VPN un pò di teria e di pratica...chi mi aiuta?

[Wizard]

NON ci siamo!

ip nat inside source list 100 interface ATM0.1 overload

access-list 100 remark *** ACL PER NAT ***
access-list 100 deny ip 192.168.*.0 0.0.0.255 192.168.*.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any

In breve dici che la acl 100 regola il nat verso l'ip della interfaccia atm0.1

[zot]

Ok..vediamo se ci sono

ROUTER A
Interface Eth0
ip address 192.168.0.1 255.255.255.0

access-list 101 remark *** ACL PER NAT ***
access-list 101 deny 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 #blocca il traffico della rete interna dalla rete interna stessa a quella(sempre interna) che sta a valle del tunnel VPN
access-list 100 permit ip 192.168.0.0 0.0.0.255 any #fai fare quello che gli pare alla rete interna tranne quello sopra detto.
access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 #permetti il traffico tramite tunnel IPSEC dalla rete interna a quella interna a valle del tunnel

ROUTER B
interface Eth0
ip address 192.168.1.1 255.255.255.0

access-list 101 remark *** ACL PER NAT ***
access-list 101 deny 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255

[Wizard]

Perfetto!

[zot]

YEAAAAAAAAAAAAAAA!!!!!
Promosso professò???

[zot]

Visto che ci siamo continuiamo con l'esame...

crypto isakmp policy 10#n° di policy che si può usare nella cripto map
encr 3des#metodo di cifratura
hash md5#metodo di invio chiave iniziale
authentication pre-share#metodo di autenticazione
group 2#bit di cifratura(group 2 è 512 mi pare)
crypto isakmp key ******** address ***.***.**...... no-xauth#chiave che verrà utilizzata per cifrare il traffico e indirizzo alla quale questa chiave è legata

Si può affermare che la crypto isakmp policy xx identifica il metodo(policy appunto) di cifratura e quale peer sia ad esso collegato.

crypto ipsec transform-set XXXXXX esp-3des esp-md5-hmac#indica un metodo di "creazione" del tunnel(questo me lo devo studiare di più)

crypto map YYY local-address atm0.1#qui casca un pò l'asino...overro si indica l'indirizzo pubblico da cui far partire il tunnel..... a rigor di logica ci va messa su l'interfaccia che ha l'indirizzo IP assegnato dal provider....ma per configurazioni che hanno il GW punto-punto sull'ATM0.1?Dipende anche dai provider?Cioè In una Multigroup con più di 1 indirizzo assegnato dove ho il GW p-t-p sull' ATM0.1,il tunnel è giusto che parta dal GW p-t-p o lo devo far partire dall'interfaccia che ha un indirizzo IP assegnato?Nel mio caso avendolo sulla Loopback0 è più corretto che metta crypto map YYY local-address Loopback0 ?Comunqhe DEVE essere l'interfaccia su cui sta la cripto map?

crypto map YYY xx ipsec-isakmp#viene indicata (praticamente) l'interfaccia da utilizzare(precedentemente specificata in crypto map YYY local-address atm0.1 ) e la policy ( xx ) da prendere in considerazione.
set peer ***#indirizzo al quale è raggiungibile il "router" con il quale si vuole creare il tunnel.
set transform-set XXXXXX#indica il metodo di creazione del tunnel precedentemente specificato per la cripto map che si sta creando
match address 151#ACL che "governerà" il traffico sulla cripto map (il tunnel VPN in definitiva)

Fiuuu sperem bene che se mi boccia parto militare....

[Wizard]

crypto map YYY local-address atm0.1#qui casca un pò l'asino...overro si indica l'indirizzo pubblico da cui far partire il tunnel..... a rigor di logica ci va messa su l'interfaccia che ha l'indirizzo IP assegnato dal provider....ma per configurazioni che hanno il GW punto-punto sull'ATM0.1?Dipende anche dai provider?Cioè In una Multigroup con più di 1 indirizzo assegnato dove ho il GW p-t-p sull' ATM0.1,il tunnel è giusto che parta dal GW p-t-p o lo devo far partire dall'interfaccia che ha un indirizzo IP assegnato?Nel mio caso avendolo sulla Loopback0 è più corretto che metta crypto map YYY local-address Loopback0 ?Comunqhe DEVE essere l'interfaccia su cui sta la cripto map?

crypto map YYY local-address atm0.1 è il default cioè se non metti la riga il router fa gestire la vpn all'ip della atm0.1. Se hai l'indirizzo IP della punto-punto (spesso non utilizzabile poichè bloccato) devi configurare crypto map YYY local-address loopback0 cioè la interfaccia con un ip che può fare traffico. La crypto-map invece va messa nella atm0.1 non nella loopback

[zot]

Stasera tutto bello contento sono andato a rifare la configurazione di tutti e due i router...risultato tutto DOWN..... ho rincontrollato tutto fino all'impazzimento,ma,evidentemente c'è qualcosa di macroscopico che mi sfugge.Provo a postare le due conf.Gli indirizzi 11.11.11.11 e 22.22.22.22 sono gli IP pubblici.Sul ROUTER A ho provato a mettere la crypto map sia sulla Loopback0 che sulla ATM0.1 : stesso risultato DOWN!!

ROUTER A
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key key address 22.22.22.22 no-xauth
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map SEDE local-address Loopback0
crypto map SEDE 10 ipsec-isakmp
set peer 22.22.22.22
set transform-set VPN-SET
match address 150
!
interface Loopback0
ip address 11.11.11.11 255.255.255.248
ip virtual-reassembly
no ip mroute-cache
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address [IP GW P-t-P] 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map SEDE
pvc 8/35
encapsulation aal5snap
!
ip route 0.0.0.0 0.0.0.0 [IP GW P-t-P .254 finale]
!
ip nat inside source list 100 interface Loopback0 overload
ip nat inside source static tcp 192.168.1.2 3389 interface Loopback0 3389
!
access-list 23 permit xx.xx.xx.xx
access-list 23 permit yy.yy.yy.yy
access-list 23 remark ***Teleassistenza***
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 80 permit xx.xx.xx.xx
access-list 80 remark ***SDM***
access-list 80 permit yy.yy.yy.yy
access-list 100 remark ***NAT***
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 150 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255

#sh crypto session detail
Interface: Loopback0
Session status: DOWN
Peer: 22.22.22.22 port 500 fvrf: (none) ivrf: (none)
Desc: (none)
Phase1_id: (none)
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

ROUTER B
ip cef
ip domain name xxxxxxxxxxxxxx
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key key address 11.11.11.11 no-xauth
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map REMOTO local-address ATM0.1
crypto map REMOTO 10 ipsec-isakmp
set peer 11.11.11.11
set transform-set VPN-SET
match address 150
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 22.22.22.22 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map REMOTO
pvc 8/35
encapsulation aal5snap
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source list 100 interface ATM0.1 overload
ip nat inside source static tcp 192.168.0.100 1433 interface ATM0.1 1433
ip nat inside source static tcp 192.168.0.100 80 interface ATM0.1 80
ip nat inside source static tcp 192.168.0.3 3389 interface ATM0.1 3389
ip nat inside source static tcp 192.168.0.100 3390 interface ATM0.1 3390
!
access-list 23 remark ***TELNET***
access-list 23 permit xx.xx.xx.xx
access-list 23 permit yy.yy.yy.yy
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 80 remark ***SDM***
access-list 80 permit xx.xx.xx.xx
access-list 80 permit yy.yy.yy.yy
access-list 80 permit 192.168.0.0 0.0.0.255
access-list 100 remark ***NAT***
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 150 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

##sh crypto session detail
Interface: ATM0.1
Session status: DOWN
Peer: 11.11.11.11 port 500 fvrf: (none) ivrf: (none)
Desc: (none)
Phase1_id: (none)
IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

[Wizard]

Cioè, navigano entrambi i router ma non funziona la vpn, giusto?
Fai un ping da un pc vesro un altro pc della altra rete poi dai il comando:

sh cry isakmp sa

e postalo

Poi mi sa che dobbiamo debuggare...

debug crypro isakmp
debug crypro ipsec
ter mon

[zot]

Interface: Loopback0
Session status: UP-IDLE
Peer: xx.xx.xx.xx port 500 fvrf: (none) ivrf: (none)
Phase1_id: 82.107.93.62
Desc: (none)
IKE SA: local yy.yy.yy.yy/500 remote x.xx.xx.xx/500 Active
Capabilities:(none) connid:1 lifetime:15:52:21
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 17 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

ci-team-te#sh cry isakmp sa
dst src state conn-id slot status
yy.yy.yy.yy xx.xx.xx.xx QM_IDLE 1 0 ACTIVE

Inspiegabilmente ora entrambi i router danno questo!!
Premettendo che nessuno li ha modificati ....che cavolo seccede??!!!
Cmq non si pingano.

[zot]

ORA FUNZIONA !!
Penso di aver imparato un paio di cosette (oltra che a creare una VPN!! ): il tunnel a venire su ci impiega tempo diciamo almeno 3/4 min.......
Il ping non funziona,non posso pingare nulla,perchè?
La prova che la VPN funziona l'ho avuta collegandomi in Desktop remoto a un pc che sta nella sede B e telnettando il ruoter A sulla sua interfaccia Ethernet.
Domani farò prove più serie in loco.

Non posso che ringraziare Wizard..un vero eroe dalla pazienza titanica!!
Ti devo un fusto di birra...scegli tu la marca!

Adesso è tempo di ACL!!!

[zot]

Tanto per completezza ed approfondimento...mi sono andato a riguardare le varie runnin config salvate nel tempo sui due router.
Le ultime in ordine di tempo pensavo fossero quelle con su tutto il necessario per la VPN ma che non ne voleva sapere di andare....
Invece non era così,ho visto che l'ultima modifica fatta è stata quella di togliere da uno dei due router(nell'altro già non c'era) ip access-group 120 in sulla ethertnet0 e ip access-group 130 in sull' ATM0.1.
Premetto che le ACL 120 e 130 non c'erano sul router e le righe access-group xx erano un residuo della vecchia configurazione dove c'erano ACL che governavano il traffico IN e OUT.Può essere che il router anche non avendo quelle ACL bloccava il tunnel VPN??

Visto che ci siamo,sempre in tema ACL a cosa devo stare attento per far passare il tunnel?Certo una soluzione sarebbe nell'interfaccia nat outside access-list xxx permit ip host [IP pubblico del peer] any ma se c'è qualcosa di più elegante??

[[email protected]]

Tanto per completezza ed approfondimento...mi sono andato a riguardare le varie runnin config salvate nel tempo sui due router.
Le ultime in ordine di tempo pensavo fossero quelle con su tutto il necessario per la VPN ma che non ne voleva sapere di andare....
Invece non era così,ho visto che l'ultima modifica fatta è stata quella di togliere da uno dei due router(nell'altro già non c'era) ip access-group 120 in sulla ethertnet0 e ip access-group 130 in sull' ATM0.1.
Premetto che le ACL 120 e 130 non c'erano sul router e le righe access-group xx erano un residuo della vecchia configurazione dove c'erano ACL che governavano il traffico IN e OUT.Può essere che il router anche non avendo quelle ACL bloccava il tunnel VPN??

Visto che ci siamo,sempre in tema ACL a cosa devo stare attento per far passare il tunnel?Certo una soluzione sarebbe nell'interfaccia nat outside access-list xxx permit ip host [IP pubblico del peer] any ma se c'è qualcosa di più elegante??

Ciao, quindi hai risolto praticamente togliendo le regole di firewall dalle interfaccie???
Ma se le togli, il router è attaccabile?
Io sto cercando anche io di fare una VPN (vedi http://www.ciscoforums.it/viewtopic.php?t=4129) e da me i llink va in ACTIVE, ma non riesco a pingare da un pc all'altro...non so + cosa fare...

[Wizard]

Per le acl e le vpn dipende dalla vrsione di ios dei router:

A partire dalla 12.3(8 )T, è cambiata la gestione della ACL per il traffico in chiaro entrante o uscente da una crypto map IPSEC.
In pratica il traffico in chiaro non viene più sottoposto ad una verifica da parte delle ACL d'interfaccia su cui è applicata la crypto map, un po come succede per i PIX con il sysopt connection permit-ipsec, quindi non è più necessario specificare il traffico in questione nella ACL. (cosa che era una bella rottura...)
Nel caso si voglia comunque verificare il traffico in chiaro, per limitarlo in entrata o in uscita da una VPN, è possibile attivare un ACL all'interno della crypto map con il comando:

set ip access-group {access-list-number |access-list-name}{in | out}

Qui trovate maggiori dettagli:
http://www.cisco.com/en/US/partner/prod ... 55af2.html

[[email protected]]

Nel caso si voglia comunque verificare il traffico in chiaro, per limitarlo in entrata o in uscita da una VPN, è possibile attivare un ACL all'interno della crypto map con il comando:

set ip access-group {access-list-number |access-list-name}{in | out}

Qui trovate maggiori dettagli:
http://www.cisco.com/en/US/partner/prod ... 55af2.html

Richiede utente e password il link...

Allora mi stai dicendo che posso tranquillamente togliere tutto e lasciare le solo le acl per il nat de-nat

[Wizard]

Frena...
Se la vpn è risolta ora si deve procedere per il firewall.
Di base ti consiglio di fare così:

- configurazione ip inspect su tcp e udp (se non pubblichi nulla)
- configurazione acl da aplicare alla atm0.1 in entrata