VPN SOHO97

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
alpha
n00b
Messaggi: 9
Iscritto il: lun 05 giu , 2006 12:30 pm
Località: Roma
Contatta:
Contatta alpha

Salve a tutti.
sto tentando di collegare in vpn due sedi remote(come fanno in tanti) ma per adesso ancora nn sono riuscito a risolvere il mio problema. Qualcuno puo dare una letta alla mia conf e instradarmi sull retta via? :-)
Considerate che i due router sono due SOHO97 s.o.12.3 e hanno la stessa conf; unica differenza sta nella ETH0.....ovviamente!! ;)

Grazie a tutti

Using 3618 out of 131072 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1kghjgghftyjghv.L2tyuyWk.
!
username Router password 7 jlòjklòjljoh
username CRWS_Ulags privilege 15 password 7 kjkjbklbjklbjklbhjhjnjkbjkbjhb
ip subnet-zero
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
no aaa new-model
!
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 pippo hostname sede2
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description tunnel sede2
set peer ip_sede2
set transform-set T1
match address 101
!
!
!
interface Ethernet0
ip address a.b.c.d ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname USERNAME
ppp chap password 7 060A0A2E1D1F5C4C
ppp pap sent-username USERNAME password DASDFDASFDASF
hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
ip nat inside source list 102 interface Dialer1 overload
!
access-list 23 permit a.b.c.0 0.0.0.255
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip a.b.c.0 0.0.0.255 e.f.g.0 0.0.0.255(rete sede2)
access-list 102 permit ip a.b.c.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
------------------------
e-mail: [email protected]
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Beh direi che intanto manca una cosa fondamentale...devi applicare la crypto map alla interfaccia pubblica quindi:

conf t
isakmp enable
int dialer1
crypto map SDM_CMAP_1

inoltre, nella acl del nat, la 102 devi configrare il de-nat prima
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
alpha
n00b
Messaggi: 9
Iscritto il: lun 05 giu , 2006 12:30 pm
Località: Roma
Contatta:
Contatta alpha

Ciao Wiz,
Come puoi immaginare sono ancora alle prime armi con cisco os......

Credevo che fosse sufficiente mettere la crittatura nella principale con:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 pippo hostname sede2
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description tunnel sede2
set peer ip_sede2
set transform-set T1
match address 101

ma se dici che è meglio(O necessario) farlo nella Dialer1(la pubblica che uso per internet) proverò così. ............solo che per fare le prove mi tocca camminare in qua e in là per le due sedi..........vabbé come dice mia nonna: "Chi non ha buona testa abbia buone gambe!!!" :)

Cmq Posso chiederti anche il perché?; nn dovrebbe associare la crittaturea quando arriva una chiamata da Hostame Sede2, utilizzando la conf che ho postato? (Ti chiedo questo solo per cercare di capire meglio il tutto!!!)

Quando invece mi dici:" inoltre, nella acl del nat, la 102 devi configrare il de-nat prima " scusami ma da neonato in materia non ho capito cosa devo fare!!!

Intanto ti ringrazio per l'interessamento e ti auguro buon lavoro
------------------------
e-mail: [email protected]
Top
alpha
n00b
Messaggi: 9
Iscritto il: lun 05 giu , 2006 12:30 pm
Località: Roma
Contatta:
Contatta alpha

ho provato con:

conf t
isakmp enable

ma mi da errore.......:( sembra che non gli piaccia.

Sai se può essere un problema di s.o.? ho la 12.3 e sto parlando di un soho97

Ciao
------------------------
e-mail: [email protected]
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Scusa ma sono stato un po' impeganto in questi giorni..., intanto ti consiglierei di aggiornare la IOS alla ultima stabile poi devi per forza applicare la crypto map ad una interfaccia (la pubblica) altrimenti non parte l'sakmp anche nelle ultime ios.
Per il de-nat: Fai una regola, una acl, prima di quella attuale dove gli neghi il traffico dalla tua lan alla lan remota tipo:

access-l 102 deny ip RETE_LAN 0.0.0.255 RETE_REMOTA 0.0.0.255
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
alpha
n00b
Messaggi: 9
Iscritto il: lun 05 giu , 2006 12:30 pm
Località: Roma
Contatta:
Contatta alpha

Beh tanto per cominciare credo di essere io a doverti ringraziere e non tu a doverti scusare..........mi stai gentilmente dando una mano ;)

Come riesco a scaricare il 12.4 (non ho ancora capito come avere accesso al cco del sito cisco.......manderò loro una mail) lo installo e spero di ottenere il comando "isakmp" che pare non esistere attualmente nel mio router.

il de-nat avevo dato uno sguardo in giro e iniziavo ad intuire cosa fosse......la tua conferma con le linee guida che mi hai dato mi fanno molto comodo.

Faccio ancora qualche prova.
Ciao
------------------------
e-mail: [email protected]
Top
Rispondi

Torna a “VPN”