Pagina 1 di 1
Client Vpn con 1841
Inviato: gio 09 nov , 2006 11:50 am
da nicolanew
Salve a tutti,
ho un problema di connessione vpn tra un client vpn e un router 1841.
Il router 1841 (versione 12.4) è collegato ad una hdsl e viene utilizzato anche per collegare 3 filiali presso le quali ci sono dei router 1801 con adsl.
La connessione vpn tra le filiali e il router 1841 lavora bene.
Ora devo connettere un pc con Windows Xp in vpn tramite client VPN (utilizzo la versione 4.6 o la 4.8). La connessione tra 1841 e client VPN avviene correttamente (lo stato del client è connesso e mi viene assegnato un IP correttamente) ma non riesco a pingare l'interfaccia fastethernet0/0 del 1841 o un qualsiasi host della rete della sede principale.
La stessa configurazione funziona correttamente se al posto del 1841 utilizzo un router 837 con la verione 12.2.13 in quanto si connette e pingo interfaccia ethernet del router e host.
Avete qualche idea?
Grazie.
Allego configurazione 1841.
Inviato: gio 09 nov , 2006 12:12 pm
da Wizard
Prova a fare così:
ip route 192.168.10.11 255.255.255.255 62.94.58.1
In sostanza routa fuori l'ip del pool del vpn client
fammi sapere
Inviato: ven 10 nov , 2006 11:59 am
da nicolanew
Niente da fare....
Si collega ma non riesco a pingare.
Inviato: ven 10 nov , 2006 12:01 pm
da Wizard
Verifica tramite le statistiche del vpn client se il nat traversal (nat-t) è abilitato
Inviato: ven 10 nov , 2006 1:02 pm
da nicolanew
Dalle statistiche risulta che il nat-t è abilitato (porta 4500/UDP)...
Ho notato che il client vpn manda via i pacchetti correttamente e che il router li decrypta, ma lì sembrano fermarsi.
Inviato: ven 10 nov , 2006 5:36 pm
da Wizard
Che indirizzo ip prendi quando entri in vpn?
Prova a mettere queste righe:
ip route 192.168.15.0 0.0.0.255 62.94.58.1
ip route 192.168.10.0 0.0.0.255 62.94.58.1
Inviato: ven 10 nov , 2006 6:12 pm
da nicolanew
Il pc si prende un indirizzo tra 192.168.15.10 e 192.168.15.15.
Avevo già provato a inserire le due route statiche, ma senza risultato...
La cosa strana è che con router 837 con IOS 12.2.X funziona tutto alla perfezione. Su altri router 837 con IOS 12.4 ho lo stesso problema.
Inviato: ven 10 nov , 2006 6:45 pm
da Wizard
Questa è una conf tipo x un vpn client testata con la 12.4
Confronta con la tua config e fammi sapere:
crypto isamp enable
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration group remote-vpn
key mt%aidv^^doigtle009isooXDbreone
pool remote-pool
acl 151
crypto ipsec transform-set VPN-CLI-SET esp-3des esp-md5-hmac
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI-SET
crypto map remotemap local-address loopback0
crypto map remotemap client authentication list userauthen
crypto map remotemap isakmp authorization list groupauthor
crypto map remotemap client configuration address respond
crypto map remotemap 10 ipsec-isakmp dynamic remote-dyn
interface atm0.1
crypto map remotemap
ip local pool remote-pool 192.168.0.200 192.168.0.203
ip route 192.168.0.200 255.255.255.252 atm0.1
username remoto01 password +++
username remoto02 password +++
username remoto03 password +++
username remoto04 password +++
username remoto05 password +++
no access-list 151
access-list 151 rem *** ACL PER SPLIT-TUNNEL DA VPN-CLIENT ***
access-list 151 remark *************************************************************
access-list 151 permit ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 151 remark *************************************************************
no access-list 101
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT E NAT0 ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.0.200 0.0.0.3
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Inviato: ven 10 nov , 2006 7:17 pm
da nicolanew
Ho visto che utilizzi:
crypto map remotemap local-address loopback0.
Il client fa capo ad una interfaccia loopback?
Inviato: lun 13 nov , 2006 3:40 pm
da Wizard
Con "crypto map remotemap local-address INT" indichi la interfaccia a cui deve puntare il vpn client, quella con l'ip che può fare traffico insomma!
Se non metti il comando di default usa la atm0.1
Inviato: lun 13 nov , 2006 7:01 pm
da nicolanew
Ho risolto!
Ho fatto un upgrade di versione e sembra funzionare bene...
Ho inoltre mantenuto, come suggerivi:
ip route 192.168.15.0 0.0.0.255 62.94.58.1
ip route 192.168.10.0 0.0.0.255 62.94.58.1
Grazie Wizard per la disponibilità.
Inviato: lun 13 nov , 2006 10:23 pm
da amatteo78
ciao... che versione hai messo di ios ?? puoi mica postare la conf... ho già messo un altro post ho fatto mille prove ma non risolvo....
Tutte le volte che pingo un indirizzo privato che ha un nat static attivo mi risponde il pubblico....???
Avete idea ??
Inviato: ven 17 nov , 2006 6:27 pm
da Wizard
Se ti risp il pubblico è un problema di NAT, controlla la acl del NAT!