione analoga tipo ipsec over udp (NAT/PAT) oppure ipsec over tcp (con la porta).
*************************************
Non rendere mai difficile il facile per mezzo dell'inutile....
Non rendere mai difficile il facile per mezzo dell'inutile....
-
- n00b
- Messaggi: 6
- Iscritto il: lun 23 mag , 2005 12:33 pm
controlla che la tua subnet dell'ufficio dove hai problemi, non sia uguale alle subnet dell'ufficio verso cui tenti di connetterti.
è vero che per il nat/hide_nat ti serve usare il traversal_nat sul vpn server, e oltre ad implementare l' ike over tcp, devi anche forzare ad usare l'udp(500).
ma so che coi pix/concentrator si puo associare un pool di ip esclusi dai range usati internamente (lato vpn server) e quindi quando ti connetti sei tranquillo qualsiasi ip tu abbia, l'ho testato (lato client) di persona.
Su checkpoint si chiama Visitor-Mode, sui cisco non so.
ciao
è vero che per il nat/hide_nat ti serve usare il traversal_nat sul vpn server, e oltre ad implementare l' ike over tcp, devi anche forzare ad usare l'udp(500).
ma so che coi pix/concentrator si puo associare un pool di ip esclusi dai range usati internamente (lato vpn server) e quindi quando ti connetti sei tranquillo qualsiasi ip tu abbia, l'ho testato (lato client) di persona.
Su checkpoint si chiama Visitor-Mode, sui cisco non so.
ciao
- tonycimo
- Cisco pathologically enlightened user
- Messaggi: 185
- Iscritto il: mer 26 gen , 2005 9:26 am
- Località: Roma
si confermo, anche sui cisco puoi assegnare un pool dinamico di indirizzi, in realtà funziona come un dialup.
Quasi sempre il pool si utilizza con un client vnp questo lo davo per scontato.
Quasi sempre il pool si utilizza con un client vnp questo lo davo per scontato.
*************************************
Non rendere mai difficile il facile per mezzo dell'inutile....
Non rendere mai difficile il facile per mezzo dell'inutile....
-
- Cisco fan
- Messaggi: 44
- Iscritto il: gio 31 mar , 2005 3:14 pm
Ciao e grazie per l'interessamento.
La subnet in ufficio (10.0.0.0) è sicuramente diversa da quella remota (192.168.1.0) e il cisco con VPN Server implementa un pool di indirizzi ulteriormente diverso (192.168.100.0) ...... di contro mi sembra di capire che devo implementare qualcosa sul nostro Cisco per quanto riguarda il trasversal_nat ..... ma avreste qualche esempio di istruzioni IOS ?
La subnet in ufficio (10.0.0.0) è sicuramente diversa da quella remota (192.168.1.0) e il cisco con VPN Server implementa un pool di indirizzi ulteriormente diverso (192.168.100.0) ...... di contro mi sembra di capire che devo implementare qualcosa sul nostro Cisco per quanto riguarda il trasversal_nat ..... ma avreste qualche esempio di istruzioni IOS ?
-
- Cisco fan
- Messaggi: 44
- Iscritto il: gio 31 mar , 2005 3:14 pm
Ok, ho risolto ....
C'era una crypto map statica definita nella configurazione del router remoto (di cui ignoravo l'esistenza) che "puntava" direttamente il nostro router ....
Evidentemente in passato era stata configurata una VPN site-to-site tra il nostro router e quello remoto .....
Tolta quella definizione tutto funziona correttamente.
Grazie.
C'era una crypto map statica definita nella configurazione del router remoto (di cui ignoravo l'esistenza) che "puntava" direttamente il nostro router ....
Evidentemente in passato era stata configurata una VPN site-to-site tra il nostro router e quello remoto .....
Tolta quella definizione tutto funziona correttamente.
Grazie.