VPN un pò di teria e di pratica...chi mi aiuta?

zot · gio 08 feb , 2007 11:30 pm

Ho due bei 837 nuovi di pacca e mi sono detto : perchè non mandare in pensione il fido 2600 e cominciare a creare una bella rete geografica sfruttando la funzionalità VPN che hanno sti router?
Visto che supportano SDM e lo avevano su mi sono detto : mo faccio tutto da web.
Devo dire che l'interfaccia SDM è molto stabile,curata e velocizza veramente la configurazione poi ha il grande pregio che cose "fini" che magari da CLI sfuggono o sono troppo lunghe vengono fatte in un attimo...ciò ci permette di sfruttare veramente i mostri mostriciattoli....
Vengo al dunque:
Ho intenzione di creare un tunnel VPN da casa mia all'ufficio e dopo un po di testing ,cominciare a OBBLIGARE i miei clienti a buttare i vari giocattolini netgear e via dicendo e prendesi dei bei CISCO .
Qual'è la configurazione che mi conviene adottare tenendo presente in primo luogo la sicurezza,poi che giocherò anche con un po di VOIP (QoS necessario quindi)?
Io l'ho pensata così : si va di network classe C ovvero un router avrà indirizzo interfaccia ethernet 192.168.0.1 255.255.0.0 l'altro 192.168.1.1 un altro 192.168.2.1 e via dicendo.
Mi piacerebbe anche usare DHCP per tutti i PC quindi ogni rete avrà un pool d'indirizzi.Il dubbio e che quando sono su i tunnel VPN gli host come faranno a sapere qual'è il loro server DHCP?Non c'è il rischio che un host della rete 192.168.0.0 si becchi un lease da un router su rete 192.168.1.0?
Altra cosa carina che mi piacerebbe è quella di far uscire tutto il traffico internet da un unico router ...penso che questo sia fattibile a livello di roting no ?
Ultima cosa se faccio una VPN "site to site" mi precludo la possibilità di far connettere client remoti?
Qual'è la differenza tra "site to site" e "easy VPN"?
Se qualcuno avrà mai il coraggio di leggere sta solfa e anche di rispondere magari,lo ringrazio fin d'ora.

zot · mar 27 feb , 2007 9:46 am

In quest'articolo pare che ho trovato una possibile soluzione
http://www.cisco.com/en/US/tech/tk583/t ... 49ef.shtml

Solo che vedo che l'indirizzo IP pubblico viene assegnato alla Eth0 mentre io ce l'ho sull'ATM...come potrei ovviare?
Vi posto la conf di uno dei router su cui dovrebbe andare la VPN.

version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname se-team-te
!
boot-start-marker
boot-end-marker
!
enable password xxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1 192.168.0.29
ip dhcp excluded-address 192.168.0.91 192.168.0.254
!
ip dhcp pool SE_CLIENT
network 192.168.0.0 255.255.255.0
domain-name xxxxxxxxxxxxxxxx
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.0.1
lease 6
!
ip dhcp pool Server3
host 192.168.0.25 255.255.255.0
client-identifier 0100.3005.8bdd.71
client-name Server3
default-router 192.168.0.1
dns-server 151.99.125.1 151.99.0.100
domain-name xxxxxxxxxxxxxxxx
!
ip dhcp pool pc-baldassarre
host 192.168.0.26 255.255.255.0
client-identifier 0100.3005.8bdc.eb
client-name pc-baldassarre
default-router 192.168.0.1
dns-server 151.99.125.1 151.99.0.100
domain-name xxxxxxxxxxxxxxxx
!
ip dhcp pool pc-de-patre
host 192.168.0.27 255.255.255.0
client-identifier 0100.3005.b741.79
client-name PC-de-patre
default-router 192.168.0.1
dns-server 151.99.125.1 151.99.0.100
domain-name xxxxxxxxxxxxxxxx
!
!
ip cef
ip domain name teramoambiente.lan
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
!
username xxxxxxxxxx privilege 15 password xxxxxxxxxxxxxxx
!
!
!
!
!
interface Ethernet0
description Interfaccia Ethernet Interna
ip address 192.168.0.1 255.255.255.0
ip access-group 130 in
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no ip route-cache cef
no ip route-cache
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description Interfaccia WAN Esterna
ip address yyy.yyy.yyy.yyy 255.255.255.0 #ip pubblico assegnato
ip access-group 120 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
no ip http secure-server
!
ip nat pool IP_NAT_OUTSIDE yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy netmask 255.255.255.0
ip nat inside source list 100 pool IP_NAT_OUTSIDE overload
ip nat inside source static tcp 192.168.0.100 3390 interface ATM0.1 3390
ip nat inside source static tcp 192.168.0.3 3389 interface ATM0.1 3389
ip nat inside source static tcp 192.168.0.100 80 interface ATM0.1 80
!
access-list 23 remark *** ACL per Teleassistenza
access-list 23 permit zzz.zzz.zzz.zzz #ip mio ufficio
access-list 23 permit xxx.xxx.xxx.xxx #ip altra sede
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 100 remark *** ACL per IP_NAT_OUTSIDE
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 remark *** ACL controllo ingressi ATM0.1 NET_IN
access-list 120 permit icmp any any administratively-prohibited
access-list 120 permit tcp any any eq telnet
access-list 120 permit tcp any any eq 3389
access-list 120 permit tcp any any eq 3390
access-list 120 permit tcp any any eq www
access-list 120 permit icmp any any echo
access-list 120 permit icmp any any echo-reply
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any time-exceeded
access-list 120 permit icmp any any traceroute
access-list 120 permit icmp any any unreachable
access-list 120 permit esp any host yyy.yyy.yyy.yyy
access-list 120 permit udp any host yyy.yyy.yyy.yyy eq isakmp
access-list 120 deny ip any any
ccess-list 130 remark *** ACL controllo ingressi Ethernet0 NET_OUT
access-list 130 permit udp any any eq bootps
access-list 130 permit icmp 192.168.0.0 0.0.0.255 any
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 23
access-list 130 permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq domain
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq smtp
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq pop3
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq ftp
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 5900
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 3389
access-list 130 deny ip any an

in pratica dovrei aggiungere

crypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp key zzzzzzzzz address yyy.yyy.yyy.zzz(#ip router remoto) no-xauth
crypto isakmp key xxxxxxxx address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local test-pool
!
crypto ipsec transform-set testset esp-des esp-md5-hmac
!
crypto dynamic-map test-dynamic 10
set transform-set testset
!
crypto map test client configuration address initiate
crypto map test client configuration address respond
!
crypto map test 5 ipsec-isakmp
set peer yyy.yyy.yyy.zzz(#ip router remoto)
set transform-set testset
match address 115
!
!
crypto map test 10 ipsec-isakmp dynamic test-dynamic
!
interface ATM0.1 pioint-to-point
crypto map test
!
ip local pool test-pool 192.168.0.91 192.168.0.120
!
ip nat inside source route-map nonat interface ATM0.1 overload
!
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
access-list 115 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
!
route-map nonat permit 10
match ip address 110

e ci dovrei essere??!!
Le acl poi sono OK?

Una manina purfavor......

Wizard · mar 27 feb , 2007 11:35 am

Se fossi in te procederei per gradi...

- Config router per collegamento adsl
- Configurazione dhcp, acl e firewall
- Configurazione vpn
- Configurazione qos
- ...

zot · mar 27 feb , 2007 7:49 pm

Le prime due già sono su,andando con ordine mi manca proprio la VPN

zot · mar 27 feb , 2007 8:04 pm

Dopo questo comando il router mi ha buttato fuori..
#route-map nonat permit 10

Perchè!!???

Wizard · mer 28 feb , 2007 9:28 am

Intanto ti consiglio di gestire il de-nat (nat0) direttamente nella acl del nat

zot · lun 05 mar , 2007 5:39 pm

Sono al collasso...non scherzo, tutto quello che studio da ora in poi va a casino....
Ho due connessioni che ,tanto per divertimento sono diverse : una è una multigroup con 6 IP pubblici con tanto di GW point-to-point,l'altra è una Smart 1 con UN solo indirizzo IP pubblico e senza GW point-to-point.
Vorrei fare le cose per benino,ma,per disperazione ho sbordellato le conf usando l' SDM.Mi sono ripromesso di ripulirle,anzi di rifarle da capo.
Mi manca la VPN site-to-site NON CE LA FACCIO PROPRIO!!!.
Io posto qui le due conf,se qualcuno mi volesse dare una mano per fare sta cavolo di VPN....

MULTIGROUP con 6 IP pubblici:

ersion 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ci-team-te
!
boot-start-marker
boot-end-marker
!
enable secret xxxxxxxxxxxxxxx
!
no aaa new-model
!
!
!
username xxxxx privilege 15 secret xxxxxxxxxxxxxxxxx
!
!
!
interface Loopback0
ip address [indirizzo IP pubblico] 255.255.255.248
ip access-group 120 in
ip nat outside
ip virtual-reassembly
no ip mroute-cache
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip access-group 130 in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address [indirizzo IP GW point-to-point] 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 [indirizzo IP GW point-to-point 254 finale (xxx.xxx.xxx.254)]
!
ip http server
ip http access-class 80
no ip http secure-server
!
ip nat inside source static tcp [indirizzo IP LAN server TS] 3389 interface ATM0.1 3389
!
ip nat inside source list 100 interface Loopback0 overload
!
access-list 23 remark *** ACL per Teleassistenza
access-list 23 permit [indirizzo IP mio ufficio]
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 80 remark ***SDM***
access-list 80 permit 192.168.0.0 0.0.0.255
access-list 80 permit [indirizzo IP mio ufficio]
access-list 100 remark ***IP_NAT_OUTSIDE***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 remark ***IN***
access-list 120 permit icmp any any administratively-prohibited
access-list 120 permit icmp any any echo
access-list 120 permit icmp any any echo-reply
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any time-exceeded
access-list 120 permit icmp any any traceroute
access-list 120 permit icmp any any unreachable
access-list 120 permit tcp host [indirizzo IP mio ufficio] [indirizzo IP LAN server TS] 255.255.255.0 eq 3389
access-list 120 deny ip any any
access-list 130 remark ***OUT***
access-list 130 permit icmp 192.168.0.0 0.0.0.255 any
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 23
access-list 130 permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq domain
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq smtp
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq pop3
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq ftp
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 5900
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 3389
access-list 130 deny ip any any
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet
!
scheduler max-task-time 5000

SMART 1 con UN indirizzo pubblico

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname se-team-te
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret xxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
!
!
!
resource policy
!
!
!
!
!
ip cef
!
!
!
!
username xxxxxx privilege 15 secret xxxxxxxxxxxxxxx
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group 130 in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address [indirizzo IP pubblico] 255.255.255.0
ip access-group 120 in
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 80 in
!
ip nat inside source static tcp [indirizzo IP LAN server TS] 3389 interface ATM0.1 3389
ip nat inside source static tcp [indirizzo IP LAN server WEB] 80 interface ATM0.1 80
!
ip nat pool IP_NAT_OUTSIDE [indirizzo IP pubblico] [indirizzo IP pubblico] netmask 255.255.255.0
ip nat inside source list 100 pool IP_NAT_OUTSIDE overload
ip classless
!
access-list 80 remark ***SDM***
access-list 80 permit 192.168.0.0 0.0.0.255
access-list 80 permit [indirizzo IP mio ufficio]
access-list 23 remark ***TELNET***
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit [indirizzo IP mio ufficio]
access-list 100 remark ***IP_NAT_OUTSIDE***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 remark ***IN***
access-list 120 permit icmp any any administratively-prohibited
access-list 120 permit icmp any any echo
access-list 120 permit icmp any any echo-reply
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any time-exceeded
access-list 120 permit icmp any any traceroute
access-list 120 permit icmp any any unreachable
access-list 120 permit tcp host [indirizzo IP mio ufficio] [indirizzo IP LAN server TS] 255.255.255.0 eq 3389
access-list 120 permit tcp host [indirizzo IP mio ufficio] [indirizzo IP LAN server WEB] 255.255.255.0 eq 80
access-list 120 deny ip any any
access-list 130 remark ***OUT***
access-list 130 permit icmp 192.168.0.0 0.0.0.255 any
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 23
access-list 130 permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq domain
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq smtp
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq pop3
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq ftp
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 5900
access-list 130 permit tcp 192.168.0.0 0.0.0.255 any eq 3389
access-list 130 deny ip any any
!
!
!
control-plane
!
banner login ^C
****************************************************************
ATTENZIONE:
Ogni accesso non autorizzato e' proibito.
Ogni tentativo di accedere viene controllato e registrato.
Chiunque tenti di immettersi nel sistema verra' perseguito
a norma di legge.

Unauthorized access is prohibited.

****************************************************************
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
login local
access-class 23 in
transport input telnet

!
scheduler max-task-time 5000

Wizard · lun 05 mar , 2007 5:52 pm

Configurazione tipo per vpn l2l tra 2 router cisco (chiaramente la config sarà uguale ma "inversa" sui 2 router):

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key **** address *** no-xauth

crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac

crypto map VPN local-address atm0.1
crypto map VPN 10 ipsec-isakmp
set peer ***
set transform-set VPN-SET
match address 151

interface ***
crypto map VPN

no access-list ***
access-list 101 remark *************************************************************
access-list 101 remark *** ACL PER PAT ***
access-list 101 remark *************************************************************
access-list 101 deny ip 192.168.*.0 0.0.0.255 192.168.*.0 0.0.0.255
access-list 101 permit ip 192.168.*.0 0.0.0.255 any

no access-list 151
access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC ***
access-list 151 remark *************************************************************
access-list 151 permit ip 192.168.*.0 0.0.0.255 192.168.*.0 0.0.0.255
access-list 151 remark *************************************************************

zot · lun 05 mar , 2007 8:10 pm

La cosa che m'importa di più è quella di si,mettere su la VPN tra ste due sedi,ma anche di capire come si fà.
Da quello che ho potuto capire fin d'ora la cripto map XXX va associata all'interfaccia che fa nat outside.
La ACL (la 101 che hai scritto tu e la 100 nelle mie conf giusto?)legata all'interfaccia di nat outside serve a "nattare" il traffico tra le due reti LAN dei router?Ha qualche altra funzione?
Le policy della cripto map sono indicate da crypto isakmp policy 10 mentre crypto ipsec transform-set YYY serve ad indicare come crittografare il tunnel ipsec ed andrà indicata nella cripto map ( set transform-set YYY).
Match address 151 indica la ACL da prendere in considerazione per il traffico della cripto map...e qui non capisco a cosa serve!!
Altra cosa crypto map VPN local-address atm0.1 indica il punto in cui il traffico comincerà ad essere crittografato? Perchè io in un caso sull' ATM0.1 ho l'indirizzo GW punto-punto in un altro ho l'indirizzo IP pubblico.
Nel primo caso sarebbe corretto indicare cripto map VPN [IP pubblico] Loopback0 ?Visto che l'indirizzo che "esce fuori" o meglio,l'interfaccia che fa nat outside è proprio la Loopback0 ?
Sempre tenendo presente questa considerazione,non sarebbe più corretto correggere le righe della mia configurazione Smart 1
ip nat pool IP_NAT_OUTSIDE [indirizzo IP pubblico] [indirizzo IP pubblico] netmask 255.255.255.0
ip nat inside source list 100 pool IP_NAT_OUTSIDE overload
in
ip nat inside source list 100 interface ATM0.1 overload

Detto tutto ciò due considerazioni di merito che proprio non ci capisco nulla : se io ho due router in due network diversi (192.168.0.1/24 e 192.168.1.0/24)come fanno a vedersi?O è proprio la ACL access-list 101 permit ip 192.168.*.0 0.0.0.255 any che permette il traffico tra due network diversi?Allora non sarebbe più giusto assegnare ai due router due network identiche ovvero 192.168.0.1/16 e 192.168.1.1/16?
Chiaramente mancano le ACL per la VPN sul traffico IN e il traffico OUT (la 120 e la 130 nelle mie configurazioni) e qui proprio non saprei che metterci ....
Inoltre se volessi aggiungere altri peer collegati dovrei scrivere altre crypto isakmp policy X1,crypto map XX1 ed aggiungere all'interfaccia nat outside crypto map XXX crypto map XX1 crypto map XX2........o c'è qualche altro metodo?
Se rispondi a tutto questo.....avrai insegnato ad uno che si è fuso il cervello a forza di spremersi le meningi sulle VPN...altrimenti ti capisco.....

Wizard · mar 06 mar , 2007 9:56 am

La ACL (la 101 che hai scritto tu e la 100 nelle mie conf giusto?)legata all'interfaccia di nat outside serve a "nattare" il traffico tra le due reti LAN dei router?Ha qualche altra funzione?

La acl 101 nel mio caso è quella acl che gestisce il nat verso esterno e il nat0 per la vpn

Le policy della cripto map sono indicate da crypto isakmp policy 10 mentre crypto ipsec transform-set YYY serve ad indicare come crittografare il tunnel ipsec ed andrà indicata nella cripto map ( set transform-set YYY).

OK

Match address 151 indica la ACL da prendere in considerazione per il traffico della cripto map...e qui non capisco a cosa serve!!

Indica che traffico può\deve passare in quel tunnel

Altra cosa crypto map VPN local-address atm0.1 indica il punto in cui il traffico comincerà ad essere crittografato? Perchè io in un caso sull' ATM0.1 ho l'indirizzo GW punto-punto in un altro ho l'indirizzo IP pubblico.
Nel primo caso sarebbe corretto indicare cripto map VPN [IP pubblico] Loopback0 ?Visto che l'indirizzo che "esce fuori" o meglio,l'interfaccia che fa nat outside è proprio la Loi opback0 ?

Se tu hai una loopback si, va messa la loopback come interfaccia. La ATM0.1 è il default, se però l'ip che fa traffico e su una altra interfaccia devi gestire la cosa con quel comando

Sempre tenendo presente questa considerazione,non sarebbe più corretto correggere le righe della mia configurazione Smart 1
ip nat pool IP_NAT_OUTSIDE [indirizzo IP pubblico] [indirizzo IP pubblico] netmask 255.255.255.0
ip nat inside source list 100 pool IP_NAT_OUTSIDE overload
in
ip nat inside source list 100 interface ATM0.1 overload

Funzionano entrambe però se hai un solo ip pubblico ti consiglio la seconda

Detto tutto ciò due considerazioni di merito che proprio non ci capisco nulla : se io ho due router in due network diversi (192.168.0.1/24 e 192.168.1.0/24)come fanno a vedersi?O è proprio la ACL access-list 101 permit ip 192.168.*.0 0.0.0.255 any che permette il traffico tra due network diversi?Allora non sarebbe più giusto assegnare ai due router due network identiche ovvero 192.168.0.1/16 e 192.168.1.1/16?

Se avessi 2 network uguali la vpn non riusciresti mai a farla andare.

Chiaramente mancano le ACL per la VPN sul traffico IN e il traffico OUT (la 120 e la 130 nelle mie configurazioni) e qui proprio non saprei che metterci ....
Inoltre se volessi aggiungere altri peer collegati dovrei scrivere altre crypto isakmp policy X1,crypto map XX1 ed aggiungere all'interfaccia nat outside crypto map XXX crypto map XX1 crypto map XX2........o c'è qualche altro metodo?
Se rispondi a tutto questo.....avrai insegnato ad uno che si è fuso il cervello a forza di spremersi le meningi sulle VPN...altrimenti ti capisco.....

Intanto fai funzionare questa vpn, una volta che questa prima vpn funziona farai le altre

zot · mar 06 mar , 2007 11:38 am

Bhe che dire GRAZIE

!!!
Stanotte ho finalmente dormito e il cervello ringrazia......

MA la tua ACL 101 su quale interfaccia va ad agire?

Wizard · mar 06 mar , 2007 11:41 am

Su quella che fa il nat inside.

zot · mar 06 mar , 2007 12:41 pm

Nel caso specifico :

Quindi la ACL 101 sarà la ACL indicata in

interface ethernt0
ip access-group 101 in

il permit è per la rete interna e il deny ??

Quindi nella 101 ci andranno pure tutte le altre ACL relative a quell'interfaccia tipo:
access-list 101permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq domain
access-list 101permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq smtp
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq pop3
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq ftp

Ora ne sto approfittando lo ammetto.....

Wizard · mar 06 mar , 2007 12:48 pm

Non ci siamo capiti, la acl 101 (nel mio caso) è la acl che gestice il nat e basta non è una acl che regola gli accesi.

zot · mar 06 mar , 2007 1:09 pm

OK quindi diciamo che il discorso per il PAT è così.

ip nat inside source list 100 interface ATM0.1 overload
ip nat inside source list 101 interface Ethernet0 overload

access-list 100 remark ***NAT_OUTSIDE***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark ***NAT_INSIDE***
access-list 101 deny ip 192.168.*.0 0.0.0.255 192.168.*.0 0.0.0.255
access-list 101 permit ip 192.168.*.0 0.0.0.255 any

Quindi il NAT per l'interfaccia ATM0.1(con il comando sotto l'interfaccia ip nat outise ) indica che la rete 192.168.0.0 "esce fuori" da quell'interfaccia con la regola 100.
La ACL 101 indica invece come e quale traffico viene nattato sull' interfaccia Ethernet0 ovvero l'intrfaccia interna ( avendo essa il comando ip nat inside ) .
Di conseguenza e ,corregimi se sbaglio, sulla 101 bisogna bloccare il traffico della rete interna e permettere quello dell'interfaccia che sta dietro il tunnel VPN...... CI sono???!!!

VPN un pò di teria e di pratica...chi mi aiuta?

Login • Iscriviti