Salve a tutti,
ho un problema di connessione vpn tra un client vpn e un router 1841.
Il router 1841 (versione 12.4) è collegato ad una hdsl e viene utilizzato anche per collegare 3 filiali presso le quali ci sono dei router 1801 con adsl.
La connessione vpn tra le filiali e il router 1841 lavora bene.
Ora devo connettere un pc con Windows Xp in vpn tramite client VPN (utilizzo la versione 4.6 o la 4.8). La connessione tra 1841 e client VPN avviene correttamente (lo stato del client è connesso e mi viene assegnato un IP correttamente) ma non riesco a pingare l'interfaccia fastethernet0/0 del 1841 o un qualsiasi host della rete della sede principale.
La stessa configurazione funziona correttamente se al posto del 1841 utilizzo un router 837 con la verione 12.2.13 in quanto si connette e pingo interfaccia ethernet del router e host.
Avete qualche idea?
Grazie.
Allego configurazione 1841.
Client Vpn con 1841
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Prova a fare così:
ip route 192.168.10.11 255.255.255.255 62.94.58.1
In sostanza routa fuori l'ip del pool del vpn client
fammi sapere
ip route 192.168.10.11 255.255.255.255 62.94.58.1
In sostanza routa fuori l'ip del pool del vpn client
fammi sapere
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Verifica tramite le statistiche del vpn client se il nat traversal (nat-t) è abilitato
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Che indirizzo ip prendi quando entri in vpn?
Prova a mettere queste righe:
ip route 192.168.15.0 0.0.0.255 62.94.58.1
ip route 192.168.10.0 0.0.0.255 62.94.58.1
Prova a mettere queste righe:
ip route 192.168.15.0 0.0.0.255 62.94.58.1
ip route 192.168.10.0 0.0.0.255 62.94.58.1
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
nicolanew
- n00b
- Messaggi: 6
- Iscritto il: gio 09 nov , 2006 9:14 am
Il pc si prende un indirizzo tra 192.168.15.10 e 192.168.15.15.
Avevo già provato a inserire le due route statiche, ma senza risultato...
La cosa strana è che con router 837 con IOS 12.2.X funziona tutto alla perfezione. Su altri router 837 con IOS 12.4 ho lo stesso problema.
Avevo già provato a inserire le due route statiche, ma senza risultato...
La cosa strana è che con router 837 con IOS 12.2.X funziona tutto alla perfezione. Su altri router 837 con IOS 12.4 ho lo stesso problema.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Questa è una conf tipo x un vpn client testata con la 12.4
Confronta con la tua config e fammi sapere:
crypto isamp enable
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration group remote-vpn
key mt%aidv^^doigtle009isooXDbreone
pool remote-pool
acl 151
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
crypto map remotemap local-address loopback0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 10 ipsec-isakmp dynamic remote-dyn
interface atm0.1
crypto map remotemap
ip local pool remote-pool 192.168.0.200 192.168.0.203
ip route 192.168.0.200 255.255.255.252 atm0.1
username remoto01 password +++
username remoto02 password +++
username remoto03 password +++
username remoto04 password +++
username remoto05 password +++
no access-list 151
access-list 151 rem *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 151 remark *************************************************************
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 151 remark *************************************************************
no access-list 101
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Confronta con la tua config e fammi sapere:
crypto isamp enable
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration group remote-vpn
key mt%aidv^^doigtle009isooXDbreone
pool remote-pool
acl 151
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
crypto map remotemap local-address loopback0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 10 ipsec-isakmp dynamic remote-dyn
interface atm0.1
crypto map remotemap
ip local pool remote-pool 192.168.0.200 192.168.0.203
ip route 192.168.0.200 255.255.255.252 atm0.1
username remoto01 password +++
username remoto02 password +++
username remoto03 password +++
username remoto04 password +++
username remoto05 password +++
no access-list 151
access-list 151 rem *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 151 remark *************************************************************
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 151 remark *************************************************************
no access-list 101
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Con "crypto map remotemap local-address INT" indichi la interfaccia a cui deve puntare il vpn client, quella con l'ip che può fare traffico insomma!
Se non metti il comando di default usa la atm0.1
Se non metti il comando di default usa la atm0.1
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
nicolanew
- n00b
- Messaggi: 6
- Iscritto il: gio 09 nov , 2006 9:14 am
Ho risolto!
Ho fatto un upgrade di versione e sembra funzionare bene...
Ho inoltre mantenuto, come suggerivi:
ip route 192.168.15.0 0.0.0.255 62.94.58.1
ip route 192.168.10.0 0.0.0.255 62.94.58.1
Grazie Wizard per la disponibilità.
Ho fatto un upgrade di versione e sembra funzionare bene...
Ho inoltre mantenuto, come suggerivi:
ip route 192.168.15.0 0.0.0.255 62.94.58.1
ip route 192.168.10.0 0.0.0.255 62.94.58.1
Grazie Wizard per la disponibilità.
-
amatteo78
- Cisco fan
- Messaggi: 48
- Iscritto il: gio 09 nov , 2006 1:08 am
ciao... che versione hai messo di ios ?? puoi mica postare la conf... ho già messo un altro post ho fatto mille prove ma non risolvo....
Tutte le volte che pingo un indirizzo privato che ha un nat static attivo mi risponde il pubblico....???
Avete idea ??
Tutte le volte che pingo un indirizzo privato che ha un nat static attivo mi risponde il pubblico....???
Avete idea ??
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Se ti risp il pubblico è un problema di NAT, controlla la acl del NAT!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
