Script config VPN client IPSec su IOS (router)

Virtual private networks e affini

Moderators: Federico.Lagni, Wizard, tonycimo, MaiO, CiscoBoy

Script config VPN client IPSec su IOS (router)

Postby Wizard » Thu 24 Jul , 2008 11:27 am

Code: Select all
crypto isakmp enable
crypto logging session

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

crypto isakmp client configuration group remote-vpn
 key 987bjdwiuhdiq%ihjo
 dns 192.168.10.210
 wins 192.168.10.210
 domain xxx.local
 max-users 100
 max-logins 10
 pool remote-pool
 acl 158
 save-password
 split-dns xxx.local
 max-users 10
 banner *
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
*

crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
crypto ipsec security-association idle-time 3600

crypto dynamic-map remote-dyn 10
 set transform-set VPN-CLI-SET

crypto map remotemap local-address dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn

interface dialer0
 crypto map remotemap

ip local pool remote-pool 192.168.100.0 192.168.110.100

ip route 192.168.100.0 255.255.255.0 dialer0

no access-list 158
access-list 158 rem *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 158 remark *************************************************************

no access-list 101
access-list 101 remark ************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark ************************************************************
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

user remoto01 pass xxx
user remoto02 pass yyy
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby Helix » Mon 22 Sep , 2008 6:48 pm

A me da questo errore nel log

Sep 22 17:46:45.473: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 192.168.254.10
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
User avatar
Helix
Messianic Network master
 
Posts: 1175
Joined: Tue 04 Dec , 2007 6:45 pm
Location: Frosinone

Postby Wizard » Tue 23 Sep , 2008 11:22 am

Dovrebbe provare in automatico in main...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby the wolf » Tue 23 Sep , 2008 11:24 am

dovrebbe essere un errore della fase 1, le policy "matchano" sui due peer?
User avatar
the wolf
Cisco enlightened user
 
Posts: 168
Joined: Wed 14 Nov , 2007 3:39 pm
Location: La Capitale

Postby Helix » Wed 24 Sep , 2008 8:29 pm

spettacolo, sono riuscito a farlo andare!!! :D
E' troppo bello collegarsi in VPN con l'iphone!!! :D
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
User avatar
Helix
Messianic Network master
 
Posts: 1175
Joined: Tue 04 Dec , 2007 6:45 pm
Location: Frosinone

Postby the wolf » Thu 25 Sep , 2008 4:33 pm

tecnologico leonardo alla fine che era, come hai risolto? :lol:
te lo dico sempre che sei troppo forte :wink:
User avatar
the wolf
Cisco enlightened user
 
Posts: 168
Joined: Wed 14 Nov , 2007 3:39 pm
Location: La Capitale

Postby Helix » Thu 25 Sep , 2008 6:43 pm

the wolf wrote:tecnologico leonardo alla fine che era, come hai risolto? :lol:
te lo dico sempre che sei troppo forte :wink:



domani se ti logghi :D te lo dico! :P
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
User avatar
Helix
Messianic Network master
 
Posts: 1175
Joined: Tue 04 Dec , 2007 6:45 pm
Location: Frosinone

Postby Helix » Mon 20 Oct , 2008 9:05 pm

Riesco a loggarmi...ricevo l'indirizzo IP...riesco a pingare i pc nella rete...ma se provo a fare ssh su un pc linux della rete non va!!!

Che potrebbe essere?
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
User avatar
Helix
Messianic Network master
 
Posts: 1175
Joined: Tue 04 Dec , 2007 6:45 pm
Location: Frosinone

Postby Wizard » Wed 22 Oct , 2008 1:52 pm

Riesco a loggarmi...ricevo l'indirizzo IP...riesco a pingare i pc nella rete...ma se provo a fare ssh su un pc linux della rete non va!!!


ma questo accade sia che ti colleghi con iphone che con un pc?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby Helix » Wed 22 Oct , 2008 2:19 pm

si :(
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
User avatar
Helix
Messianic Network master
 
Posts: 1175
Joined: Tue 04 Dec , 2007 6:45 pm
Location: Frosinone

Postby Wizard » Tue 28 Oct , 2008 4:19 pm

Facci vedere la config helix
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby Helix » Thu 13 Nov , 2008 7:49 pm

Avevo sbagliato il NAT0:

i miei parametri:

Rete LAN: 192.168.254.0/28
Rete VPN: 172.16.0.0/29

ACL 158 (crypto)

Code: Select all
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.254.0 0.0.0.15 172.16.0.0 0.0.0.7
access-list 158 remark *************************************************************


e poi

Code: Select all
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 deny   ip 192.168.254.0 0.0.0.15 172.16.0.0 0.0.0.7
access-list 100 permit ip 192.168.254.0 0.0.0.15 any


infine:

Code: Select all
ip route 172.16.0.0 255.255.255.248 Dialer0


Grazie Wizard!!! :)
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
User avatar
Helix
Messianic Network master
 
Posts: 1175
Joined: Tue 04 Dec , 2007 6:45 pm
Location: Frosinone

Postby Wizard » Fri 14 Nov , 2008 11:40 am

Grazie Wizard!!!


Nada!
A buon rendere!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Easy VPN + GRE over IPsec site-to-site

Postby andITcsco » Mon 24 Nov , 2008 9:47 am

Ciao a tutti,

ho trovato molto interessante questo script di configurazione per accesso da VPN client e ho provato a cimentarmi anch'io nell'implementazione.

Ho aggiunto la configurazione necessaria su di un router Cisco 837 che gestiva già un tunnel GRE over IPsec verso un Remote Office.

Il tunnel site-to-site continua (per fortuna) a funzionare correttamente.
Non riesco ad accedere da VPN client. In particolare uno dei due user (remoto02) sembra funzionare vedo il prompt di login, inserisco la password e il router la accetta ma sul più bello quando è ora di ricevere ip address va giù tutto e sul client in basso a sinistra compare "not connected". Con l'utente "remoto02" non riesco a fare l'accesso, mi pianto sulla schermata di login.

Qualcuno mi può dare qualche dritta?Posto qui la conf, grazie.

Code: Select all
Current configuration : 4915 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXX
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
multilink bundle-name authenticated
!
!
username remoto01 password XXX
username remoto02 password XXX
!
!
crypto logging session
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 20
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key abtlgb3 address 9X.XX.XXX.X7 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group remote-vpn
 key XXX
 dns 151.99.125.2
 domain XXX.local
 pool remote-pool
 acl 158
 save-password
 split-dns XXX.local
 max-users 10
 max-logins 10
 banner ^C
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
 ^C
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set RTRtran esp-3des esp-sha-hmac
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
 set transform-set RTRtran
!
!
crypto dynamic-map remote-dyn 20
 set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address ATM0.35
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
!
!
!
interface Loopback0
 description Loopback di NAT
 ip address 9X.XX.XX.X5 255.255.255.248
!
 interface Tunnel0
 ip address 10.10.10.1 255.255.255.0
 tunnel source 9X.XX.XX.X5
 tunnel destination 9X.XX.XXX.X7
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VTI
!
interface Ethernet0
 ip address 192.168.92.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 ip virtual-reassembly
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm auto-configuration
 no atm ilmi-keepalive
 no atm address-registration
 no atm ilmi-enable
 dsl operating-mode auto
 hold-queue 224 in
!
interface ATM0.35 point-to-point
 ip address 9X.XX.XX.XX1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 crypto map remotemap
 pvc 8/35
  oam-pvc manage
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
 !
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip local pool remote-pool 192.168.100.1
ip route 0.0.0.0 0.0.0.0 ATM0.35
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip route 192.168.100.0 255.255.255.0 ATM0.35
no ip http server
no ip http secure-server
!
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Loopback0 overload
!
access-list 23 permit 192.168.92.0 0.0.0.255
access-list 101 remark ************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark ************************************************************
access-list 101 deny   ip 192.168.92.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.92.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.92.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 158 remark *************************************************************
!
control-plane
!
!
line con 0 XXXXXXXXXXXXX
 password
 login
 no modem enable
line aux 0
 password XXXXXXXXXXXXXXX
 login
line vty 0 4
 password XXXXXXXXXXXXXXX
 login
!
scheduler max-task-time 5000
end
andITcsco
Cisco fan
 
Posts: 63
Joined: Wed 05 Apr , 2006 4:06 pm

Postby maggiore81 » Mon 26 Oct , 2009 10:33 am

Buondì
Io sto leggendo queste conf ma non capisco una cosa
non si potrebbero postare delle conf pulite senza tanti tunnel e altre cose aggiuntive, in modo che uno che vuole provare a fare la vpn ci possa capire?

io personalmente non ho affatto chiari un paio di punti:

il router principale è quello che ha l'ip statico, ma nel client perchè devo impostare dns, domain name, e devo fare un remote pool che in uno degli esempi pare essere un unico ip... cioè io partendo da questi post non sono in grado di fare le vpn (apparte che sono credo l'unico nel forum che dal 2005 non è mai riuscito a far andare una ipsec classica funzionante, e non ho mai in alcun modo risolto i problemi).


Ora spiego:

crypto isakmp client configuration group remote-vpn
key 987bjdwiuhdiq%ihjo
dns 192.168.10.210
wins 192.168.10.210
domain xxx.local
max-users 100
max-logins 10
pool remote-pool
acl 158
save-password
split-dns xxx.local
max-users 10

questa è la parte che va nel client no?
la key sarebbe la psk
perchè dns e wins e dominio?
esiste un link a doc cisco con esempi?


e ancora nel secondo router:

crypto map remotemap local-address dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn

dov'è la lista userauth???? cioè nela conf non compare
non trovo che siano post tanto chiari, e non è che sono proprio un nubbio totale

Grazie a tutti comunque per il supporto!

ciao!
Mr. Spadoni
Network Administrator
Spadhausen Internet Provider
admin@NONCISONOspadhausen.com
User avatar
maggiore81
Cisco pathologically enlightened user
 
Posts: 214
Joined: Thu 15 Feb , 2007 8:34 pm
Location: Ravenna - ITALY -

Next

Return to VPN

Who is online

Users browsing this forum: No registered users and 1 guest

cron