Pagina 1 di 2

Script config VPN client IPSec su IOS (router)

Inviato: gio 24 lug , 2008 11:27 am
da Wizard

Codice: Seleziona tutto

crypto isakmp enable
crypto logging session

crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

crypto isakmp client configuration group remote-vpn
 key 987bjdwiuhdiq%ihjo
 dns 192.168.10.210
 wins 192.168.10.210
 domain xxx.local
 max-users 100
 max-logins 10
 pool remote-pool
 acl 158
 save-password
 split-dns xxx.local
 max-users 10
 banner *
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
*

crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
crypto ipsec security-association idle-time 3600

crypto dynamic-map remote-dyn 10
 set transform-set VPN-CLI-SET

crypto map remotemap local-address dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn

interface dialer0
 crypto map remotemap

ip local pool remote-pool 192.168.100.0 192.168.110.100

ip route 192.168.100.0 255.255.255.0 dialer0

no access-list 158
access-list 158 rem *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 158 remark *************************************************************

no access-list 101
access-list 101 remark ************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark ************************************************************
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

user remoto01 pass xxx
user remoto02 pass yyy

Inviato: lun 22 set , 2008 6:48 pm
da Helix
A me da questo errore nel log

Sep 22 17:46:45.473: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 192.168.254.10

Inviato: mar 23 set , 2008 11:22 am
da Wizard
Dovrebbe provare in automatico in main...

Inviato: mar 23 set , 2008 11:24 am
da the wolf
dovrebbe essere un errore della fase 1, le policy "matchano" sui due peer?

Inviato: mer 24 set , 2008 8:29 pm
da Helix
spettacolo, sono riuscito a farlo andare!!! :D
E' troppo bello collegarsi in VPN con l'iphone!!! :D

Inviato: gio 25 set , 2008 4:33 pm
da the wolf
tecnologico leonardo alla fine che era, come hai risolto? :lol:
te lo dico sempre che sei troppo forte :wink:

Inviato: gio 25 set , 2008 6:43 pm
da Helix
the wolf ha scritto:tecnologico leonardo alla fine che era, come hai risolto? :lol:
te lo dico sempre che sei troppo forte :wink:

domani se ti logghi :D te lo dico! :P

Inviato: lun 20 ott , 2008 9:05 pm
da Helix
Riesco a loggarmi...ricevo l'indirizzo IP...riesco a pingare i pc nella rete...ma se provo a fare ssh su un pc linux della rete non va!!!

Che potrebbe essere?

Inviato: mer 22 ott , 2008 1:52 pm
da Wizard
Riesco a loggarmi...ricevo l'indirizzo IP...riesco a pingare i pc nella rete...ma se provo a fare ssh su un pc linux della rete non va!!!
ma questo accade sia che ti colleghi con iphone che con un pc?!

Inviato: mer 22 ott , 2008 2:19 pm
da Helix
si :(

Inviato: mar 28 ott , 2008 4:19 pm
da Wizard
Facci vedere la config helix

Inviato: gio 13 nov , 2008 7:49 pm
da Helix
Avevo sbagliato il NAT0:

i miei parametri:

Rete LAN: 192.168.254.0/28
Rete VPN: 172.16.0.0/29

ACL 158 (crypto)

Codice: Seleziona tutto

access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 remark *************************************************************
access-list 158 permit ip 192.168.254.0 0.0.0.15 172.16.0.0 0.0.0.7
access-list 158 remark *************************************************************
e poi

Codice: Seleziona tutto

access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 deny   ip 192.168.254.0 0.0.0.15 172.16.0.0 0.0.0.7
access-list 100 permit ip 192.168.254.0 0.0.0.15 any
infine:

Codice: Seleziona tutto

ip route 172.16.0.0 255.255.255.248 Dialer0
Grazie Wizard!!! :)

Inviato: ven 14 nov , 2008 11:40 am
da Wizard
Grazie Wizard!!!
Nada!
A buon rendere!

Easy VPN + GRE over IPsec site-to-site

Inviato: lun 24 nov , 2008 9:47 am
da andITcsco
Ciao a tutti,

ho trovato molto interessante questo script di configurazione per accesso da VPN client e ho provato a cimentarmi anch'io nell'implementazione.

Ho aggiunto la configurazione necessaria su di un router Cisco 837 che gestiva già un tunnel GRE over IPsec verso un Remote Office.

Il tunnel site-to-site continua (per fortuna) a funzionare correttamente.
Non riesco ad accedere da VPN client. In particolare uno dei due user (remoto02) sembra funzionare vedo il prompt di login, inserisco la password e il router la accetta ma sul più bello quando è ora di ricevere ip address va giù tutto e sul client in basso a sinistra compare "not connected". Con l'utente "remoto02" non riesco a fare l'accesso, mi pianto sulla schermata di login.

Qualcuno mi può dare qualche dritta?Posto qui la conf, grazie.

Codice: Seleziona tutto

Current configuration : 4915 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXX
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip cef
no ip domain lookup
!
multilink bundle-name authenticated
!
!
username remoto01 password XXX
username remoto02 password XXX
!
! 
crypto logging session
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 20
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key abtlgb3 address 9X.XX.XXX.X7 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group remote-vpn
 key XXX
 dns 151.99.125.2
 domain XXX.local
 pool remote-pool
 acl 158
 save-password
 split-dns XXX.local
 max-users 10
 max-logins 10
 banner ^C 
-------------------------------------------------------------- 
System is RESTRICTED to authorized personnel ONLY 
Unauthorized use of this system will be logged and prosecuted 
to the fullest extent of the law. 
If you are NOT authorized to use this system, LOG OFF NOW 
-------------------------------------------------------------- 
 ^C
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set RTRtran esp-3des esp-sha-hmac 
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac 
!
crypto ipsec profile VTI
 set transform-set RTRtran 
!
!
crypto dynamic-map remote-dyn 20
 set transform-set VPN-CLI-SET 
!
!
crypto map remotemap local-address ATM0.35
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn 
!
!
!
!
interface Loopback0
 description Loopback di NAT
 ip address 9X.XX.XX.X5 255.255.255.248
!
 interface Tunnel0
 ip address 10.10.10.1 255.255.255.0
 tunnel source 9X.XX.XX.X5
 tunnel destination 9X.XX.XXX.X7
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VTI
!
interface Ethernet0
 ip address 192.168.92.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 ip virtual-reassembly
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm auto-configuration
 no atm ilmi-keepalive
 no atm address-registration
 no atm ilmi-enable
 dsl operating-mode auto
 hold-queue 224 in
!
interface ATM0.35 point-to-point
 ip address 9X.XX.XX.XX1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 crypto map remotemap
 pvc 8/35 
  oam-pvc manage
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
 !
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip local pool remote-pool 192.168.100.1
ip route 0.0.0.0 0.0.0.0 ATM0.35
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip route 192.168.100.0 255.255.255.0 ATM0.35
no ip http server
no ip http secure-server
!
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Loopback0 overload
!
access-list 23 permit 192.168.92.0 0.0.0.255
access-list 101 remark ************************************************************ 
access-list 101 remark *** ACL PER PAT *** 
access-list 101 remark ************************************************************ 
access-list 101 deny   ip 192.168.92.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.92.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT *** 
access-list 158 remark ************************************************************* 
access-list 158 permit ip 192.168.92.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 158 remark ************************************************************* 
!
control-plane
!
!
line con 0 XXXXXXXXXXXXX
 password 
 login
 no modem enable
line aux 0
 password XXXXXXXXXXXXXXX
 login
line vty 0 4
 password XXXXXXXXXXXXXXX
 login
!
scheduler max-task-time 5000
end

Inviato: lun 26 ott , 2009 10:33 am
da maggiore81
Buondì
Io sto leggendo queste conf ma non capisco una cosa
non si potrebbero postare delle conf pulite senza tanti tunnel e altre cose aggiuntive, in modo che uno che vuole provare a fare la vpn ci possa capire?

io personalmente non ho affatto chiari un paio di punti:

il router principale è quello che ha l'ip statico, ma nel client perchè devo impostare dns, domain name, e devo fare un remote pool che in uno degli esempi pare essere un unico ip... cioè io partendo da questi post non sono in grado di fare le vpn (apparte che sono credo l'unico nel forum che dal 2005 non è mai riuscito a far andare una ipsec classica funzionante, e non ho mai in alcun modo risolto i problemi).


Ora spiego:

crypto isakmp client configuration group remote-vpn
key 987bjdwiuhdiq%ihjo
dns 192.168.10.210
wins 192.168.10.210
domain xxx.local
max-users 100
max-logins 10
pool remote-pool
acl 158
save-password
split-dns xxx.local
max-users 10

questa è la parte che va nel client no?
la key sarebbe la psk
perchè dns e wins e dominio?
esiste un link a doc cisco con esempi?


e ancora nel secondo router:

crypto map remotemap local-address dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn

dov'è la lista userauth???? cioè nela conf non compare
non trovo che siano post tanto chiari, e non è che sono proprio un nubbio totale

Grazie a tutti comunque per il supporto!

ciao!