problema abbastanza complesso

[brucetta]

Innanzitutto salve a tutti sono nuovo.

Ho un cisco 877w all'interno di un azienda con installata già una vpn.
da un altra azienda riesco a collegarmi in vpn tramite il programmino vpn client ed ad utilizzare il nostro programma di contabilità sul server della prima azienda.

il problema nasce ora "nell'azienda client" ho la necessità di far entrare in vpn anche un "terminale" che però non ha la possibilità di eseguire il vpn client in quanto è uno strumento basilare che però ha un indirizzo ip e che si può collegare solo tramite cavo ethernet, e questo stesso terminale dovrebbe interagire con il server principale.
esiste una configurazione che mi permetta di accettare anche questo terminale all'interno della vpn?

Insomma nel momento in cui eseguo il vpn client, il client assume l'indirizzo ip nuovo assegnatogli dal cisco e il "terminale" me ne rimane fuori inquanto non entra nella nuova rete e quindi non interagisce con il nuovo server! esiste una soluzione.

Grazie a tutti per qualsiasi risposta

[brucetta]

nessun suggerimento??? sono stato poco chiaro o è davvero complesso?


vi prego mi serve una risposta...

[andrewp]

Accendi il wi-fi sul tuo pc, connettiti alla LAN e apri il client, schiaffa il server con un cavo cross nel tuo pc e fai una bella condivisione di rete con windows

[brucetta]

Accendi il wi-fi sul tuo pc, connettiti alla LAN e apri il client, schiaffa il server con un cavo cross nel tuo pc e fai una bella condivisione di rete con windows

Innanzitutto grazie della risposta...

Però misa che mi sono spiegato male.
Io ho 2 sedi collegate tramite vpn client e funziona alla grande.
Ora il problema è che devo installare in una sede un client che non può eseguire vpn client (in quanto il terminale è molto semplice) ma deve comunque accedere alla vpn per poter interrogare il server dell'altra sede.
Il terminale si collega tramite cavo lan e si può configurare indirizzo ip gateway e subnet mask.

La mia idea iniziale era quella di usare il pc che si connette alla vpn come gateway per il terminale ma non funziona.

[andrewp]

La mia idea iniziale era quella di usare il pc che si connette alla vpn come gateway per il terminale ma non funziona.

Why? Tabelle di routing, indirizzi, raggiungibilitá, acl, etc etc??

[brucetta]

La mia idea iniziale era quella di usare il pc che si connette alla vpn come gateway per il terminale ma non funziona.

Why? Tabelle di routing, indirizzi, raggiungibilitá, acl, etc etc??

ecco questa era la risposta che cercavo.... io non ne capisco molto di cisco diciamo che però sono uno smanettone.

quindi se mi spieghi bene (se hai tempo e voglia) ci provo.
come posso fare?
come posso autorizzare l'ip del terminalino ad entrare nella vpn? Io lo sento a fiuto che si può fare ma non ne sono capace.

grazie

[brucetta]

nessuno che mi aiuta????

vi prego vi prego!!! non so davvero come risolvere....

[simones]

nessuno che mi aiuta????

vi prego vi prego!!! non so davvero come risolvere....

Ciao,

1) potresti postare la configurazione del router/fw?

2) Questo è il suggerimento: la VPN Road Woarrior impostata lavora in questo modo:
- crea un pool dhcp di indirizzi da assegnare ai clients;
- crea una access control list che permette a tutti gli host del pool di accedere alla rete interna.

Ora se il tuo terminale lavora solo col DHCP il problema si complica. Se invece puoi settare tu gli indirizzi potresti risolvere così:

1) restringi il range degli indirizzi del pool dhcp togliendo un host;
2) assegna al terminale l'indirizzo che hai eliminato dal pool.

[brucetta]

nessuno che mi aiuta????

vi prego vi prego!!! non so davvero come risolvere....

Ciao,

1) potresti postare la configurazione del router/fw?

2) Questo è il suggerimento: la VPN Road Woarrior impostata lavora in questo modo:
- crea un pool dhcp di indirizzi da assegnare ai clients;
- crea una access control list che permette a tutti gli host del pool di accedere alla rete interna.

Ora se il tuo terminale lavora solo col DHCP il problema si complica. Se invece puoi settare tu gli indirizzi potresti risolvere così:

1) restringi il range degli indirizzi del pool dhcp togliendo un host;
2) assegna al terminale l'indirizzo che hai eliminato dal pool.

Ecco la configurazione attuale del router "server"

La tua proposta non mi è chiara, tu dici di far assegnare tramite il vpn client il dhcp?? se così cosa che già avviene come faccio a far entrare il terminalino all'interno del vpn anche se lo metto tra il range degli indirizzi lui si dovrebbe autenticare!

VPN Road Woarrior non so cosa sia!

Grazie davvero...



Building configuration...

Current configuration : 10808 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
service udp-small-servers
service tcp-small-servers
service sequence-numbers
!
hostname xxxxx
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$4vEO$l7fHLNM515Q8hxgWj1QPE0
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
ip gratuitous-arps
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.99
ip dhcp excluded-address 10.10.10.200 10.10.10.254
!
ip dhcp pool xxxx
network 10.10.10.0 255.255.255.0
domain-name xxxx
dns-server 151.99.0.100 10.10.10.11 151.99.125.1
default-router 10.10.10.1
lease infinite
!
!
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip finger
ip tcp synwait-time 10
ip domain name xxxxx
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-1721570906
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1721570906
revocation-check none
rsakeypair TP-self-signed-1721570906
!
!
crypto pki certificate chain TP-self-signed-1721570906
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31373231 35373039 3036301E 170D3032 30333031 30333036
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37323135
37303930 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100951C 0CBF4A0A 73C1787F 683B414C 23223AE9 94C99118 4D9AEF79 BE0CA554
1156EC69 E28F1548 F476A575 43E63283 DDFBF912 97155ED2 6AAE3FC2 94EA1A67
E03D027E 80FBF58D DFB13D3D 29D2A6E6 DD4283CC 3CB16D02 73D601C0 0603B5F6
0552CE62 8FA31B22 84C1C4F4 D2856B29 D2AF9EA6 BBBD4439 B3AFF671 6D9766C3
D9650203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11736172 6769742E 73617267 69742E63 6F6D301F 0603551D
23041830 168014F1 495825C6 71FCB1CB 47FC128F CFA95410 EA406E30 1D060355
1D0E0416 0414F149 5825C671 FCB1CB47 FC128FCF A95410EA 406E300D 06092A86
4886F70D 01010405 00038181 006E4A9D 231DDEF7 DD1385AD 3994FD39 FEE5C4EC
63AE6856 2A8C546E A1E543DF D33F8C8E F726D76C 017A2651 D0B12BE6 0EABF6F9
744C9D14 AAB96CB1 C7D0A356 ED3E1471 A597D82A B87DEFEA 7C1335E7 0CF51D9F
427F798B C371FE42 68438D50 DBCFE42A 6AA7F2D3 623247F1 5F32963B D98EFD15
F0B9388A 5C597071 C2636C0C 56
quit
username xxxxx privilege 15 secret 5 $1$MIbY$6mWGr2iouKu671TXzLF1w.
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxx address xxxx
crypto isakmp key xxxxx address xxxx
!
crypto isakmp client configuration group xxxxx
key xxxx
pool SDM_POOL_1
max-users 10
netmask 255.255.255.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to85.45.24.226
set peer 85.45.24.226
set transform-set ESP-3DES-SHA1
match address 104
crypto map SDM_CMAP_1 2 ipsec-isakmp
description Tunnel to 88.50.7.6
set peer 88.50.7.6
set transform-set ESP-3DES-SHA2
match address 105
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
bridge irb
!
!
interface ATM0
no ip address
ip mask-reply
ip directed-broadcast
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address mio ip 255.255.255.252
ip access-group 101 in
ip verify unicast reverse-path
ip mask-reply
ip directed-broadcast
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
crypto map SDM_CMAP_1
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
no cdp enable
!
interface Dot11Radio0
no ip address
ip mask-reply
ip directed-broadcast
!
encryption key 1 size 40bit 0 0303200500 transmit-key
encryption mode wep mandatory
!
ssid xxxx
authentication open
guest-mode
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2417
station-role root
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
bridge-group 1
!
interface BVI1
description $ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
ip mask-reply
ip directed-broadcast
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip local pool SDM_POOL_1 10.10.10.200 10.10.10.210
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface ATM0.1 overload
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 remark HTTP Access-class list
access-list 2 remark SDM_ACL Category=1
access-list 2 permit 10.10.10.0 0.0.0.255
access-list 2 deny any
access-list 100 remark auto-generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 88.40.23.204 0.0.0.3 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto-generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark IPSec Rule
access-list 101 permit ip 10.10.30.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 101 permit udp host 88.50.7.6 host 88.40.23.206 eq non500-isakmp
access-list 101 permit udp host 88.50.7.6 host 88.40.23.206 eq isakmp
access-list 101 permit esp host 88.50.7.6 host 88.40.23.206
access-list 101 permit ahp host 88.50.7.6 host 88.40.23.206
access-list 101 remark IPSec Rule
access-list 101 permit ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 101 permit udp host 85.45.24.226 host 88.40.23.206 eq non500-isakmp
access-list 101 permit udp host 85.45.24.226 host 88.40.23.206 eq isakmp
access-list 101 permit esp host 85.45.24.226 host 88.40.23.206
access-list 101 permit ahp host 85.45.24.226 host 88.40.23.206
access-list 101 permit ip host 10.10.10.200 any
access-list 101 permit ip host 10.10.10.201 any
access-list 101 permit ip host 10.10.10.202 any
access-list 101 permit ip host 10.10.10.203 any
access-list 101 permit ip host 10.10.10.204 any
access-list 101 permit ip host 10.10.10.205 any
access-list 101 permit ip host 10.10.10.206 any
access-list 101 permit ip host 10.10.10.207 any
access-list 101 permit ip host 10.10.10.208 any
access-list 101 permit ip host 10.10.10.209 any
access-list 101 permit ip host 10.10.10.210 any
access-list 101 permit udp any host 88.40.23.206 eq non500-isakmp
access-list 101 permit udp any host 88.40.23.206 eq isakmp
access-list 101 permit esp any host 88.40.23.206
access-list 101 permit ahp any host 88.40.23.206
access-list 101 deny ip 88.40.103.24 0.0.0.7 any
access-list 101 permit icmp any host 88.40.23.206 echo-reply
access-list 101 permit icmp any host 88.40.23.206 time-exceeded
access-list 101 permit icmp any host 88.40.23.206 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny ip 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255
access-list 102 remark IPSec Rule
access-list 102 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
access-list 102 deny ip any host 10.10.10.200
access-list 102 deny ip any host 10.10.10.201
access-list 102 deny ip any host 10.10.10.202
access-list 102 deny ip any host 10.10.10.203
access-list 102 deny ip any host 10.10.10.204
access-list 102 deny ip any host 10.10.10.205
access-list 102 deny ip any host 10.10.10.206
access-list 102 deny ip any host 10.10.10.207
access-list 102 deny ip any host 10.10.10.208
access-list 102 deny ip any host 10.10.10.209
access-list 102 deny ip any host 10.10.10.210
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 remark VTY Access-class list
access-list 103 remark SDM_ACL Category=1
access-list 103 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 deny ip any any
access-list 104 remark SDM_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
access-list 105 remark SDM_ACL Category=4
access-list 105 remark IPSec Rule
access-list 105 permit ip 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255
no cdp run
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

[simones]

avevo capito male io.....

La vpn Road Warrior è quella che da un lato utilizza un firewall o un router (come nel tuo caso) e dall'altro il Cisco VPN Client.

ciò che non mi è chiaro cmq. è come mai la vpn tra le due aziende sia stata implementata con l'utilizzo del cisco client.

non avresti avuto il problema se si fosse implementata una vpn lan to lan (tra 2 apparati cisco, nel tuo caso due 877W).

cmq. rivedendo tutto una soluzione ci sarebbe ma non la ritengo molto valida. la suggeriva un altro utente parlando di condivisione di connessione remota.... ma è davvero una cosa quasi irralizzabile per l'instabilità che ne deriverebbe....

[brucetta]

Si penso che tra due router dovrei riuscire, il problema è che nella azienda client avevo appena comprato un'altro router e non mi anmdava di spendere altri soldi per un router nuovo cisco ma se la soluazione è solo questa farò così.

comunque davvero grazie a tutti dell'aiuto che date.

[simones]

se proprio devi affrontare una spesa ti sonsiglio vivamente di pensare ad un CISCO ASA, che ti darebbe la possibilità di implementare tutti i tipi di VPN in maniera abbastanza semplice ma comunque stabile offrendoti allo stesso tempo una protezione avanzata della rete lan.