Pagina 1 di 2
VPN Site to Site - cisco 857 e 851 non riesco help
Inviato: gio 29 ott , 2009 2:55 pm
da fr4nz82
Salve a tutti. Per prima cosa vi ringrazio perchè anche se non ne siete a conoscenza questo forum mi è molto servito fin'ora. Premetto che non ho affrontato nessun tipo di corso e queste config le ho fatte da solo fin'ora ricavando le informazioni reperibili qui e in altri siti.
Devo fare una normalissima VPN site to site, ho configurato tutto e mi pare che non ci siano errori. Sono 2 settimane che provo in tutti i modi ma forse c'è qualcosa che mi sfugge... sicuramente una banalità ci scommetto.
Vi posto le due configurazioni sperando come ultima risorsa in un'aiutino da parte vostra! grazie in anticipo
Cisco 857: (Una parte è stata configurata dal tecnico telecom e non ho osato toccarla.. non capisco perchè ho 2 indirizzi ip nella vlan1!! forse il prob è qui?)
Codice: Seleziona tutto
Current configuration : 4275 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname rieti
!
boot-start-marker
boot-end-marker
!
no logging on
enable secret 5 ************
enable password 7 **********
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-2247734706
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2247734706
revocation-check none
rsakeypair TP-self-signed-2247734706
!
!
crypto pki certificate chain TP-self-signed-2247734706
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32323437 37333437 3036301E 170D3032 30333036 30313233
34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32343737
33343730 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B554 75EBA501 08FCF975 8715D48F 372BBED0 77FF1251 ABC9DF3A 4B2A64E1
671BFB57 2651E9AD D10DE51D 46440A98 F4E28A0F 3FFBF9DC B147F221 F9EF3929
0E9DE365 F7E5AE9B CA8202CD BEBF5B0C D1F5AA3F C5A05C36 AEC48E67 B492C04D
D15FFC6D FFDD7734 7B3E580D F610A2D8 280D7A4C AEAD5C91 32CFB15B 2CB0DA29
70D50203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15726965 74692E6D 61737369 6E656C6C 6976702E 6974301F
0603551D 23041830 16801483 7D5E4CCC EAD9E089 E0B1297A 806C0810 05F42330
1D060355 1D0E0416 0414837D 5E4CCCEA D9E089E0 B1297A80 6C081005 F423300D
06092A86 4886F70D 01010405 00038181 0076A074 3CC5A2DB 278FF15D F86EAF9C
05674A77 0086100F 1270A8D5 3D1BBE94 6D96F626 65D1B73F 85C02DDA AB0AB2A9
5BC69862 06AB6BEB 393E5F4A E2999407 D9B80463 FF9B3F1B D097C6B6 C1787972
2A2AB2A2 6F197613 C08DBCE2 85CE8CB0 A288C5D2 2F1FEF6A 2AB4F304 E3FC628A
3708A7E3 AC34F10E 81D4E61E 959FF152 30
quit
dot11 syslog
!
!
ip cef
no ip domain lookup
ip domain name nomeinventato.it
!
!
!
username francesco privilege 15 secret 5 ********
username <myuser> privilege 15 secret 5 *****
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key kiave address 2.2.2.246 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
!
!
!
!
crypto map masvpn local-address ATM0.1
crypto map masvpn 1 ipsec-isakmp
set peer 1.1.1.26
set transform-set VPN-SET
match address 101
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 2.2.2.246 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
crypto map masvpn
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.252 255.255.255.0 secondary
ip address 94.x.x.25 255.255.255.248 !<---- a che serve???? fatto dal tecnico telecom
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool ibs 94.x.x.26 94.x.x.26 netmask 255.255.255.248 !<--- telecom
ip nat inside source list 102 pool ibs overload <--- telecom
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
snmp-server community your_community RW
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
Router 851: (questo ci ho messo le mani solo io)
Codice: Seleziona tutto
Current configuration : 3989 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname perugia
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 ******
enable password 7 ********
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1794011050
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1794011050
revocation-check none
rsakeypair TP-self-signed-1794011050
!
!
crypto pki certificate chain TP-self-signed-1794011050
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31373934 30313130 3530301E 170D3032 30333031 30363436
34335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37393430
31313035 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C015 723C19D8 2A37EAEB ADD109F0 E9A40515 FFC4005F A2CB6EEA AC810C22
C3061403 8780AA12 E08DD4F6 8C202ED5 F7B1A845 62722530 DF10ADFB 91C7676D
40C3331D 73532857 D99E697F E892B876 00E15617 43D79B89 F65530B7 7C073CA3
52F839AE 19CEE2E7 3A77A7F6 CECA21C6 6C221312 D16F4F77 7E3FC41F 54264710
BEF30203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
551D1104 1C301A82 18706572 75676961 2E6D6173 73696E65 6C6C6976 706E2E69
74301F06 03551D23 04183016 801413F0 16B87F9D C9CF7484 0FA61B46 24DC0837
D918301D 0603551D 0E041604 1413F016 B87F9DC9 CF74840F A61B4624 DC0837D9
18300D06 092A8648 86F70D01 01040500 03818100 2B644CA0 902BD3D6 AEAB0E24
55F270E5 C65A4416 24538E4E BCAF4F8E D3DF1481 49E5B3D8 8867ACD6 A463D217
12F876D5 20D54662 E3E47459 56199703 83121BD7 839A1F4D 63DB4348 A13C5709
BC349054 8EDBA1AE F130AE24 B6E5C09F 063E9FF1 69726620 9096F37A F829E45B
8A6F6B34 82FF9429 101594C4 3AB1D82C 227B1C86
quit
dot11 syslog
!
!
ip cef
no ip domain lookup
ip domain name dominioinventato.it
!
!
!
username francesco privilege 15 secret 5 $1*******
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key kiave address 1.1.1.26 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address FastEthernet4
crypto map masvpn 1 ipsec-isakmp
set peer 2.2.2.246
set transform-set VPN-SET
match address 101
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-WAN$$ES_WAN$
ip address 1.1.1.26 255.255.255.248
ip nat outside
ip virtual-reassembly
speed auto
half-duplex
crypto map masvpn
!
interface Vlan1
description LAN
ip address 192.168.0.253 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.30 !<---- questo è il gateway fornitomi dall'isp, non è che ci sia nessun router in cascata
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 102 interface FastEthernet4 overload
!
logging trap notifications
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 remark ACL per TUNNEL IPSEC
access-list 102 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.200
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 remark ACL per PAT
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end
Inviato: lun 02 nov , 2009 6:56 pm
da zot
Data l'assoluta irragiungibilità di quelli indirizzi di punto-punto(anche se,teoricamente,ruotabili su internet),ti consiglio di far terminare le VPN sulle VLAN...con tutti i casini annessi e connessi...meglio sarebbe creare delle interfacce loopback con gli IP pubblici che ti hanno fornito(che sono per forza ruotati!!!)
Per curiosità,ma che cavolo di contratto telecom hai fatto così lo evito come la peste....
Inviato: mar 03 nov , 2009 1:31 pm
da fr4nz82
Semplicemente gli ho chiesto un contratto che mi permettesse di configurare una vpn!!! Prima avevo alice tutto incluso con il voip e il loro router pirelli, adesso ho alice business con 8 indirizzi ip (anche se non mi servono) e come se non bastasse per fare questo contratto hanno dovuto fare arrivare un'altra linea; quindi mi ritrovo con due linee: una dati con gli otto indirizzi e una solo per la fonia perchè secondo i tecnici con cui ho parlato non si può fare passare la fonia nello stesso doppino...
ora mi stò studiando tutti i libri cisco e ho deciso di fare l'esame ccna. Non tutti i mali vengono per nuocere!
Intanto però devo far funzionare questa vpn e ho i giorni contati visto che a giorni dovrebbe venire un'azienda esterna ad installare un programma di contabilità
Guarda sono veramente arrabbiato ora che mi confermi i miei dubbi sul contratto telecom...
Invece riguardo al 851 mi confermi che non ci sono problemi avendo il forwarding sul x.x.x.30?
Questa notte (il giorno non ho tempo) mi studio come fare una interfaccia di loopback e vedo un pò cosa riesco a fare e comunque, vista l'urgenza, ogni coniglio è ben accetto!
P.S. non ho capito bene cosa intendi per raggiungibilità... cioè, i due router si vedono direttamente, per esempio si pingano oppure se apro una sessione di telnet (il telnet dello IOS) sul 851 mi connetto al 857 e viceversa. Perchè la vpn non può funzionare? (ancora non ci sono arrivato a studiare la VPN chiedo perdono)
Inviato: mar 03 nov , 2009 2:25 pm
da Leviatano
Ciao,
scusami se mi permetto ma le vpn non sono mai semplicissime...
la tua vpn non può funzionare per un motivo principalmente: hai abilitato il NAT. Non solo stai nattando su internet la tua LAN ma essa entra irreparabilmente in overlapping con la subnet dell'access-list della tua crypto map. Devi intanto disabilitare il NAT oppure utilizzare le route map per splittare il tunnel o non credo farai passi in avanti.
Per una spiegazione più dettagliata puoi dare un occhiata al mio sito:
http://www.glabs.org/index.php?option=c ... 34&lang=it
Inviato: mer 04 nov , 2009 12:18 am
da zot
Se hai voglia d'imparare e farti nottate..sei nel posto giusto....
Prima di tutto sappi che (per il futuro)puoi tranquillamente far andare un cisco con un contratto alice business con Voip...mantenendo pure l'Ip fisso...ci sono parecchi post al riguardo.
Poi da due prove che ho fatto i tuoi gateway punto-punto (address dell'ATM0.1) non sono raggiungibili(forse li hai i"mascherati" ?)...almeno da rete fastweb e interbusiness.Fai un traceroute dall'857 verso l'851 verso i gw punto punto e viceversa e vedi che succede.
Poi ha ragione Leviatano devi usare route-map per gestire corretamnete il NAT attraverso una VPN.
L'851 non ha interfacce xDSL quindi sta per forza dietro qualcosa...cosa?
Su entrambi i router ti consiglio di gestire gli IP pubblici creandoti una interfaccia di loopback
Codice: Seleziona tutto
interface Loopback0
ip address ip_pubblico
!
interface ATM0.1
crypto map masvpn
!
ip nat inside source route-map NAT0-RM interface Loopback0 overload
!
access-list 100 remark *** ACL RM-NAT0 ***
access-list 100 remark --vpn--
access-list 100 deny subnet_rete_interna wildcard_mask subnet_rete_remota wildcard_mask
access-list 100 remark --to translate--
access-list 100 permit ip subnet_rete_interna wildcard_mask any
!
access-list 101 remark *** ACL TRAFFICO VPN ***
access-list 101 permit ip subnet_rete_interna wildcard_mask subnet_rete_remota wildcard_mask
!
route-map NAT0-RM permit 1
match ip address 100
Inviato: ven 06 nov , 2009 2:32 pm
da fr4nz82
Grazie! si gli ip pubblici che metto qui non sono quelli reali..
il tracer da esito positivo:
da 851 ad 857:
Codice: Seleziona tutto
1 x.x.x.30 0 msec 0 msec 4 msec
2 x.x.y.66 104 msec 76 msec 76 msec
3 81.29.224.14 96 msec 112 msec 124 msec
4 81.29.224.237 144 msec 136 msec 132 msec
5 84.233.248.237 100 msec 84 msec 92 msec
6 212.23.42.69 108 msec 76 msec 80 msec
7 89.202.146.146 88 msec 52 msec 80 msec
8 89.202.205.94 76 msec 80 msec 84 msec
9 172.17.5.205 72 msec 76 msec 64 msec
10 151.99.29.182 52 msec 52 msec 52 msec
11 * * *
12 217.141.254.154 180 msec 132 msec 136 msec
13 z.z.z.246 212 msec * 156 msec
da 857 a 851:
Codice: Seleziona tutto
1 x.x.x.245 52 msec 52 msec 52 msec
2 217.141.254.203 52 msec 48 msec 48 msec
3 * * *
4 151.99.29.215 56 msec 72 msec 52 msec
5 * * *
6 89.202.205.93 52 msec 56 msec 52 msec
7 89.202.146.145 56 msec 56 msec 60 msec
8 212.23.42.70 56 msec 56 msec 56 msec
9 84.233.248.238 64 msec 60 msec 64 msec
10 81.29.224.238 60 msec 64 msec 60 msec
11 81.29.224.13 64 msec 68 msec 60 msec
12 a.a.y.65 92 msec 116 msec 144 msec
13 a.a.a.25 168 msec 160 msec 152 msec
come vedi il a.a.a.30 viene "saltato" dai dati in arrivo mentre viene usato come next hop dai dati in uscita... non so cosa sia e non ho l'accesso...
però parlando con vari tecnici (compreso il capo
) di questo isp tutti mi hanno detto che non c'è problema con le vpn.
Seguendo i tuoi consigli questa sera proverò subito la configurazione con l'interfaccia loopback.
Sarà anche necessaria un'interfaccia tunnel? Tipo:
Codice: Seleziona tutto
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
tunnel source 94.x.x.26
tunnel destination 85.x.x.26 (ip pubblico del 851)
ip route LAN REMOTA 1.1.1.2
[/code]
Inviato: ven 06 nov , 2009 11:50 pm
da fr4nz82
Ho appena finito di configurare ma ci sono degli errori... per esempio non so dove mettere l'access list 102 (quella diciamo che vieta che il traffico non indirizzato agli ip della rete remota si instradi sulla vpn) inoltre non ho capito bene su quale interfaccia mettere la crypto map masvpn... mi sembrava giusto metterla comunque su atm0.1 ma mi sorge il dubbio se metterla nella interfaccia tunnel0.
Oppure sto sbagliando tutto visto che ora gli indirizzi della vlan1 non pingano più l'esterno e il tunnel fa solo danni??? la logica mi ha portato a questa config... posto:
Codice: Seleziona tutto
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxx address 85.x.x.26 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address Loopback1
crypto map masvpn 1 ipsec-isakmp
set peer 85.x.x.26
set transform-set VPN-SET
match address 101
!
archive
log config
hidekeys
!
!
!
!
!
interface Loopback1
description INDIRIZZO LAN PUBBLICA PER IL SOURCE DEL TUNNEL
ip address 94.x.x.26 255.255.255.255
ip nat outside
ip virtual-reassembly
!
interface Loopback0
description LAN PUBBLICA
ip address 94.x.x.25 255.255.255.255
ip nat outside
ip virtual-reassembly
!
interface Tunnel0
description TUNNEL VERSO PERUGIA
ip address 10.10.10.1 255.255.255.252
tunnel source Loopback1
tunnel destination 85.x.x.26
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.x.x.246 255.255.255.252
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
crypto map masvpn
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description lan interna
ip address 192.168.1.252 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.0.0 255.255.255.0 10.10.10.2
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
!
logging trap notifications
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ACL PER CRYPTO MAP
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 remark VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
snmp-server community your_community RW
snmp-server community massinellisnmp RW
no cdp run
route-map FORSEHOCAPITO permit 1
match ip address 102
sta diventando davvero complicato.... il modo più veloce per studiare
Inviato: sab 07 nov , 2009 1:22 am
da zot
E' infatti normale che vedi l'IP della punto punto in una direzione e non nell'altra(per semplificarla : ruoter ,due interfacce,due IP differenti...)
La crypto map va sull'ATM0.1 .
Lascia stare i tunnel...quelli servono per DMVPN che e' un'altra storia.
Pe le access-list,ti spiego in soldoni......
Nel mondo cisco le ACL sono il cuore e' un errore pensarele come semplici e mere regole (rules) per filtrare il traffico che esce o entra da un 'interfaccia.Con le ACL gestisci anche il NAT che e' un altro bel pezzo della filosia Cisco....o meglio ,Cisco vuole che gli venga sempre ed espressamente specificata tutta la pappa del NAT o PAT,al contrario di altri produttori che "ci pensu mi'!!",cio' ha i suoi risvolti negativi....ma ti costringono a fare le cose per bene e a studiare il networking.
Nel nostro caso specifico dobbiamo per forza di cosa evitare che il traffico diretto verso la Lan remota ,prima che venga incapsulato nella VPN,venga nattato dal NAT0,ovvero da quella regola che ci dice in che modo gli host della inside possono condividere uno o piu' IP pubblici.
Non fare prove a caso..ti perderesti.Guardati bene lo stralcio di conf che ti ho postato e fammi domande su quella.
Inviato: sab 07 nov , 2009 1:35 am
da fr4nz82
ciao... ho appena modificato il post precedente non mi ero accorto che avevi risposto.... ci sono gli ip veri...
fra poco lo modifico... quindi ora tolgo il tunnel... e riposto la conf.
Grazie a te ci sto capendo veramente qualcosa e anche studiare mi risulta più semplice riferendomi a problemi reali... se penso che un mese fa ho ordinato 2 cisco per fare una vpn pensando che me la sarei cavata con un pò di prove e cercando su internet (come ho sempre fatto con tutto) mi viene proprio da ridere.
Inviato: sab 07 nov , 2009 1:52 am
da fr4nz82
eccolo:
Codice: Seleziona tutto
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ****** address 85.116.155.26 no-xauth
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address Loopback0
crypto map masvpn 1 ipsec-isakmp
set peer 85.116.155.26
set transform-set VPN-SET
match address 101
!
interface Loopback0
description LAN PUBBLICA
ip address 94.x.x.25 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.x.x.246 255.255.255.252
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
crypto map masvpn
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description lan interna
ip address 192.168.1.252 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ACL PER CRYPTO MAP
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 remark VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
route-map FORSEHOCAPITO permit 1
match ip address 102
una domanda te la devo fare: ma come fa il cisco a sapere di fare il forwarding degli indirizzi 94.x.x.25 sull'atm0.1?? cioè adesso mi fa il NAT fra 192.168.1.0 e 94.x.x.25... ma da li non c'è nessuna regola... infatti adesso non pinga l'esterno con source vlan1.
riguardando la configurazione fatta da telecom vedo questa riga:
Codice: Seleziona tutto
ip nat pool ibs 94.x.x.26 94.x.x.26 netmask 255.255.255.248
che usa l'ip 26 e proprio non riesco a capire come funziona. Te lo dico solo perchè potresti non averlo notato scambiandolo per il 94.x.x.25 e forse c'entra qualcosa con il fatto che la vlan1 non pinga l'esterno.
Inviato: sab 07 nov , 2009 2:08 am
da zot
studia,studia che domani si dorme...
per correttezza
Codice: Seleziona tutto
access-list 102 remark VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN
in realta' e'
Codice: Seleziona tutto
access-list 102 remark VIETA CHE IL TRAFFICO DESTINATO ALLA RETE REMOTA VENGA NATTATO E SPEDITO AL GW PUNTO PUNTO COME QUALSIASI ALTRO TRAFFICO VERSO RETI "SCONOSCIUTE"
Sposta
sulla atm0.1 e ci sei....
Inviato: sab 07 nov , 2009 2:11 am
da fr4nz82
Inviato: sab 07 nov , 2009 2:14 am
da fr4nz82
Sposta Codice:
ip nat outside
sulla atm0.1 e ci sei....
ma chi l'ha tolto? non c'è mai stato? si c'era! mah
cmq la VPN non sale...
sh cry isa sa non fa vedere nulla... vedo sull'altro router impostando anche li la loopback che succede poi ti faccio sapere. Solo che sul 851 non ho una punto-punto... cioè dovrei dare alla fas4 l'ip 85.x.x.30 (che è il gateway) e alla loopback l'ip 85.x.x.26 per fare la stessa cosa che ho fatto con l'857. Purtroppo il .30 è fisso sull'apparecchio radio (si, ho scoperto di cosa si tratta) dove arriva il segnalle dell'antenna prewimax.
Proverò mettendo come loopback il .26 e come fas4 il .27 ma mi sembra un pò inutile o mi sbaglio?
Inviato: sab 07 nov , 2009 2:30 am
da zot
Sull'851 segui la stessa "teoria" e vedrai che andra' tutto OK.Non dovrebbe essere necessario usare loopback.
va sulla ATM0.1
fr4nz82 ha scritto:
.........
una domanda te la devo fare: ma come fa il cisco a sapere di fare il forwarding degli indirizzi 94.x.x.25 sull'atm0.1?? cioè adesso mi fa il NAT fra 192.168.1.0 e 94.x.x.25... ma da li non c'è nessuna regola... infatti adesso non pinga l'esterno con source vlan1.
il NAT o meglio il PAT lo fai con la regola
Codice: Seleziona tutto
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
cioe' dici al cisco"prendi gli IP permessi e specificati nella ACL della route-map ivi indicata,e "traslali" con l'IP della Loopback0".Tu indichi d'inoltrare il traffico verso reti sconosciute con
,sara' poi il punto punto telecom ad inoltare (tramite la sua tabella di routing)i pacchetti.Il cisco non ,infatti cieco,conosce sulo la strada verso il punto punto...
fr4nz82 ha scritto:
riguardando la configurazione fatta da telecom vedo questa riga:
Codice: Seleziona tutto
ip nat pool ibs 94.x.x.26 94.x.x.26 netmask 255.255.255.248
che usa l'ip 26 e proprio non riesco a capire come funziona. Te lo dico solo perchè potresti non averlo notato scambiandolo per il 94.x.x.25 e forse c'entra qualcosa con il fatto che la vlan1 non pinga l'esterno.
Il tecnico telecom non ha fatto altro che assegnare un Ip pubblico all Vlan1 questo perche' volendo mettere dei server dietro allo switch del cisco tu gli avresti potuti configurare con un IP pubblico del pool assegnatoti e come gateway 94.x.x.25,nel mentre tutti gli host "permessi" dalla ACL relativa al NAT0 vengono translati con IP 94.x.x.26.
Se vai su whatismyip.com da un host dietro questo router vedrai che l'Ip pubblico sara' proprio 94.x.x.26
Inviato: sab 07 nov , 2009 3:31 am
da fr4nz82
ho capito: gli indirizzi interni prima vengono traslati in 94.x.x.25 e poi ruotati sul punto punto, ossia l'atm0.1, in modo da essere riconosciuti come indirizzi della subnet giusta altrimenti il punto punto li rifiuta...
detto ciò... la vpn non va... ho imparato a fare il debug, c'ho messo un'ora per capire che dovevo fare un ping per far partire la isakmp
ti posto quello che mi dice perchè io l'ho letto tutto e mi sembra che va quasi tutto bene tranne alcune cose dove da degli errori ma secondo me ci siamo quasi. Se lunedì torno al lavoro e funziona mi faccio dare l'aumento
Codice: Seleziona tutto
perugia#ping 192.168.1.252 source 192.168.0.253
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.252, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.253
*Mar 1 18:59:04.231: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 85.x.x.26, remote= 94.x.x.25,
local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar 1 18:59:04.231: ISAKMP:(0): SA request profile is (NULL)
*Mar 1 18:59:04.231: ISAKMP: Created a peer struct for 94.x.x.25, peer port 500
*Mar 1 18:59:04.231: ISAKMP: New peer created peer = 0x82417D04 peer_handle = 0x80000002
*Mar 1 18:59:04.231: ISAKMP: Locking peer struct 0x82417D04, refcount 1 for isakmp_initiator
*Mar 1 18:59:04.231: ISAKMP: local port 500, remote port 500
*Mar 1 18:59:04.235: ISAKMP: set new node 0 to QM_IDLE
*Mar 1 18:59:04.235: insert sa successfully sa = 827B12C0
*Mar 1 18:59:04.235: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.
*Mar 1 18:59:04.235: ISAKMP:(0):No pre-shared key with 94.x.x.25!
*Mar 1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
*Mar 1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-07 ID
*Mar 1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-03 ID
*Mar 1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-02 ID
*Mar 1 18:59:04.235: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
*Mar 1 18:59:04.235: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1
*Mar 1 18:59:04.235: ISAKMP:(0): beginning M.ain Mode exchange
*Mar 1 18:59:04.235: ISAKMP:(0): sending packet to 94.x.x.25 my_port 500 peer_port 500 (I) MM_NO_STATE
*Mar 1 18:59:04.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Mar 1 18:59:04.451: ISAKMP (0:0): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_NO_STATE
*Mar 1 18:59:04.451: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 18:59:04.451: ISAKMP:(0):Old State = IKE_I_MM1 New State = IKE_I_MM2
*Mar 1 18:59:04.451: ISAKMP:(0): processing SA payload. message ID = 0
*Mar 1 18:59:04.451: ISAKMP:(0): processing vendor id payload
*Mar 1 18:59:04.451: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Mar 1 18:59:04.455: ISAKMP (0:0): vendor ID is NAT-T RFC 3947
*Mar 1 18:59:04.455: ISAKMP:(0):No pre-shared key with 94.x.x.25!
*Mar 1 18:59:04.455: ISAKMP : Scanning profiles for xauth ...
*Mar 1 18:59:04.455: ISAKMP:(0):Checking ISAKMP transform 1 against priority 1 policy
*Mar 1 18:59:04.455: ISAKMP: encryption DES-CBC
*Mar 1 18:59:04.455: ISAKMP: hash SHA
*Mar 1 18:59:04.455: ISAKMP: default group 1
*Mar 1 18:59:04.455: ISAKMP: auth RSA sig
*Mar 1 18:59:04.455: ISAKMP: life type in seconds
*Mar 1 18:59:04.455: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*Mar 1 18:59:04.455: ISAKMP:(0):Encryption algorithm offered does not match policy!
*Mar 1 18:59:04.455: ISAKMP:(0):atts are not acceptable. Next payload is 0
*Mar 1 18:59:04.455: ISAKMP:(0):Checking ISAKMP transform 1 against priority 65535 policy
*Mar 1 18:59:04.455: ISAKMP: encryption DES-CBC
*Mar 1 18:59:04.455: ISAKMP: hash SHA
*Mar 1 18:59:04.455: ISAKMP: default group 1
*Mar 1 18:59:04.455: ISAKMP: auth RSA sig
*Mar 1 18:59:04.455: ISAKMP: life type in seconds
*Mar 1 18:59:04.455: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
*Mar 1 18:59:04.455: ISAKMP:(0):atts are acceptable. Next payload is 0
*Mar 1 18:59:04.455: ISAKMP:(0):Acceptable atts:actual life: 0
*Mar 1 18:59:04.455: ISAKMP:(0):Acceptable atts:life: 0
*Mar 1 18:59:04.455: %CRYPTO-4-IKE_DEFAULT_POLICY_ACCEPTED: IKE default policy was matched and is being used.
*Mar 1 18:59:04.455: ISAKMP:(0):Fill atts in sa vpi_length:4
*Mar 1 18:59:04.455: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
*Mar 1 18:59:04.455: ISAKMP:(0):Returning Actual lifetime: 86400
*Mar 1 18:59:04.455: ISAKMP:(0)::Started lifetime timer: 86400.
*Mar 1 18:59:04.475: ISAKMP:(0): processing vendor id payload
*Mar 1 18:59:04.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Mar 1 18:59:04.479: ISAKMP (0:0): vendor ID is NAT-T RFC 3947
*Mar 1 18:59:04.479: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar 1 18:59:04.479: ISAKMP:(0):Old State = IKE_I_MM2 New State = IKE_I_MM2
*Mar 1 18:59:04.479: ISAKMP:(0): sending packet to 94.x.x.25 my_port 500 peer_port 500 (I) MM_SA_SETUP
*Mar 1 18:59:04.479: ISAKMP:(0):Sending an IKE IPv4 Pa.cket.
*Mar 1 18:59:04.479: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar 1 18:59:04.479: ISAKMP:(0):Old State = IKE_I_MM2 New State = IKE_I_MM3
*Mar 1 18:59:04.599: ISAKMP (0:0): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_SA_SETUP
*Mar 1 18:59:04.599: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar 1 18:59:04.599: ISAKMP:(0):Old State = IKE_I_MM3 New State = IKE_I_MM4
*Mar 1 18:59:04.599: ISAKMP:(0): processing KE payload. message ID = 0
*Mar 1 18:59:04.623: ISAKMP:(0): processing NONCE payload. message ID = 0
*Mar 1 18:59:04.627: ISAKMP:(2001): processing CERT_REQ payload. message ID = 0
*Mar 1 18:59:04.627: ISAKMP:(2001): peer wants an unknown cert, abort.
*Mar 1 18:59:04.627: ISAKMP:(2001): processing vendor id payload
*Mar 1 18:59:04.627: ISAKMP:(2001): vendor ID is DPD
*Mar 1 18:59:04.627: ISAKMP:(2001): processing vendor id payload
*Mar 1 18:59:04.627: ISAKMP:(2001): speaking to another IOS box!
*Mar 1 18:59:04.627: ISAKMP:received payload type 20
*Mar 1 18:59:04.627: ISAKMP:received payload type 20
*Mar 1 18:59:04.627: ISAKMP:(2001):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar 1 18:59:04.627: ISAKMP:(2001):Old State = IKE_I_MM4 New State = IKE_I_MM4
*Mar 1 18:59:04.627: ISAKMP:(2001):Send initial contact
*Mar 1 18:59:04.627: ISAKMP:(2001):Unable to get router cert or routerdoes not have a cert: needed to find DN!
*Mar 1 18:59:04.627: ISAKMP:(2001):SA is doing RSA signature authentication using id type ID_IPV4_ADDR
*Mar 1 18:59:04.627: ISAKMP (0:2001): ID payload
next-payload : 6
type : 1
address : 85.x.x.26
protocol : 17
port : 500
length : 12
*Mar 1 18:59:04.627: ISAKMP:(2001):Total payload length: 12
*Mar 1 18:59:04.627: ISAKMP:(2001): no valid cert found to return
*Mar 1 18:59:04.627: ISAKMP: set new node 1829496396 to QM_IDLE
*Mar 1 18:59:04.631: ISAKMP:(2001):Sending NOTIFY CERTIFICATE_UNAVAILABLE protocol 1
spi 0, message ID = 1829496396
*Mar 1 18:59:04.631: ISAKMP:(2001): sending packet to 94.x.x.25 my_port 500 peer_port 500 (I) MM_KEY_EXCH
*Mar 1 18:59:04.631: ISAKMP:(2001):Sending an IKE IPv4 Packet.
*Mar 1 18:59:04.631: ISAKMP:(2001):purging node 1829496396
*Mar 1 18:59:04.631: ISAKMP (0:2001): FSM action returned error: 2
*Mar 1 18:59:04.631: ISAKMP:(2001):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar 1 18:59:04.631: ISAKMP:(2001):Old State = IKE_I_MM4 New State = IKE_I_MM5
...
Success rate is 0 percent (0/5)
perugia#
*Mar 1 18:59:14.479: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar 1 18:59:14.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar 1 18:59:14.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar 1 18:59:14.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar 1 18:59:14.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar 1 18:59:24.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar 1 18:59:24.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar 1 18:59:24.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar 1 18:59:24.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar 1 18:59:34.231: IPSEC(key_engine): request timer fired: count = 1,
(identity) local= 85.x.x.26, remote= 94.x.x.25,
local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4)
*Mar 1 18:59:34.231: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 85.x.x.26, remote= 94.x.x.25,
local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar 1 18:59:34.231: ISAKMP: set new node 0 to QM_IDLE
*Mar 1 18:59:34.231: ISAKMP:(2001):SA is still budding. Attached new ipsec request to it. (local 85.x.x.26, remote
94.x.x.25)
*Mar 1 18:59:34.231: ISAKMP: Error while processing SA request: Failed to initialize SA
*Mar 1 18:59:34.231: ISAKMP: Error while processing KMI message 0, error 2.
*Mar 1 18:59:34.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar 1 18:59:34.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar 1 18:59:34.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar 1 18:59:34.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar 1 18:59:44.599: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar 1 18:59:44.599: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar 1 18:59:44.599: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar 1 18:59:44.599: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar 1 18:59:54.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar 1 18:59:54.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar 1 18:59:54.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar 1 18:59:54.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar 1 19:00:04.231: IPSEC(key_engine): request timer fired: count = 2,
(identity) local= 85.x.x.26, remote= 94.x.x.25,
local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4)
*Mar 1 19:00:19.235: ISAKMP: quick mode timer expired.
*Mar 1 19:00:19.235: ISAKMP:(2001):src 85.x.x.26 dst 94.x.x.25, SA is not authenticated
*Mar 1 19:00:19.235: ISAKMP:(2001):peer does not do paranoid keepalives.
*Mar 1 19:00:19.235: ISAKMP:(2001):deleting SA reason "QM_TIMER expired" state (I) MM_KEY_EXCH (peer 94.x.x.25)
*Mar 1 19:00:19.235: ISAKMP:(2001):deleting SA reason "QM_TIMER expired" state (I) MM_KEY_EXCH (peer 94.x.x.25)
*Mar 1 19:00:19.235: ISAKMP: Unlocking peer struct 0x82417D04 for isadb_mark_sa_deleted(), count 0
*Mar 1 19:00:19.235: ISAKMP: Deleting peer node by peer_reap for 94.x.x.25: 82417D04
*Mar 1 19:00:19.235: ISAKMP:(2001):deleting node -1209433123 error FALSE reason "IKE deleted"
*Mar 1 19:00:19.235: ISAKMP:(2001):deleting node 996890984 error FALSE reason "IKE deleted"
*Mar 1 19:00:19.235: ISAKMP:(2001):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Mar 1 19:00:19.235: ISAKMP:(2001):Old State = IKE_I_MM5 New State = IKE_DEST_SA
*Mar 1 19:00:19.235: IPSEC(key_engine): got a queue event with 1 KMI message(s)
perugia#
*Mar 1 19:01:09.235: ISAKMP:(2001):purging node -1209433123
*Mar 1 19:01:09.235: ISAKMP:(2001):purging node 996890984
*Mar 1 19:01:19.235: ISAKMP:(2001):purging SA., sa=827B12C0, delme=827B12C0
per comodità le conf dei due cisco:
Codice: Seleziona tutto
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key kiave address 88.x.x.246 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address FastEthernet4
crypto map masvpn 1 ipsec-isakmp
set peer 94.x.x.25
set transform-set VPN-SET
match address 101
!
interface FastEthernet4
ip address 85.x.x.26 255.255.255.248
crypto map masvpn
!
interface Vlan1
ip address 192.168.0.253 255.255.255.0
ip nat inside
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 85.x.x.30
!
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 remark ACL per TUNNEL IPSEC
access-list 102 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
e
Codice: Seleziona tutto
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key kiave address 85.x.x.26 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address Loopback0
crypto map masvpn 1 ipsec-isakmp
set peer 85.x.x.26
set transform-set VPN-SET
match address 101
!
interface Loopback0
description LAN PUBBLICA
ip address 94.x.x.25 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface ATM0.1 point-to-point
ip address 88.x.x.246 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
crypto map masvpn
!
interface Vlan1
ip address 192.168.1.252 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ACL PER CRYPTO MAP
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 remark IL CONTRARIO DI: "VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN"
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
route-map FORSEHOCAPITO permit 1
match ip address 102
