E' da tanto che vi seguo e grazie alla lettura dei vostri post ho risolto molte problematiche su collegamenti ADSl, ma adesso ho deciso di scivere perchè ho serie difficoltà sulla crezione di una VPN. IN BREVE:
Devo realizzare una VPN tra lo studio medico e la casa privata del medico, per utilizzare lo stesso software di gestione pazienti che già lavora in rete locale.
STUDIO
cisco 1841
IP statico
range 192.168.0.XXX
CASA
cisco 1841
ip dinamico
range 10.10.10.XXX
ho provato ad utilizzare SDM per la configurazione del SERVER easyVPN ma alla verifica della VPN da parte di SDM mi ritornava un errore:- non vi erano i certificati IKE.
Detto questo nel pomeriggio vi inoltro la configurazione attuale ma allo stesso tempo vorrei iniziare totalmente da zero nella creazione dellaVPN affinchè possa comprendere e seguire i vari paassaggi, con esempi concreti.
Premetto che ho letto alcune guide e seguito alcuni esempi ma nel pratico poi la VPN non va !!! sigh. Inoltre desidero sapere se è possibile che possa utilizzare il CLIENT VPN al posto di un'eventuale configurazione nella sede remota del EASY VPN CLIENT del 1841
Creazione VPN tra due router 1841
Moderatore: Federico.Lagni
-
erotodo63
- n00b
- Messaggi: 7
- Iscritto il: lun 21 set , 2009 10:52 am
Come previsto vi allego la configurazione creata da SDM per la configurazione Easy VPNserver. Ci sono parecchie righe sporche che dovrei eliminare ma non so quali possono essere importanti per la VPN.
Non so come mai non vi è la kiave IKE
Comunque vi chiedo se mi potete aiutare a fare ordine nella configurazione ed a cercare il modo migliore per definire una configurazione snella
allego la conf che attualmente non come VPN:
-----------------------------------------------------
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname studio
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$Qfto$QjI9qiU4jweqAuwBTljzL.
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login MET_AUTEN none
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
!
aaa session-id common
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool pool_studio
import all
network 192.168.1.0 255.255.255.0
dns-server 85.37.17.39 85.38.28.71
default-router 192.168.1.1
!
!
no ip bootp server
ip name-server 85.37.17.39
ip name-server 85.38.28.71
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group GRUPPO_STUDIO
key
pool SDM_POOL_1
max-users 2
crypto isakmp profile sdm-ike-profile-1
match identity group GRUPPO_STUDIO
client authentication list default
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 3
!
!
crypto ipsec transform-set SET_DEFAULT esp-3des esp-md5-hmac
crypto ipsec transform-set set3 esp-3des esp-sha-hmac
crypto ipsec transform-set SET_2 esp-3des esp-md5-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set SET_DEFAULT
set isakmp-profile sdm-ike-profile-1
!
!
!
!
!
!
username XXXXXX privilege 15 password 0 XXXXXXX
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
no ip address
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
no snmp trap link-status
pvc 8/35
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface Virtual-Template3 type tunnel
ip unnumbered FastEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXX
ppp chap password 0 XXXXXXXX
ppp pap sent-username XXXXXXX password 0 XXXXXXXX
!
ip local pool SDM_POOL_1 192.168.1.50 192.168.1.55
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password XXXXXXX
transport input telnet ssh
!
scheduler allocate 20000 1000
!
webvpn cef
end
----------------------------
Grazie anticipatamente
Non so come mai non vi è la kiave IKE
Comunque vi chiedo se mi potete aiutare a fare ordine nella configurazione ed a cercare il modo migliore per definire una configurazione snella
allego la conf che attualmente non come VPN:
-----------------------------------------------------
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname studio
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$Qfto$QjI9qiU4jweqAuwBTljzL.
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login MET_AUTEN none
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
!
aaa session-id common
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool pool_studio
import all
network 192.168.1.0 255.255.255.0
dns-server 85.37.17.39 85.38.28.71
default-router 192.168.1.1
!
!
no ip bootp server
ip name-server 85.37.17.39
ip name-server 85.38.28.71
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group GRUPPO_STUDIO
key
pool SDM_POOL_1
max-users 2
crypto isakmp profile sdm-ike-profile-1
match identity group GRUPPO_STUDIO
client authentication list default
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 3
!
!
crypto ipsec transform-set SET_DEFAULT esp-3des esp-md5-hmac
crypto ipsec transform-set set3 esp-3des esp-sha-hmac
crypto ipsec transform-set SET_2 esp-3des esp-md5-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set SET_DEFAULT
set isakmp-profile sdm-ike-profile-1
!
!
!
!
!
!
username XXXXXX privilege 15 password 0 XXXXXXX
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
no ip address
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
no snmp trap link-status
pvc 8/35
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface Virtual-Template3 type tunnel
ip unnumbered FastEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXX
ppp chap password 0 XXXXXXXX
ppp pap sent-username XXXXXXX password 0 XXXXXXXX
!
ip local pool SDM_POOL_1 192.168.1.50 192.168.1.55
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password XXXXXXX
transport input telnet ssh
!
scheduler allocate 20000 1000
!
webvpn cef
end
----------------------------
Grazie anticipatamente
so' di non sapere
-
accapoebasta
- n00b
- Messaggi: 14
- Iscritto il: ven 17 ago , 2007 6:19 pm
- Località: toscana
erotodo63 ha scritto:E' da tanto che vi seguo e grazie alla lettura dei vostri post ho risolto molte problematiche su collegamenti ADSl, ma adesso ho deciso di scivere perchè ho serie difficoltà sulla crezione di una VPN. IN BREVE:
Devo realizzare una VPN tra lo studio medico e la casa privata del medico, per utilizzare lo stesso software di gestione pazienti che già lavora in rete locale.
STUDIO
cisco 1841
IP statico
range 192.168.0.XXX
CASA
cisco 1841
ip dinamico
range 10.10.10.XXX
ho provato ad utilizzare SDM per la configurazione del SERVER easyVPN ma alla verifica della VPN da parte di SDM mi ritornava un errore:- non vi erano i certificati IKE.
Detto questo nel pomeriggio vi inoltro la configurazione attuale ma allo stesso tempo vorrei iniziare totalmente da zero nella creazione dellaVPN affinchè possa comprendere e seguire i vari paassaggi, con esempi concreti.
Premetto che ho letto alcune guide e seguito alcuni esempi ma nel pratico poi la VPN non va !!! sigh. Inoltre desidero sapere se è possibile che possa utilizzare il CLIENT VPN al posto di un'eventuale configurazione nella sede remota del EASY VPN CLIENT del 1841
penso che questo ti possa aiutare:
http://www.cisco.com/en/US/docs/routers ... ezvpn.html
-
erotodo63
- n00b
- Messaggi: 7
- Iscritto il: lun 21 set , 2009 10:52 am
OK
devo ringraziarti perche attraverso la guida ma soprattutto gli esempi sono riuscito a mettere in piedi la VPN. Adesso riesco con il client VPN a farmi assegnare ip locale del range stabilito. Allego la configurazione che mi sembra un po sporcata dai precedenti tentativi di configurazione tramite SDM. VI CHIEDO SE QUALCUNO PUO' DARMI UNA MANO A SNELLIRE LA CONF Adesso però mi accade che:
1) NON RIESCO AD ACCEDERE ALLE RISORSE ED IP DEI PC DELLA RETE LOCALE (cosa importante per me affinche' possa accedere al database dei pazienti) QUALE ISTRUZIONE DEVO INSERIRE PER LA VISIONE DEI PC IN RETE?
2) NON RIESCO AD ACCEDERE IN INTERNET MENTRE E' ATTIVO IL CLIENT VPN. QUALE ISTRUZIONE DEVO INSERIRE?
3) OGNI VOLTA CHE MI COLLEGO AL SERVER MI RITORNA SEMPRE UN IP LOCALE TRA QUELLI DA ME STABILITI. COSA SUCCEDERA' QUANDO SI ARRIVERA' ALLA FINE DEL RANGE?
......
aaa session-id common
no ip source-route
ip cef
.....
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group STUDIO
key xxxxx
pool SDM_POOL_1
max-users 2
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group STUDIO
client authentication list sdm_vpn_xauth_ml_2
isakmp authorization list sdm_vpn_group_ml_3
client configuration address respond
virtual-template 5
....
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
RIMANGO IN ATTESA DI UN VOSTO CONSIGLIO PER MEGLIO OTTIMIZZARE IL FILE DI CONFIGURAZIONE
devo ringraziarti perche attraverso la guida ma soprattutto gli esempi sono riuscito a mettere in piedi la VPN. Adesso riesco con il client VPN a farmi assegnare ip locale del range stabilito. Allego la configurazione che mi sembra un po sporcata dai precedenti tentativi di configurazione tramite SDM. VI CHIEDO SE QUALCUNO PUO' DARMI UNA MANO A SNELLIRE LA CONF Adesso però mi accade che:
1) NON RIESCO AD ACCEDERE ALLE RISORSE ED IP DEI PC DELLA RETE LOCALE (cosa importante per me affinche' possa accedere al database dei pazienti) QUALE ISTRUZIONE DEVO INSERIRE PER LA VISIONE DEI PC IN RETE?
2) NON RIESCO AD ACCEDERE IN INTERNET MENTRE E' ATTIVO IL CLIENT VPN. QUALE ISTRUZIONE DEVO INSERIRE?
3) OGNI VOLTA CHE MI COLLEGO AL SERVER MI RITORNA SEMPRE UN IP LOCALE TRA QUELLI DA ME STABILITI. COSA SUCCEDERA' QUANDO SI ARRIVERA' ALLA FINE DEL RANGE?
......
aaa session-id common
no ip source-route
ip cef
.....
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group STUDIO
key xxxxx
pool SDM_POOL_1
max-users 2
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group STUDIO
client authentication list sdm_vpn_xauth_ml_2
isakmp authorization list sdm_vpn_group_ml_3
client configuration address respond
virtual-template 5
....
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
RIMANGO IN ATTESA DI UN VOSTO CONSIGLIO PER MEGLIO OTTIMIZZARE IL FILE DI CONFIGURAZIONE
so' di non sapere
-
erotodo63
- n00b
- Messaggi: 7
- Iscritto il: lun 21 set , 2009 10:52 am
Salve
penso di aver risolto almeno uno dei tre problemi ovvero ho trovato una configurazione tipoi scritta da Wizard ed ho copiato le seguenti righe che mi hanno permesso di navigare in internet quando il client VPN è in funzione. Non riesco a visualizzare le risorse dei vari PC WIN collegati alla rete locale del SERVER EzVPN.
Vi allego le righe inserite nell'attesa di consigli e di qualcuno che mi dica se le righe inserite sono sufficienti, affinchè possa vedere i pc.
! ...
ip local pool remote-pool 192.168.1.50 192.168.1.55
! ...
acl 151
! ...
no access-list 151
access-list 151 rem ****ACL PER SPLIT-TUNNEL DA VPN-CLIENT****
access-list 151 permit ip 192.168.1.0 0.0.0.255 192.168.1.50 0.0.0.6
!
no access-list 101
access-list 101 rem ****ACL PER NAT0 E PAT****
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.50 0.0.0.6
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
!....
so' di non sapere
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Non vado nel dettaglio tecnico...ma mi sa che hai sbagliato strada...perchè fare un Server VPN ed utilizzare il client VPN EZVPN integrato in IOS?
Se hai un solo IP fisso usa DMVPN,se hai 2 IP fissi ,usa na L2L...tutto molto più semplice,sopratutto in quest'ultimo caso...
Altro consiglio....butta nel cesso SDM...
Se hai un solo IP fisso usa DMVPN,se hai 2 IP fissi ,usa na L2L...tutto molto più semplice,sopratutto in quest'ultimo caso...
Altro consiglio....butta nel cesso SDM...
-
erotodo63
- n00b
- Messaggi: 7
- Iscritto il: lun 21 set , 2009 10:52 am
NON RIESCO PIU' A CAPIRE COSA DEVO FARE. TEORICAMENTE E' SEMPLICE POI IN PRATICA PASSO NOTTI INSONNI. SIGH 
ALLORA INTANTO TI RINGRAZIO PERCHE' MI HAI RISPOSTO POI DESIDERO RICOMICIARE DA ZERO,
TU SCRIVI:
SULLA SEGUENTE CONFIGURAZIONE INSERISCO LE RIGHE ESTRATTE DA UN FILE TIPO DI WIZARD
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool pool_studio
import all
network 192.168.1.0 255.255.255.0
dns-server 85.37.17.39 85.38.28.71
default-router 192.168.1.1
!
!
no ip bootp server
ip name-server 85.37.17.39
ip name-server 85.38.28.71
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group STUDIO
key XXXXXXX
pool SDM_POOL_1
acl 151
include-local-lan
max-users 2
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group STUDIO
client authentication list sdm_vpn_xauth_ml_2
isakmp authorization list sdm_vpn_group_ml_3
client configuration address respond
virtual-template 5
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
crypto pki trustpoint TP-self-signed-3387713701
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3387713701
revocation-check none
rsakeypair TP-self-signed-3387713701
!
username cisco_1841 privilege 15 password 0 XXXXXX
archive
log config
hidekeys
!
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd remote-host sdmR5dac14e7 192.168.1.51 L5dac14e7 enable
ip rcmd remote-host sdmRb67e86a4 192.168.1.50 Lb67e86a4 enable
ip rcmd remote-username sdmRb67e86a4
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
no ip address
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
no snmp trap link-status
pvc 8/35
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface Virtual-Template5 type tunnel
ip unnumbered FastEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname [email protected]
ppp chap password 0 XXXXXX
ppp pap sent-username [email protected] password 0 XXXXXXX
!
ip local pool SDM_POOL_1 192.168.1.50 192.168.1.55
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
no access-list 151
access-list 151 rem ****ACL PER SPLIT-TUNNEL DA VPN-CLIENT****
access-list 151 permit ip 192.168.1.0 0.0.0.255 192.168.1.50 0.0.0.6
no access-list 101
access-list 101 rem ****ACL PER NAT0 E PAT****
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.50 0.0.0.6
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
....
SAI COSA SUCCEDE?
1) IL VPN CLIENT METTE SU LA VPN ASSOCIANDO UN INDIRIZZO DEL POOL (192.168.1.50) RIESCO A COLLEGARMI IN INTERNET DAL CLIENT MA NON VEDO LE RISORSE DEI PC LATO SERVER VPN (Es. 192.168.1.35 etc)
2) MENTRE COSA GRAVISSIMA DALLA RETE LOCALE DEL SERVER VPN I PC NON VANNO SU INTERNET E NON RIESCONO A VEDERE LE RISORSE SHARE TRA DI LORO (Es. 192.168.1.35 e 192.168.1.144)
NON DORMO PIU' NON MANGIO PIU' (Si fa per dire ...) NON CAPISCO PIU' COSA DEVO FARE.
ADESSO TU MI CONSIGLI DI UTILIZZARE IL DYNAMIC VPN,PENSI CHE POSSA RISOLVERE UNA COSA APPARENTEMENTE SEMPLICE ? FAMMI CAPIRE PERCHE' HO SBAGIATO STRADA? COSA POSSO STUDIARE FORSE LE ACL?
2
ALLORA INTANTO TI RINGRAZIO PERCHE' MI HAI RISPOSTO POI DESIDERO RICOMICIARE DA ZERO,
TU SCRIVI:
PARTO DA COSA VOGLIO FARE. SUL CISCO 1841 CON IP STATICO CON IP LOCALE 191.168.1.0/27 VOGLIO FAR ATTIVARE UN SERVER EzVPN CON UN POOL_RILASCIO 192.168.1.50-192.168.1.55 VERSO I CLIENT PC IN CUI ATTIVO "VPN Client" (IP dinamico)zot ha scritto:Non vado nel dettaglio tecnico...ma mi sa che hai sbagliato strada...perchè fare un Server VPN ed utilizzare il client VPN EZVPN integrato in IOS?
Se hai un solo IP fisso usa DMVPN,se hai 2 IP fissi ,usa na L2L...tutto molto più semplice,sopratutto in quest'ultimo caso...
Altro consiglio....butta nel cesso SDM...
SULLA SEGUENTE CONFIGURAZIONE INSERISCO LE RIGHE ESTRATTE DA UN FILE TIPO DI WIZARD
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool pool_studio
import all
network 192.168.1.0 255.255.255.0
dns-server 85.37.17.39 85.38.28.71
default-router 192.168.1.1
!
!
no ip bootp server
ip name-server 85.37.17.39
ip name-server 85.38.28.71
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group STUDIO
key XXXXXXX
pool SDM_POOL_1
acl 151
include-local-lan
max-users 2
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group STUDIO
client authentication list sdm_vpn_xauth_ml_2
isakmp authorization list sdm_vpn_group_ml_3
client configuration address respond
virtual-template 5
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
crypto pki trustpoint TP-self-signed-3387713701
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3387713701
revocation-check none
rsakeypair TP-self-signed-3387713701
!
username cisco_1841 privilege 15 password 0 XXXXXX
archive
log config
hidekeys
!
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd remote-host sdmR5dac14e7 192.168.1.51 L5dac14e7 enable
ip rcmd remote-host sdmRb67e86a4 192.168.1.50 Lb67e86a4 enable
ip rcmd remote-username sdmRb67e86a4
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
no ip address
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
no snmp trap link-status
pvc 8/35
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface Virtual-Template5 type tunnel
ip unnumbered FastEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname [email protected]
ppp chap password 0 XXXXXX
ppp pap sent-username [email protected] password 0 XXXXXXX
!
ip local pool SDM_POOL_1 192.168.1.50 192.168.1.55
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
no access-list 151
access-list 151 rem ****ACL PER SPLIT-TUNNEL DA VPN-CLIENT****
access-list 151 permit ip 192.168.1.0 0.0.0.255 192.168.1.50 0.0.0.6
no access-list 101
access-list 101 rem ****ACL PER NAT0 E PAT****
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.1.50 0.0.0.6
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
....
SAI COSA SUCCEDE?
1) IL VPN CLIENT METTE SU LA VPN ASSOCIANDO UN INDIRIZZO DEL POOL (192.168.1.50) RIESCO A COLLEGARMI IN INTERNET DAL CLIENT MA NON VEDO LE RISORSE DEI PC LATO SERVER VPN (Es. 192.168.1.35 etc)
2) MENTRE COSA GRAVISSIMA DALLA RETE LOCALE DEL SERVER VPN I PC NON VANNO SU INTERNET E NON RIESCONO A VEDERE LE RISORSE SHARE TRA DI LORO (Es. 192.168.1.35 e 192.168.1.144)
NON DORMO PIU' NON MANGIO PIU' (Si fa per dire ...) NON CAPISCO PIU' COSA DEVO FARE.
ADESSO TU MI CONSIGLI DI UTILIZZARE IL DYNAMIC VPN,PENSI CHE POSSA RISOLVERE UNA COSA APPARENTEMENTE SEMPLICE ? FAMMI CAPIRE PERCHE' HO SBAGIATO STRADA? COSA POSSO STUDIARE FORSE LE ACL?
2
so' di non sapere
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Nulla è semplice se non lo si conosce,tutto diventa facile una volta imparato...
Vai tranquillo,se hai veramente voglia di imparare arriviamo dritti alla meta.
1° errore : quando crei VPN gli end point coinvolti(lan o client che siano)debbono esere sempre su subnet differenti....SEMPRE.
Tu hai assegnato ai client la stessa subnet della lan...devi cambiare il pool.
Consiglio spassionato...se vuoi imparare Cisco,NON usare SDM.
Altro passo : analizza attentamente quello che devi realizzare.
Devi creare VPN tra 2 o più LAN?Devi far collegare client.....chiarisciti le idee su questi punti e poi riposta.
Vai tranquillo,se hai veramente voglia di imparare arriviamo dritti alla meta.
1° errore : quando crei VPN gli end point coinvolti(lan o client che siano)debbono esere sempre su subnet differenti....SEMPRE.
Tu hai assegnato ai client la stessa subnet della lan...devi cambiare il pool.
Consiglio spassionato...se vuoi imparare Cisco,NON usare SDM.
Altro passo : analizza attentamente quello che devi realizzare.
Devi creare VPN tra 2 o più LAN?Devi far collegare client.....chiarisciti le idee su questi punti e poi riposta.
-
erotodo63
- n00b
- Messaggi: 7
- Iscritto il: lun 21 set , 2009 10:52 am
INTANTO GRAZIE SEMPRE PER LA RISPOSTA. HAI RAGIONE UN ERRORE GROSSOLANO E' STATO QUELLO DI FAR ASSEGNARE IP SULLA VPN NELLO STESSO RANGE DEGLI IP ASSEGNATI DAL SERVIZIO DHCP.
RIGUARDO AL SECONDO QUESITO TU HAI SCRITTO:
1 STEP) ATTIVARE IL ROUTER 1841 PRESSO LO STUDIO (IP STATICO) COME SERVER EzVPN E RENDERE DISPONIBILE ALCUNI IP DELLA LAN AI CLIENT DI UNA SEDE SECONDARIA (IP DINAMICO) COLLEGATI PER MEZZO DEL "VPN CLIENT CISCO"
QUANDO TUTTO FUNZIONERA' PASSERO' AL SECONDO STEP
2 STEP) CONFIGURARE IL ROUTER CISCO 1841 DELLA SEDE SECONDARIA IN MANIERA DEFINITIVA COME EzCLIENT E RENDERE DISPONIBILI (SHARE) LE DUE RETI LAN
COSA MI CONSIGLI PER ATTUARE QUESTI DUE STEP?
ATTUALMENTE STO LEGGENDO IL LIBRO "CISCO IOS ACCESS LISTS" DI O'REILLY E HO GIA' UN'IDEA DI COSA DOVRA' CONTENERE IL FILE DI CONFIGURAZIONE CHE TI ALLEGHERO' AL PIU' PRESTO PER SOTTOPORLO ALLA TUA ATTENZIONE E SUCCESSIVAMENTE INSERIRLO NEL ROUTER.
SPERO DI ESSERE STATO CHIARO MA SOPRATTUTTO SPERO DI AVER CHIARITO A ME STESSO COSA VOGLIO FARE. RIMANGO IN ATTESTA DI TUOI CONSIGLI
RIGUARDO AL SECONDO QUESITO TU HAI SCRITTO:
CREDO ADESSO DI AVERE LE IDEE PIU' CHIARE. DESIDERO CREARE LA VPN TRA I DUE ROUTER IN DUE STEP DIFFERENTI:zot ha scritto:Altro passo : analizza attentamente quello che devi realizzare.
Devi creare VPN tra 2 o più LAN?Devi far collegare client.....chiarisciti le idee su questi punti e poi riposta.
1 STEP) ATTIVARE IL ROUTER 1841 PRESSO LO STUDIO (IP STATICO) COME SERVER EzVPN E RENDERE DISPONIBILE ALCUNI IP DELLA LAN AI CLIENT DI UNA SEDE SECONDARIA (IP DINAMICO) COLLEGATI PER MEZZO DEL "VPN CLIENT CISCO"
QUANDO TUTTO FUNZIONERA' PASSERO' AL SECONDO STEP
2 STEP) CONFIGURARE IL ROUTER CISCO 1841 DELLA SEDE SECONDARIA IN MANIERA DEFINITIVA COME EzCLIENT E RENDERE DISPONIBILI (SHARE) LE DUE RETI LAN
COSA MI CONSIGLI PER ATTUARE QUESTI DUE STEP?
ATTUALMENTE STO LEGGENDO IL LIBRO "CISCO IOS ACCESS LISTS" DI O'REILLY E HO GIA' UN'IDEA DI COSA DOVRA' CONTENERE IL FILE DI CONFIGURAZIONE CHE TI ALLEGHERO' AL PIU' PRESTO PER SOTTOPORLO ALLA TUA ATTENZIONE E SUCCESSIVAMENTE INSERIRLO NEL ROUTER.
SPERO DI ESSERE STATO CHIARO MA SOPRATTUTTO SPERO DI AVER CHIARITO A ME STESSO COSA VOGLIO FARE. RIMANGO IN ATTESTA DI TUOI CONSIGLI
so' di non sapere
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Allora fai andare il VPN client sul 1841 con IP fisso.
Dopo,se non puoi cambiare in IP fisso la connessione che ora l'ha dinamico,puoi fare Dynamic Multipoint VPN (DMVPN appunto) ma devi avere IOS advanced Ip service....io ti consiglio di fargli prendere un IP fisso...se hai dubbi posta pure....ma evita le maiuscole..che ci sento ancora bene
Dopo,se non puoi cambiare in IP fisso la connessione che ora l'ha dinamico,puoi fare Dynamic Multipoint VPN (DMVPN appunto) ma devi avere IOS advanced Ip service....io ti consiglio di fargli prendere un IP fisso...se hai dubbi posta pure....ma evita le maiuscole..che ci sento ancora bene
