VPN un pò di teria e di pratica...chi mi aiuta?

[zot]

Si avevo visto il tuo post (e ci ho pure postato)anch'io altro ad una VPN site-to-site debbo crearne una per i CLient VPN......
o ho tolto tutte le ACL proprio per evitare che potessero interferire con la creazione della VPN ...è ovvio che ora ce le dovrò rimettere.
Come dicevo sopra anch'io non riesco a pingare però,sembrerebbe,che funzioni.L'unica spiegazione è che di default i ping siano bloccati sulla VPN.. certo è che mi piacerebbe capire il perchè.
Ti consiglio di fare come ho fatto io : riparti da zero e ti tiri su la VPN , poi pian pianino rimetti ACL e il resto.

[zot]

Confermo che la VPN funziona e che il ping NON FUNZIONA!!E' evidente che è bloccato da qualche parte.

[zot]

Belligerante sul fronte ACL mi sono detto "è ora di darci un'occhiata",mi connetto ad un router...e,giusto per il gusto di vederlo su,do un sh crypto sess det e.....è DOWN!!!!!!Mi prende il panico,ricontrollo tutto due volte...poi mi viene in mente una cosa...proviamo cmq a collegarci da un router all'altro e con l'indirizzo Eth...puf mi si collega in un lampo!!!rifaccio sh crypto sess det ed è UP!!!
Scusate l'ignoranza ma la VPN è normale che vada su solo quando c'è traffico??!!

[[email protected]]

Si avevo visto il tuo post (e ci ho pure postato)anch'io altro ad una VPN site-to-site debbo crearne una per i CLient VPN......
o ho tolto tutte le ACL proprio per evitare che potessero interferire con la creazione della VPN ...è ovvio che ora ce le dovrò rimettere.
Come dicevo sopra anch'io non riesco a pingare però,sembrerebbe,che funzioni.L'unica spiegazione è che di default i ping siano bloccati sulla VPN.. certo è che mi piacerebbe capire il perchè.
Ti consiglio di fare come ho fatto io : riparti da zero e ti tiri su la VPN , poi pian pianino rimetti ACL e il resto.

Scusa, mi fai un favore???

Non è che mi posti la tua conf?
Io non ho ip fissi e uso la dialer 0, ma so cmq gli ip in quel momento dei 2 router...
Vediamo

[zot]

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname se-team-te
!
boot-start-marker
boot-end-marker
!
enable secret xxxxxxxxxxxxxx
enable password xxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy

!
ip cef
ip domain name xxxxxxxxxxxxxxxxx
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username xxxxxxxx privilege 15 password xxxxxxxxxxxxxxxxxxxx
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key chiave address 11.11.11.11 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map VPN local-address ATM0.1
crypto map VPN 10 ipsec-isakmp
set peer 11.11.11.11
set transform-set VPN-SET
match address 150
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 22.22.22.22 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map VPN
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 80
no ip http secure-server
!
ip nat inside source list 100 interface ATM0.1 overload
i
access-list 23 remark ***TELNET***
access-list 23 permit xx.xx.xx.xx
access-list 23 permit xx.xx.xx.xx
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 80 remark ***SDM***
access-list 80 permit xx.xx.xx.xx
access-list 80 permit xx.xx.xx.xx.
access-list 80 permit 192.168.0.0 0.0.0.255
access-list 100 remark ***NAT***
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 150 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
!
control-plane
!
banner login ^CC
****************************************************************
ATTENZIONE:
Ogni accesso non autorizzato e' proibito.
Ogni tentativo di accedere viene controllato e registrato.
Chiunque tenti di immettersi nel sistema verra' perseguito
a norma di legge.



Unauthorized access is prohibited.

****************************************************************
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
login local
transport input telnet
!
scheduler max-task-time 5000

Scusa ma sei sicuro che ti convenga fare la vpn con due indirizzi IP dinamici??Poi ogni volta che fai,cambi gli indirizzi?
Cmq l'unica cosa che cambia è che la cpypto map la devi mettere sul Dia0 ovvero sull'interfaccia che fa nat outside e il nat overload lo devi mettere sempre sul dia0
Cerchiamo comq di tenere il post sullla teoria in modo da fornire un aiuto generico a chi volesse mettere su una VPN site-to-site

[[email protected]]

Scusa ma sei sicuro che ti convenga fare la vpn con due indirizzi IP dinamici??Poi ogni volta che fai,cambi gli indirizzi?
Cmq l'unica cosa che cambia è che la cpypto map la devi mettere sul Dia0 ovvero sull'interfaccia che fa nat outside e il nat overload lo devi mettere sempre sul dia0
Cerchiamo comq di tenere il post sullla teoria in modo da fornire un aiuto generico a chi volesse mettere su una VPN site-to-site

Ciao....
per ora ho 2 ip dinamici, ma a breve li avro' fissi..per ora è solo per fare dei test...
l'unica cosa diversa dalla tua è che i ouso aaa-new-model...
Sinceramente non mi va neanche+ su...mah..
Va a finire che rifaccio tutto da 0...
Io dovro' poi anche inserire in questa conf anche quella relativa alla connessione per un vpn client, che ora ce l'ho e funziona, ma pio vedremo.

INtanto Grazie

[zot]

Magari ti do una mano per la l2l e tu per Easy server visto che praticamente dobbiamo pare la stessa cosa...uniamo gli sforzi.
Cmq se hai letto bene quello che ho scritto : NEANCHE A ME ANDAVA SU IL TUNNEL CON IL PING,HO DOVUTO FARE ALTRO TRAFFICO tipo desktop remoto hai provato??

PS postami la tua conf con il VPN client (easy server)

[[email protected]]

Magari ti do una mano per la l2l e tu per Easy server visto che praticamente dobbiamo pare la stessa cosa...uniamo gli sforzi.
Cmq se hai letto bene quello che ho scritto : NEANCHE A ME ANDAVA SU IL TUNNEL CON IL PING,HO DOVUTO FARE ALTRO TRAFFICO tipo desktop remoto hai provato??

PS postami la tua conf con il VPN client (easy server)

OK...
Si ho provato a connettermi con il remote desktop, ma il tunnel non va + su...
Nei log mi dice MM_NOSTATE...

Percaso hai un contatto in messenger? Se ti va possiamo sentirci anche li...
Mandami casomai una e-mail.
Ciao

[Wizard]

Ogni 8 ore la vpn fa il rekey e se non c'è traffico la vpn va giù. Per ritirarla su in teoria un ping basta!

[zot]

Ok ma io ho notato
1)al ping nesuna macchina risponde
2)il ping cmq non mi tira su la vpn(non ne sono sicurissimo farò prove serie in tal senso)
Premetto che ho IOSv 12.4.5b e nessuna ACL applicata se non al Nat e al crypto nat.

PS per mario , messenger :mi organizzo e magari ci sentiamo

[Wizard]

Il ping di solito la tira su una vpn il tuo problema è che il ping non va e quindi non può tirare su la vpn...

[[email protected]]

Il ping di solito la tira su una vpn il tuo problema è che il ping non va e quindi non può tirare su la vpn...

Finalmente sono riuscito a fare questa benedetta vpn e funziona...
Per farla funzionare pero' ho dovuto aggiungere all'access-list della dialer 0 queste 2 righe:

permit esp any any
permit udp any any eq isakmp any

Quindi l'access-list funzionante è la seguente:

10 permit udp host 62.152.126.5 eq ntp any eq ntp
20 permit udp host 198.41.0.4 eq domain any
30 permit udp host 85.37.17.47 eq domain any
40 permit udp host 151.99.125.3 eq domain any
50 permit tcp host 63.208.196.95 eq www any
60 permit icmp any any echo-reply
70 permit icmp any any time-exceeded
80 permit icmp any any unreachable
90 permit tcp host 89.186.39.1 any eq 3389
100 permit tcp any any eq 7954
110 permit udp any any eq 23580
120 permit udp any any eq 4673
130 permit tcp any any eq 6881
140 permit udp any any eq 6881
150 permit udp any any eq 6882
160 permit tcp any any eq 4662
170 permit tcp any any eq 6882
180 permit tcp any any eq 7960
190 permit udp any any eq 7963
200 permit udp any any eq 23551
210 permit udp any any eq 5060
230 permit udp any any eq isakmp
240 permit udp any any eq non500-isakmp
250 permit esp any any
260 permit udp any eq isakmp any
270 deny ip 10.0.0.0 0.255.255.255 any
280 deny ip 172.16.0.0 0.15.255.255 any
290 deny ip 192.168.0.0 0.0.255.255 any
300 deny ip 127.0.0.0 0.255.255.255 any
310 deny ip host 255.255.255.255 any
320 deny ip host 0.0.0.0 any
330 deny ip any any

UN SUPER RINGRAZIAMENTO VA A WIZARD..
Grazie anche a ZOT.

Ciao

[zot]

Quindi adesso hai una l2l e un easy vpn server funzionanti??
Mi posteresti la conf ..... vedo che hai un macello di ACL e mo tocca pure a me...

[[email protected]]

Quindi adesso hai una l2l e un easy vpn server funzionanti??
Mi posteresti la conf ..... vedo che hai un macello di ACL e mo tocca pure a me...

Ecco qua...
Ho dovuto mettere 2 crypto isakmp policy, e 2 transform-se4t ..1 con 3des e una senza..probabilemetne vanno anche solo con il des (da considerare che la l2l con il 3des-md5 non mi andava su...(MM_NOSTATE), mentre con des-md5 va su..
Come client vpn uso il Cisco VPN Client e configuro il gruppo con la password del gruppo...non so se va bene (magari gli esperti possono confermare), ma a me funziona...





version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router_Casa
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
no logging monitor
enable secret 5 xx
enable password 7 xx
!
aaa new-model
!
!
aaa authentication login LISTA-UTENTI-VPN local
aaa authorization network GRUPPO-UTENTI-VPN local
!
!
aaa session-id common
clock timezone SOLARE 1
clock summer-time LEGALE recurring last Sat Mar 2:00 last Sat Oct 3:00
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.xx.1 192.168.xx.9
!
ip dhcp pool casa
import all
network 192.168.x.0 255.255.255.0
update dns
default-router 192.168.x.1
dns-server 85.37.17.47
!
!
ip dhcp update dns both
ip cef
ip name-server 85.37.17.47
ip name-server 151.99.125.3
ip inspect name LOW icmp
ip inspect name LOW tcp
ip inspect name LOW udp
ip ssh time-out 15
ip ssh version 2

multilink bundle-name authenticated
!
!
username xxx privilege 15 password 7 yyy
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passadm address xx.xx.xx.xx no-xauth
crypto isakmp client configuration address-pool local VPN-CLIENT-POOL
!
crypto isakmp client configuration group GRUPPO-UTENTI-VPN
key yyyy
pool VPN-CLIENT-POOL
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
!
crypto dynamic-map VPNDYNAMIC 10
set transform-set ESP-3DES-MD5
!
!
crypto map VPN client authentication list LISTA-UTENTI-VPN
crypto map VPN isakmp authorization list GRUPPO-UTENTI-VPN
crypto map VPN client configuration address respond
crypto map VPN 1 ipsec-isakmp
set peer xx.xx.xx.xx
set transform-set ESP-DES-MD5
match address 150
crypto map VPN 10 ipsec-isakmp dynamic VPNDYNAMIC
!
!
!
!
interface Ethernet0
ip address 192.168.xx.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip access-group 101 in
ip nat outside
ip inspect LOW out
ip virtual-reassembly
encapsulation ppp
load-interval 30
dialer pool 1
ppp chap hostname xxx
ppp chap password 7 yyy
ppp pap sent-username xxx password 7 yyy
crypto map VPN

ip local pool VPN-CLIENT-POOL 172.18.10.10 172.18.10.50
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat inside source list 140 interface Dialer0 overload

!
logging trap debugging
logging facility local6

access-list 1 remark PERMESSI PER IL TELNET
access-list 1 permit 192.168.xx.0 0.0.0.255
access-list 1 permit 172.18.10.0 0.0.0.255
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit udp host 62.152.126.5 eq ntp any eq ntp
access-list 101 permit udp host 198.41.0.4 eq domain any
access-list 101 permit udp host 85.37.17.47 eq domain any
access-list 101 permit udp host 151.99.125.3 eq domain any
access-list 101 permit tcp host 63.208.196.95 eq www any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit gre any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit esp any any
access-list 101 permit udp any eq isakmp any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 140 deny ip 192.168.xx.0 0.0.0.255 192.168.yy.0 0.0.0.255
access-list 140 deny ip 192.168.xx.0 0.0.0.255 172.18.10.0 0.0.0.255
access-list 140 permit ip 192.168.xx.0 0.0.0.255 any
access-list 150 permit ip 192.168.xx.0 0.0.0.255 192.168.yy.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 0 0
password 7 yyy
no modem enable
stopbits 1
speed 115200
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 40 0
privilege level 15
password 7 yyy
transport preferred ssh
transport input all
!
scheduler max-task-time 5000
sntp server 62.152.126.5
end

[[email protected]]

Riapro il messaggio...

Ho tentato di fare la VPN su un router 837 in cui ho una Smart 5 e ip fisso..

Ho quindi dato queste regole:

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xx.xx.xx.xx 255.255.255.0
ip access-group 101 in
ip nat outside
ip inspect LOW out
ip virtual-reassembly
no snmp trap link-status
crypto map VPN
pvc 8/35
encapsulation aal5snap
!


Quando inserisco appunto il comando crypto map VPN, nel log mi dice che la CRYPTO è ancora a OFF (e non va a ON).
Per quanto riguarda la configurazione, è praticamente la stessa riportato nel mio tyopic precedente...cambiano ovviamente gli ip e cambia il fatto che non ho messo la interface Dialer 0.

Suggerimenti?