VPN un pò di teria e di pratica...chi mi aiuta?
Moderatore: Federico.Lagni
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Così al volo.... la crypto map mettila sull'intrfaccia che ha l'indirizzo IP pubblico...da come si vede quello sull'ATM0.1 è il punto-punto e,da quello che so ora la telecom non gli fa fare traffico.Non so per i vecchi contratti.
-
[email protected]
- Cisco power user
- Messaggi: 83
- Iscritto il: mar 20 giu , 2006 9:37 am
Come non gli fa fare traffico...vuol dire che non posso fare Vpn?..zot ha scritto:Così al volo.... la crypto map mettila sull'intrfaccia che ha l'indirizzo IP pubblico...da come si vede quello sull'ATM0.1 è il punto-punto e,da quello che so ora la telecom non gli fa fare traffico.Non so per i vecchi contratti.
Se è cosi' cambio subito e vado su Aruba...!!!!
Che tu sappia...Aruba con Ip fisso fa fare traffico vero?
Al limite se cambio tipo di contratto, quale posso fare?
Grazie
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
I nuovi contratti Multigroup sicuro non fanno fare traffico sul punto punto..per i vecchi non so.
Cmq basta configurare il tutto e si riesce cmq a fre tutto.Io la VPN l'ho fatta da una multigroupo con gw p-p bloccato
Cmq posta tutta la conf.
Cmq basta configurare il tutto e si riesce cmq a fre tutto.Io la VPN l'ho fatta da una multigroupo con gw p-p bloccato
Cmq posta tutta la conf.
-
[email protected]
- Cisco power user
- Messaggi: 83
- Iscritto il: mar 20 giu , 2006 9:37 am
Allora, io ho una linea smart 5 con ip pubblico..zot ha scritto:I nuovi contratti Multigroup sicuro non fanno fare traffico sul punto punto..per i vecchi non so.
Cmq basta configurare il tutto e si riesce cmq a fre tutto.Io la VPN l'ho fatta da una multigroupo con gw p-p bloccato
Cmq posta tutta la conf.
Ora non ho capito bene se ip pubblico lo devo mettere sulla ATM0.1 o sulla ATM o sulla Dialer...(sono andato a caso e mettendo su atm0.1 navigo su internet )..
Ecco la conf
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname capuccina
!
boot-start-marker
boot-end-marker
!
no logging console
no logging monitor
enable secret 5 xx
enable password 7 xxx
!
aaa new-model
!
!
aaa authentication login LISTA-UTENTI-VPN local
aaa authorization network GRUPPO-UTENTI-VPN local
!
!
aaa session-id common
clock timezone SOLARE 1
clock summer-time LEGALE recurring last Sat Mar 2:00 last Sat Oct 3:00
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.xx.1 192.168.xx.19
ip dhcp excluded-address 192.168.200.1 192.168.200.10
!
ip dhcp pool pool
import all
network 192.168.xx.0 255.255.255.0
update dns
default-router 192.168.xx.1
dns-server 85.37.17.47
!
ip dhcp pool DMZ
import all
network 192.168.200.0 255.255.255.0
update dns
default-router 192.168.200.1
dns-server 85.37.17.47
!
!
ip dhcp update dns both
ip cef
ip domain name xxx
ip name-server 85.37.17.47
ip name-server 151.99.125.3
ip inspect name LOW icmp
ip inspect name LOW tcp
ip inspect name LOW udp
ip ssh version 2
!
multilink bundle-name authenticated
!
!
username xxx privilege 15 password 7 xxx
!
!
no crypto isakmp enable
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 5
encr 3des
authentication pre-share
group 2
crypto isakmp key passadm address yy.yy.yy.yy no-xauth
crypto isakmp client configuration address-pool local VPN-CLIENT-POOL
!
crypto isakmp client configuration group GRUPPO-UTENTI-VPN
key xxxxxxx
pool VPN-CLIENT-POOL
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
!
crypto dynamic-map VPNDINAMICA 10
set transform-set ESP-3DES-MD5
!
!
crypto map VPN client authentication list LISTA-UTENTI-VPN
crypto map VPN isakmp authorization list GRUPPO-UTENTI-VPN
crypto map VPN client configuration address respond
crypto map VPN 1 ipsec-isakmp
set peer yy.yy.yy.yy
set transform-set ESP-DES-MD5
match address 120
crypto map VPN 10 ipsec-isakmp dynamic VPNDINAMICA
!
interface Ethernet0
ip address 192.168.xx.1 255.255.255.0
ip access-group OUTSIDE in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
ip address pool DMZ
ip access-group DMZ in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point (forse non devo mettere point to point ma multipoint?)
ip address xx.xx.xx.xx 255.255.255.0
ip access-group TOINSIDE in
ip nat outside
ip inspect LOW out
ip virtual-reassembly
no snmp trap link-status
crypto map VPN
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip local pool VPN-CLIENT-POOL 172.15.10.10 172.15.10.30
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat inside source route-map nonat interface ATM0.1 overload
!
!
ip access-list extended DMZ
deny ip 192.168.200.0 0.0.0.255 192.168.xx.0 0.0.0.255
permit tcp any any eq www log
permit ip any any
ip access-list extended OUTSIDE
deny ip host 255.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit ip any any
ip access-list extended TOINSIDE
permit udp host 62.152.126.5 eq ntp any eq ntp
permit udp host 85.37.17.47 eq domain any
permit udp host 151.99.125.3 eq domain any
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any unreachable
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit udp any eq isakmp any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 255.255.255.255 any
deny ip host 0.0.0.0 any
deny ip any any
logging trap debugging
logging facility local6
access-list 1 remark PERMESSI PER IL TELNET
access-list 1 permit 192.168.xx.0 0.0.0.255
access-list 1 permit 172.15.10.0 0.0.0.255 log
access-list 120 permit ip 192.168.xx.0 0.0.0.255 192.168.yy.0 0.0.0.255
access-list 140 deny ip host 255.255.255.255 any
access-list 140 deny ip 127.0.0.0 0.255.255.255 any
access-list 140 deny ip 192.168.xx.0 0.0.0.255 172.15.10.0 0.0.0.255
access-list 140 deny ip 192.168.xx.0 0.0.0.255 192.168.yy.0 0.0.0.255
access-list 140 permit ip 192.168.200.0 0.0.0.255 any
access-list 140 permit ip 192.168.xx.0 0.0.0.255 any
no cdp run
route-map nonat permit 10
match ip address 140
!
!
control-plane
!
!
line con 0
password 7 xxx
no modem enable
transport output all
stopbits 1
speed 115200
line aux 0
transport output all
line vty 0 4
access-class 1 in
exec-timeout 40 0
privilege level 15
password 7 xxx
transport preferred ssh
transport input ssh
transport output all
!
scheduler max-task-time 5000
sntp server 62.152.126.5
end
-
[email protected]
- Cisco power user
- Messaggi: 83
- Iscritto il: mar 20 giu , 2006 9:37 am
Forse ho fatto 2 errori:
1 Errore: no crypto isakmp enable
2 Errore Interface ATM0.1 point to point (va messa su mutipoint vero?
Fatemi sapere
grazie
1 Errore: no crypto isakmp enable
2 Errore Interface ATM0.1 point to point (va messa su mutipoint vero?
Fatemi sapere
grazie
-
[email protected]
- Cisco power user
- Messaggi: 83
- Iscritto il: mar 20 giu , 2006 9:37 am
Risolto!!![email protected] ha scritto:Forse ho fatto 2 errori:
1 Errore: no crypto isakmp enable
2 Errore Interface ATM0.1 point to point (va messa su mutipoint vero?
Fatemi sapere
grazie
era no crypto isakmp enable
Ciao e grazie a tutti
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Arieccomi,mi fa piacere che hai risolto....mo tocca a me coi VPN client
L'ATM0.1 va point to point
L'ATM0.1 va point to point
-
[email protected]
- Cisco power user
- Messaggi: 83
- Iscritto il: mar 20 giu , 2006 9:37 am
Ciao, allora hai provato a fare la confgurazione che ho io?..zot ha scritto:Arieccomi,mi fa piacere che hai risolto....mo tocca a me coi VPN client
L'ATM0.1 va point to point
La mia funziona con il GRUPPO e nel Cisco VPN Client metto il grupo che ho creato e la password del gruppo.
Attiva Messenger che magari ci sentiamo meglio...poi qui nel forum mettiamo le soluzioni..
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Scusami ma è un periodo massacrante....mi apro subito un account messenger...magari in MP mandami il tuo...
Stasera ho il corso per CCNA fino alle 23:00 se non sono morto,appena torno a casa mi faccio sentire...che alla fine ci potrebbe uscire pure una mezza guida no.....?
Stasera ho il corso per CCNA fino alle 23:00 se non sono morto,appena torno a casa mi faccio sentire...che alla fine ci potrebbe uscire pure una mezza guida no.....?
-
[email protected]
- Cisco power user
- Messaggi: 83
- Iscritto il: mar 20 giu , 2006 9:37 am
Ciao, anche io ho avuto un po' di problemini...zot ha scritto:Scusami ma è un periodo massacrante....mi apro subito un account messenger...magari in MP mandami il tuo...
Stasera ho il corso per CCNA fino alle 23:00 se non sono morto,appena torno a casa mi faccio sentire...che alla fine ci potrebbe uscire pure una mezza guida no.....?
cmq il mio account msn è [email protected]
