Cisco 1751 e VPN con un apparato dinamico

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Blade McKain
Cisco fan
Messaggi: 36
Iscritto il: mar 17 lug , 2007 11:19 pm

salve a tutti
ho la necessità di creare delle vpn fra il mio cisco 1751 e dei netgear dg834g che hanno il supporto vpn
il mio cisco ha un ip dinamico ( adsl alice )
ho creato una connessione site-to-site fra il mio 1751 e un dg834g statico ( alice business ) e funziona, la vpn va su e vedo i computer dal altra parte
Ora ho la necessità di creare un altra vpn tra il mio 1751 e un dg834g con ip dinamico ( alice adsl )
ho riportato le stesse configurazioni fatte per l'altra vpn tranne che alla riga
set peer xxx.dyndns.com dynamic

il problema è che mentre la prima vpn funziona bene questa non va su
posto la config attuale

Codice: Seleziona tutto


!
! No configuration change since last restart
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
no logging console
!
no aaa new-model
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.11.250 192.168.11.254
!
ip dhcp pool LAN
   import all
   network 192.168.11.0 255.255.255.0
   default-router 192.168.11.254 
   dns-server 194.243.154.62 212.216.112.112 
!
!
!
ip name-server 212.216.112.112
ip ddns update method dyndns
 HTTP
  add http://aaaaa:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 1 0 0 0
!
!
!
! 
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
 group 2
crypto isakmp key pas1 address xx.xx.xxx.xxx
crypto isakmp key pas2 hostname ccccc.dyndns.com
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-des esp-md5-hmac 
!
crypto map VPN 11 ipsec-isakmp 
 description vpn1
 set peer xx.xx.xxx.xxx
 set transform-set ESP-3DES-SHA 
 match address 150
!
crypto map VPN 12 ipsec-isakmp 
 description vpn2
 set peer ccccc.dyndns.com dynamic
 set transform-set ESP-3DES-SHA 
 match address 151
!
!
!
interface Ethernet0/0
 no ip address
 shutdown
 half-duplex
!
interface FastEthernet0/0
 description $ETH-LAN$
 ip address 192.168.11.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 speed auto
 no keepalive
!
interface ATM1/0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 ip ddns update hostname xxx.dyndns.com
 ip ddns update dyndns host xxx.dyndns.com
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp chap hostname aaaaa
 ppp chap password 0 bbbbbb
 ppp pap sent-username aaaaa password 0 bbbbbb
 crypto map VPN
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip nat log translations syslog
ip nat inside source static tcp 192.168.11.101 21 interface Dialer0 21
ip nat inside source static tcp 192.168.11.101 23 interface Dialer0 23
ip nat inside source static tcp 192.168.11.101 79 interface Dialer0 79
ip nat inside source static udp 192.168.11.101 6997 interface Dialer0 6997
ip nat inside source static tcp 192.168.11.250 2454 interface Dialer0 2454
ip nat inside source static tcp 192.168.11.254 21 interface Dialer0 22
ip nat inside source static tcp 192.168.11.254 80 interface Dialer0 80
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 remark *** ACL PER NAT ***
access-list 101 deny   ip 192.168.11.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip 192.168.11.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.11.0 0.0.0.255 any
access-list 150 remark *** CRYPTO ACL PER TUNNEL IPSEC***
access-list 150 permit ip 192.168.11.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 151 remark *** CRYPTO ACL PER TUNNEL IPSEC***
access-list 151 permit ip 192.168.11.0 0.0.0.255 192.168.100.0 0.0.0.255
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password xxxxxxx
 login local
 transport input telnet ssh
!
ntp clock-period 17179909
ntp server 193.204.114.232 source Dialer0 prefer
ntp server 193.204.114.233 source Dialer0
end
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Vuoi fare una vpn l2l tra 2 apparati aventi entrambi ip pubblico dinamico?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Blade McKain
Cisco fan
Messaggi: 36
Iscritto il: mar 17 lug , 2007 11:19 pm

si, è possibile?
attualmente sono riuscito a mettere su una vpn funzionante fra il mio cisco 1751 ( ip dinamico ) e un netgear dg834g ( ip fisso ) o uno zywall 5 ( ip fisso )
Ma non riesco a far funzionare la vpn fra il mio cisco 1751 ( ip dinamico ) e un netgear dg834g ( ip dinamico )
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Almeno un ip statico ci vuole...
Puoi fare una connessione vpn client però puntando ad un dyn dns
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Blade McKain
Cisco fan
Messaggi: 36
Iscritto il: mar 17 lug , 2007 11:19 pm

Wizard ha scritto:Almeno un ip statico ci vuole...
Puoi fare una connessione vpn client però puntando ad un dyn dns
si un dyndns va bene ( uso dyndns come servizio per entrambi ) come dovrei procedere?

- non si potrebbe creare sennò uno script da fare eseguire in kron che ogni 5 minuti risolva l'ip relativo all hostname ( xxx.dyndns.com ) e se diverso lo vada a cambiare nella config?
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Codice: Seleziona tutto

- non si potrebbe creare sennò uno script da fare eseguire in kron che ogni 5 minuti risolva l'ip relativo all hostname ( xxx.dyndns.com ) e se diverso lo vada a cambiare nella config?
E' + semplice comprare una linea con un ip statico!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Blade McKain
Cisco fan
Messaggi: 36
Iscritto il: mar 17 lug , 2007 11:19 pm

Wizard ha scritto:

Codice: Seleziona tutto

- non si potrebbe creare sennò uno script da fare eseguire in kron che ogni 5 minuti risolva l'ip relativo all hostname ( xxx.dyndns.com ) e se diverso lo vada a cambiare nella config?
E' + semplice comprare una linea con un ip statico!
si ma è molto + costoso :D
è davvero così difficile ?

cmq non vorrei dire ma un netgear da 30 euro supporta le vpn dynamic to dynamic e un cisco no?
Top
Blade McKain
Cisco fan
Messaggi: 36
Iscritto il: mar 17 lug , 2007 11:19 pm

pensi che potrei utilizzare come base questo script?

http://www.ciscoforums.it/viewtopic.php?p=24231

una domanda banale...come si uploada un file in flash?
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Io prenderei una linea con 1 IP statico!
Cmq, per caricare un file in falsh via tftp:

copy tftp flash
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
stanketto
Cisco fan
Messaggi: 31
Iscritto il: mar 30 ott , 2007 4:27 pm

Io penso che le cose più facili siano le più noiose,anche io adotterò la soluzione ddns tra due vpn a grande distanza.
L'ip statico va bene è comodissimo ma sei più soggetto anche ad attacchi e maggiormente controllabile;quindi per chi desidera qualcosa di semplice va benissimo e deve funzionare.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Io penso che le cose più facili siano le più noiose,anche io adotterò la soluzione ddns tra due vpn a grande distanza.
E come fai nella configurazione?
Sui Cisco nn puoi mettere nomi negli host remoti ma solo IP
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
stanketto
Cisco fan
Messaggi: 31
Iscritto il: mar 30 ott , 2007 4:27 pm

Proprio come ha fatto il ragazzo che ha postato la conf nella crypto map specifichi l'hostname e l'opzione dinamic,così viene risolto il nome al momento della creazione della VPN.

crypto map cmap 1 ipsec-isakmp
set peer ddnshostname dynamic
set transform-set tset
match address 100
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

crypto map cmap 1 ipsec-isakmp
set peer ddnshostname dynamic
set transform-set tset
match address 100
Grazie della info! Si impara sempre qualcosa di nuovo!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Rispondi

Torna a “VPN”