Aiuto VPN Server su C837

[m0m0_78]

Buongiorno a tutti..

Spero qualcuno mi possa dare qualche dritta perchè a spizzichi e bocconi, sono ormai 3 giorni che divento matto per configurare un easy server vpn per accedere da client. (windows o client cisco che sia... meglio se ci riesco con client windows)

Cerco di postare tutte le informazioni a rigurado, poi se potete dare un occhiata...
Ho provato sia con SDM che con la procedura di Wizard.. ma il risultato è lostesso e non capisco dove sbaglio.

Allora la mia rete è 192.168.1.0;
Il router è un 857 con IOS 12.3T;
Ho qualche porta accessibile dall' esterno per servizi vari su di un pc della rete;
Le prove le ho fatte cercando di connettermi da un' altra LAN che ha rete 192.168.0.0, ed è dietro ad un router che non ha porte aperte, ma nemmeno un firewall attivo.

Quando ho tentato la connessione con client windws XP, mi da un messaggio che è necessario un certificato.. alchè ho impostato la parola chiave ( la stessa che ho configurato sotto crypto isakmp client configuration group remote-vpn) sotto impostazioni IPSEC, e quanto tento di connettermi così, praticamente mi va in timeout e mi dà un errore di negoziazione nelle fasi iniziali...(messaggio di windows)

Con il client cisco invece, mi va in timeout e mi dice che la connessione è stata chiusa dal client (cioè io) perchè il server non ha risposto...

Poi mi chiedevo.. ma dove la devo indicare la key nel client cisco, che mi da solo da configurare un certificato?... e se io non voglio utilizzare un certificato?

Se non ho capito male la pre-shared key dovrebbe essere un alternativa al certificato no?

In fine posto la mia config.....




Current configuration : 4603 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
logging exception 100000
logging count
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 $1$eY7K$LgEL1W10.T5VnQVOvIn/e1
!
username **** password 7 094D4C0C0B0C1411025B5C
username **** password 7 020B05550E155879
no aaa new-model
ip subnet-zero
no ip source-route
!
!
!
!
ip name-server 88.149.128.12
ip name-server 88.149.128.22
ip inspect log drop-pkt
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 10
crypto isakmp nat keepalive 20
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group remote-vpn
key (mia key alfanumerica di 8 caratteri)
domain prova.local
pool remote-pool
acl 158
save-password
split-dns prova.local
max-users 10
max-logins 10
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
!
!
crypto map remotemap local-address Dialer0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 65535 ipsec-isakmp dynamic remote-dyn
!
!
!
interface Ethernet0
description $ETH-LAN$
ip address 192.168.1.253 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp pap sent-username ******** password 7 06500C301A175C4004
crypto map remotemap
!
ip local pool remote-pool 192.168.100.0 192.168.100.100
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.100.0 255.255.255.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.254 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.254 5969 interface Dialer0 5969
ip nat inside source static tcp 192.168.1.254 6881 interface Dialer0 6881
ip nat inside source static udp 192.168.1.254 4444 interface Dialer0 4444
ip nat inside source static udp 192.168.1.254 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.254 4711 interface Dialer0 4711
ip nat inside source static tcp 192.168.1.254 4662 interface Dialer0 4662
!
!
logging history notifications
no logging trap
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 remark *** ACL PER PAT ***
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 158 remark *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 158 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
banner motd ^C
--------------------------------------------------------------
System is RESTRICTED to authorized personnel ONLY
Unauthorized use of this system will be logged and prosecuted
to the fullest extent of the law.
If you are NOT authorized to use this system, LOG OFF NOW
--------------------------------------------------------------
^C
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input telnet
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end



Grazie anticipatamente..

[Wizard]

Mi sa che hai una enorme confusione.

Andiamo x gradi:

1) Hai una ios molto vecchia

2) La config sul router mi sembra corretta anche se manca il nat0 e quindi anche se ti connetti nn andrà nulla

3) Devi x forza usare il vpn client della Cisco poichè da win riesci solo a stabilire vpn pptp e non ipsec

3) Nella tua conf nn hai un certificato ma una preshard key e quindi nel client vpn basta che ti crei un profilo con ip pubblico del router, nome del gruppo e preshard key

[m0m0_78]

Grazie per la risposta veloce...

1)Allora la versione IOS si è molto vecchia, ma è anche vero che ho sbagliato a comunicare il modello del router... l' 857 ce l' ho al lavoro nell' altra sede..

Questo problema ce l' ho su un 837 con 12 Mb di flash e 48 di DRAM. Hoprovato una 12.4T, ma nemmeno si avviava.. dopo aver fatto la decompressione dell' immagine IOS si inchiodava... allora ho preferito mettere questa versione che è più leggera. (e cmq dovrebbe andare bene per quello che devo fare.. correggimi se sbaglio)

2) Un esempio di nat0 così capisco di cosa stiamo parlando...?

3) Con questo mi hai chiarito un grosso dubbio... però mi rimane una domanda.. c'è un tipo diconfigurazione che posso prendere in considerazione per accettare una connessione L2TP supportata da windows?...

4) E' possibile che nel cisco VPN client 5.0 non sia previsto l' inserimento della preshared key? Oppure il nome del gruppo va scritto dove chiede Name e la Key dove chiede password? Perchè io lì mettevo utente e password creati apposta... tipo remoto 01 con la pass come da tuo esempio..

[m0m0_78]

Ok... ho capito come funziona il client cisco, e finalmente riesco a connettermi.. in effetti do chiede nome e password bisgna mattere gruppo e preshared key, poi dopo appare un altra finestra dove immettere le credenziali dell' utente!

Bene, fino qi ci siamo, ma ancora non ho chiaro, nonostante molte googlate, il concetto di Nat0. per me scrivendo questo dovevo essere aposto:

access-list 101 remark *** ACL PER PAT ***
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

In poche parole, adesso riesco a connettermi, ricevo l' indirizzo ip, e riesco a pingare gli indirizzi all' interno della lan, ma in un modo strano:

Il primo indirizzo che pingo mi risponde subito. Per poter pingara un altro indirizzo devo aspettare qualche minuto senza pingare nessuno.. A quel punto mi pinga solo l' altro...
Booohh.... Scusate la mia ingoranza, ma sto impazzendo.

Poi in ultima, ovviamente non riesco a sfogliare la rete della lan, nemmeno inserendo gli ip direttamente tipo (\\192.168.1.254\condivisione)

Help me! ..please!

[m0m0_78]

ok sono stato in grado di farlo funzionare...

Mi ha aiutato SDM con la verifica della connessione vpn, e mi ha proposto delle soluzioni, poi mi sono andato a vedere la configurazione ed ho capito qualcosa in più..

Grazie comunque per le dritte!

Per quanto riguarda connessioni L2TP mi sembra di aver capito che non si possono criptare, quindi è meglio che rimango su questa strada.

Saluti

[Wizard]

Tutto è bene quel che finisce bene!

Come hai risolto l'ultimo problema?

[m0m0_78]

Bè ti riferisci al cisco client? ..non so cmq ho risolto tutti i problemi:

1) Versione IOS precedente ad una 12.4, perchè più leggera... questa è cmq una 12.3 (14) T.

2) Il nat0 l' ho sistemanto con l' aiuto di SDM.. con:
"ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload"
e poi "route-map SDM_RMAP_1 permit 1"
e poi tutte le acl "access-list 100 deny ip 192.168.1.0 0.0.0.255 host 192.168.100.0,1,2,3,4,5,6,7 ...etc, etc...)

3) Ho lasciato perdere L2tp per i motivi spiegati sopra..

4) Per il client invece:

Ok... ho capito come funziona il client cisco, e finalmente riesco a connettermi.. in effetti dove chiede nome e password bisogna mettere gruppo e preshared key, poi dopo appare un altra finestra dove immettere le credenziali dell' utente!

Infatti la descrizione è ingannevole.. se uno non è documentato, e inserisce quello che viene chiesto cade in errore per forza... (almeno secondo me).

Direi che è tutto!