VPN LAN 2 LAN,router fuori dalla VPN

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

In pratica i router delle varie sedi sono fuori dalla VPN,se tento di fare ssh da un router all'altro passando per la VPN ottengo un % Destination unreachable; gateway or host down se tento di fare un ping verso una macchina della LAN remota ottengo una serie di U.U.U che vuol dire ,in soldoni, destinazione irragiungibile.
Il problema,mi pare ovvio,è che l'interfaccia interna del router non riesce ad instradare corretamente i pacchetti verso la VPN.
Questo mi causa un sacco di problemi e devo assolutamente risolverlo...
Dal poco che so le VPN lan 2 lan vengono instradate tramite ACL le mie sono del tipo :

SEDE CENTRO STELLA

Codice: Seleziona tutto

crypto map VPN 3 ipsec-isakmp
 description Tunnel to SEDE03
 set peer xx.xx.xx.xx
 set transform-set VPN
 match address 153
!
access-list 100 remark *******************
access-list 100 remark *** ACL RM-NAT0 ***
access-list 100 remark *******************
access-list 100 remark --vpn sedi remote--
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
access-list 153 remark --VPN-TO-SEDE03--
access-list 153 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
!
SEDE REMOTA

Codice: Seleziona tutto

crypto map VPN 1 ipsec-isakmp
 description Tunnel to CENTRO-STELLA
 set peer xx.xx.xx.xx
 set transform-set VPN
 match address 151
!
access-list 100 remark *******************
access-list 100 remark *** ACL RM-NAT0 ***
access-list 100 remark *******************
access-list 100 remark --vpn centro stella--
access-list 100 deny   ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 remark --to translate--
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
!
access-list 151 remark ************************
access-list 151 remark *** ACL TRAFFICO VPN ***
access-list 151 remark ************************
access-list 151 remark --VPN-TO-CENTRO-STELLA--
access-list 151 permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
!

Codice: Seleziona tutto

sede03#ping 192.168.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
sede03#ssh 192.168.0.1
% Destination unreachable; gateway or host down

sede03#traceroute 192.168.0.1

Type escape sequence to abort.
Tracing the route to 192.168.0.1

  1 [i]ip punto punto telecom[/i]  !A  *  !A
sede03#
Qualche idea?
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Daiiiiiii neanche un "azzì tuoi" .....
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Fammi capire bene:

- Tu hai un router centro stella + n router periferici
- Dal router centro stella vuoi accedere in telnet agli altri router

?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

in soldoni,c'è il router centro stella che sulla sua interfaccia lan tiene tot Server.
Le VPN dei router periferici sono configurate per far accedere i client delle loro lan ai servizi erogati dai Server...e funziona tutto.
Il problema si presenta nel momento in cui da un router periferico debbo accedere ai servizi erogati dai Server che si trovano nella lan del centro stella.
Es. pratico: voglio fare in modo che l'autenticazione per accedere ad un router periferico passi tramite un server Radius che sta dietro il centro stella...non funziona....anche se da un router periferico cerco di pingare un server o il centro stella stesso, ottengo un "host irrangiungibile"...se la stessa cosa la faccio da una macchina che sta dietro questo router periferico riesco,invece,a raggiungere sia il router centro stella che i server dietro questo router.
In pratica ,l'interfaccia lan dei vari router periferici,è fuori dalla VPN......
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

OK ho capito anche se sta cosa è strana...
Per fare un test del ping fai così:

Codice: Seleziona tutto

sede03#ping 192.168.0.1 source-interface vlan1
Ho messo vlan1 ma può essere anche eth0 o insomma la interfaccia che è il gw della lan[/quote]
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Ok se faccio ping 192.168.0.1 source eth0 il ping risponde.........quindi :? ?
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Quindi devi trovare il modo di fare partire le richieste (ad esempio x la autenticazione) dalle eth0 senò te le fa uscire dalla atm e quindi nn viene tunnelizzato...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Per autenticazione radius
ip radius source-interface eth0

Per servizio filtraggio URL centralizzato(tipo Websense)
ip urlfilter source-interface eth0

Ci metto tempo ma alla fine ci arrivo
:D
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Non funziona con 877 ...ci sto smadonnando..........
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Rispondi

Torna a “VPN”