Pagina 1 di 2

Easy VPN - ASA 5510 e Router 877

Inviato: lun 12 gen , 2009 9:31 pm
da levis
Salve a tutti,
devo creare una vpn tra una sede remota e la sede centrale con la tecnologia easy vpn.
Qualcuno ha la configurazione degli apparati in oggetto che svolgano tale compito?

Grazie,
levis

Inviato: mar 13 gen , 2009 10:55 am
da Wizard
Hai ip statici da entrambe le parti o da una parte hai un IP dinamico?

Inviato: mar 13 gen , 2009 12:17 pm
da levis
Ciao,
nella sede principale l'IP e' statico, nella sede remota l'IP e' dinamico.

Grazie.
Levis

Inviato: mar 13 gen , 2009 3:34 pm
da levis
Questa e' la configurazione che ho tirato fuori e devo ancora testarla.
Un dubbio immediato e' come gestire la riga

xauth userid mode interactive

creata automaticamente dall'IOS sul router.

Ringrazio anticipatamente x i suggerimenti sulla configurazione.

SEDE CENTRALE

access-list no-nat extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list ezvpn1 extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1

crypto ipsec transform-set PrimoSet esp-3des esp-md5-hmac
crypto dynamic-map Primo_DYN-MAP 5 set transform-set PrimoSet
crypto dynamic-map Primo_DYN-MAP 5 set security-association lifetime seconds 28800
crypto dynamic-map Primo_DYN-MAP 5 set security-association lifetime kilobytes 4608000
crypto map myMAP 60 ipsec-isakmp dynamic Primo_DYN-MAP
crypto map myMAP interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400


group-policy Gruppo1 internal
group-policy Gruppo1 attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ezvpn1
nem enable
tunnel-group DefaultGroup type ipsec-l2l
tunnel-group DefaultGroup general-attributes
default-group-policy Gruppo1
tunnel-group DefaultGroup ipsec-attributes
pre-shared-key *




SEDE REMOTA


crypto ipsec client ezvpn ASA
connect auto
group DefaultGroup key ******
mode network-extension
peer XXX.XX.XX.XX
xauth userid mode interactive


interface Dialer0
crypto ipsec client ezvpn ASA


ip nat inside source route-map EzVPN1 interface Dialer0 overload
!
access-list 103 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 103 permit ip 192.168.1.0 0.0.0.255 any



route-map EzVPN1 permit 1
match ip address 103

Inviato: mar 13 gen , 2009 4:19 pm
da Wizard
In sostanza la logica è questa:

- lato ip statico:

configuri la vpn mettendo come remote host 0.0.0.0

- lato ip dinamico:

configuri la vpn mettendo come remote host l'ip statico del altro fw

Inviato: mar 13 gen , 2009 5:04 pm
da levis
Ciao,

scusa ma non so come devo fare.
Puoi modificare cortesemente la configurazione postata con la tua indicazione?

Grazie,
Levis


P.S.: devo aggiungere nella sede centrale questa riga?
crypto map myMAP 60 set peer 0.0.0.0

Nella sede remota la riga che indica il peer c'e' gia'.

E' corretto?

Inviato: mer 14 gen , 2009 4:16 pm
da Wizard
P.S.: devo aggiungere nella sede centrale questa riga?
crypto map myMAP 60 set peer 0.0.0.0
In sostanza si

Inviato: mer 14 gen , 2009 6:22 pm
da levis
Ciao e grazie.

Ma come devo gestire la riga

xauth userid mode interactive

creata automaticamente dall'IOS sul router?

Grazie,
Levis

Inviato: gio 15 gen , 2009 12:14 pm
da Wizard
Automaticamente dal pdm?
Cmq mi sa che nn centra nulla, puoi anche levarlo quel comando x quanto riguarda la vpn

Inviato: gio 15 gen , 2009 4:29 pm
da levis
non uso pdm o altri tool.

E' creato sul 877 automaticaente dall'IOS quando immetto i comandi
crypto ipsec client ezvpn ASA
connect auto
group ****** key ******
mode network-extension
peer XXX.XX.XX.XX

Inviato: gio 15 gen , 2009 4:39 pm
da Wizard
Prova a configurare allo stesso modo da entrambe le parti solo che sun un apparato metti l'ip statico remoto e sul altro 0.0.0.0.
Quindi sintassi x la vpn l2l non easy vpn

Inviato: gio 15 gen , 2009 5:03 pm
da levis
ok,
allora mi consigli di lasciare stare la tecnologia easy vpn.
Modifico lo script x la vpn l2l con crypto map dynamic non avendo un peer
con ip dinamico e provo a vedere se tutto funziona.

Dovro' poi estendere la configurazione a 10 sedi (spokes).
A tal fine devo aggiungere righe di access list x nat0, aggiungere righe di tunnel-group e crypto map per ogni sede, giusto?


Grazie in anticipo.
Levis.

Inviato: ven 16 gen , 2009 10:30 am
da Wizard
A tal fine devo aggiungere righe di access list x nat0, aggiungere righe di tunnel-group e crypto map per ogni sede, giusto?
Certo come una vpn l2l normale
Volendo, si potrebbe fare qualcosa x sfruttare un dyndns...

Inviato: ven 16 gen , 2009 11:01 am
da levis
Ciao e grazie.
Stavo pensando, invece di creare nell'hub una crypto map per ogni sede, posso crearne solo una e aggiungere solo la riga che mi indichi il peer (spoke)?
Grazie.
Levis

Inviato: ven 16 gen , 2009 11:22 am
da Wizard
Stavo pensando, invece di creare nell'hub una crypto map per ogni sede, posso crearne solo una e aggiungere solo la riga che mi indichi il peer (spoke)?
Certo, devi fare così!
Anche se la parte della crypto acl e nat0 la devi cmq sempre mettere