cisco 837 e vpn client

dok · lun 03 ott , 2005 7:11 pm

Scusate in anticipo la domanda da niubbo.....

Ho configurato un cisco 837 dietro una adsl per la navigazione e fino a qui tutto ok.... meno male

adesso devo far collegare un pc esterno, con installato vpn client, alla rete, cosa devo configurare sul router? che parametri inserisco nel vpn client?

Grazie in anticipo

Dok

andrewp · lun 03 ott , 2005 7:14 pm

Cerca nel forum "ip nat static"....e troverai cose interessanti.

Ciao.

dok · mar 04 ott , 2005 9:37 am

con ip nat static non trovo nulla inerente al vpn client.... ho guardato tra le configurazioni di altri topic ma non trovo nulla...

Un aiutino?

Dok

andrewp · mar 04 ott , 2005 10:57 am

Ho frainteso la domanda!!!

Ora sul router devi configurare tutti i parametri per realizzare una vpn e configurare il dhcp in modo che rilasci ai client vpn un determinato pool di indirizzi, se cerchi in questa sezione dovresti trovare degli esempi, altrimenti sul sito Cisco c'è tutto...

dok · mer 05 ott , 2005 7:48 am

Girando qua e la ho abbozzato una sorta di configurazione ma non riesco a collegarmi con il vpn client, qualche errore nella conf seguente?

version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
no logging buffered
enable secret 5 $1$qkmo$uH5htD7JeMcCXjr853ihN0
!
username Router password 7 110D180015425B5D
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool CLIENT
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
!
crypto isakmp client configuration group 800client
key 0 cisco123
dns 194.20.8.1
pool ippool
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set vpn
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.1.1-255.
255.0
ip address 192.168.1.1 255.255.255.0
ip access-group 122 out
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname e0000421@ulladsl
ppp chap password 7 040353050B254E490749
ppp pap sent-username e0000421@ulladsl password 7 014B5E075F0F04082F1C
ppp ipcp dns request
ppp ipcp wins request
crypto map clientmap
hold-queue 224 in
!
ip local pool ippool 192.168.1.100
ip default-gateway 192.168.1.1
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
transport input all
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end

Ringrazio

Dok

dok · mer 05 ott , 2005 10:24 am

passo in avanti.... mi riesco a collegare e mi viene chiesto user e pass e fin qui tutto ok.....

Ora non riesco a raggiungere le macchine e i web server all'interno della rete....

Suggerimenti?

Dok

andrewp · mer 05 ott , 2005 11:04 am

Strano, dovrebbe ruotare tranquillamente...hai variato la conf?Ce la riposti?

Se possibile anche un "ipconfig /all" sul client una volta alzato il tunnel vpn.

Ciao.

dok · mer 05 ott , 2005 12:37 pm

Identificato il problema ma non riesco a risolverlo:

Dalla macchina con la quale mi collego con vpn client ho fatto ipconfig:

Indirizzo IP: 192.168.1.100
Mask 255.255.255.0
Geteway: 192.168.1.100

Faccio presente che ho inserito lastringa ip default-gateway 192.168.1.1 ma non funziona

Dok

dok · gio 06 ott , 2005 5:52 pm

Nobody?

Dok

dok · dom 09 ott , 2005 9:12 pm

hello,

c'e' qualcuno??

Saluti

Dok

TheIrish · lun 10 ott , 2005 3:53 pm

non so se questo sia il problema, ma ip defualt gateway viene usato quando ip routing non è abilitato. dovresti usare ip route.

dok · mer 12 ott , 2005 7:07 pm

CIao l'ip route è settato in questo modo:

ip route 0.0.0.0 0.0.0.0 Dialer1

Dok

lpacella · ven 14 ott , 2005 11:35 am

Se sul client vpn metti a mano l'indirizzo ip e il gateway funziona?

dok · ven 14 ott , 2005 8:56 pm

ho provato a mettere l'indirizzo statico manon funziona, non è che non è un problema di assegnazione di indirizzi, ma qualcosa legato al nat?

io quelle periferiche che tento di raggiungere sono nattateverso l'esterno per essere accessibili dall'indirizzo pubblico.

C'e' da configurare una access-list che non mi faccia andare il traffico verso l'esterno se sono collegato con il vpn client?

Supposizioni.... attendo chi ne sa di più.....

Dok

dok · mar 18 ott , 2005 11:31 am

Aggiornamento:

il problema stava nel fatto che la classe di rete interna e la classe del pool dhcp per i client vpn era la medesima.

Cambiando il pool dhcp ora pingo e raggiungo le periferiche. Ovviamente con l'access-list adeguata.

Ora altro piccolo problemino. Pingo tutte le periferiche nella mia rete ma non riesco "usufruire" delle periferiche (ex server web, server ftp, server telnet) mi sunziona solo il telnet verso il router (indirizzo privato)

Saluti

Dok

cisco 837 e vpn client

Login • Iscriviti