Ma hai visto la config su questo link?!
http://www.ciscoforums.it/viewtopic.php?t=9241
VPN PPTP e Utenti locali... ma se voglio le autorizzazioni?
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
venon2k
- Cisco fan
- Messaggi: 32
- Iscritto il: mer 09 lug , 2008 4:19 pm
Certo che l'ho vista!
Ho ho provato a replicare la conf, ma non riesco a pingare nessun host della rete 192.168.1.0 ...
Mentre con la vpn pptp mi è bastato aggiungere un "ip nat inside" nella Virtual-Template 1 ... con la IPSEC ... niente
Ho ho provato a replicare la conf, ma non riesco a pingare nessun host della rete 192.168.1.0 ...
Mentre con la vpn pptp mi è bastato aggiungere un "ip nat inside" nella Virtual-Template 1 ... con la IPSEC ... niente
-
venon2k
- Cisco fan
- Messaggi: 32
- Iscritto il: mer 09 lug , 2008 4:19 pm
Riciao a tutti!
Ho configurato il router seguendo le istruzioni del post sopra indicato... ho provato e riprovato ma quello che succede è questo:
1. Mi connetto da un client remoto, il login va a buon fine, e mi
viene installata la rotta verso 192.168.1.0 255.255.255.0
2. Dal client riesco a pingare l'indirizzo ip 192.168.1.11 della wan
del router MA NESSUN ALTRO HOST SULLA RETE 192.168.1.0
3. Dalla console del router pingo senza problemi l'ip assegnato
al client remoto
4. Se pingo lo stesso client dal lato lan del router da un computer
locale sulla rete 10.0.0.0 ... il ping va una volta sì una no (rotte fatte
male ho letto da qualche parte.... ma come le devo fare??)
Posto per l' n-esima volta la nuova conf sperando che qualcuno sappia dirmi per favore cosa c'è di sbagliato...
Lo scopo è raggiungere da remoto qualsiasi host che sia computer, appliance ... o quelchessia sulla rete 192.168.1.0 ....
Grazie in anticipo... a chiunque possa darmi un aiuto!
PS. il group "users" c'è ma non è "implementato" ... qui faccio riferimento al gruppo "administrators" ed alla sua relativa configurazione
Ho configurato il router seguendo le istruzioni del post sopra indicato... ho provato e riprovato ma quello che succede è questo:
1. Mi connetto da un client remoto, il login va a buon fine, e mi
viene installata la rotta verso 192.168.1.0 255.255.255.0
2. Dal client riesco a pingare l'indirizzo ip 192.168.1.11 della wan
del router MA NESSUN ALTRO HOST SULLA RETE 192.168.1.0
3. Dalla console del router pingo senza problemi l'ip assegnato
al client remoto
4. Se pingo lo stesso client dal lato lan del router da un computer
locale sulla rete 10.0.0.0 ... il ping va una volta sì una no (rotte fatte
male ho letto da qualche parte.... ma come le devo fare??)
Posto per l' n-esima volta la nuova conf sperando che qualcuno sappia dirmi per favore cosa c'è di sbagliato...
Lo scopo è raggiungere da remoto qualsiasi host che sia computer, appliance ... o quelchessia sulla rete 192.168.1.0 ....
Grazie in anticipo... a chiunque possa darmi un aiuto!
PS. il group "users" c'è ma non è "implementato" ... qui faccio riferimento al gruppo "administrators" ed alla sua relativa configurazione
Codice: Seleziona tutto
Current configuration : 3864 bytes
!
! Last configuration change at 14:07:45 ROME Sun Sep 7 2008
! NVRAM config last updated at 14:07:46 ROME Sun Sep 7 2008
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 ......................
!
aaa new-model
!
!
aaa authentication login USERAUTHENTICATION local
aaa authorization network GROUPAUTHORIZATION local
!
aaa session-id common
!
resource policy
!
clock timezone ROME 1
clock summer-time ROME date Mar 28 2008 2:00 Oct 31 2008 3:00
no network-clock-participate slot 1
no network-clock-participate wic 0
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
no ftp-server write-enable
!
!
!
username ......... privilege 15 password 0 .......
username ........... privilege 15 secret 5 ..............
username ......... password 0 .........
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
no crypto isakmp ccm
!
crypto isakmp client configuration group administrators
key ............
wins 192.168.1.101
domain nexus.net
pool IPSEC-ADM-DIALIN
acl 123
save-password
!
crypto isakmp client configuration group users
key ..............
wins 192.168.1.101
domain nexus.net
pool VPN-DIALIN
acl 101
!
crypto ipsec security-association idle-time 3600
!
crypto ipsec transform-set NEXUS-SET esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMICMAP 10
set transform-set NEXUS-SET
!
!
crypto map CLIENTMAP local-address FastEthernet0/0
crypto map CLIENTMAP client authentication list USERAUTHENTICATION
crypto map CLIENTMAP isakmp authorization list GROUPAUTHORIZATION
crypto map CLIENTMAP client configuration address respond
crypto map CLIENTMAP 10 ipsec-isakmp dynamic DYNAMICMAP
!
!
!
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
ip directed-broadcast
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CLIENTMAP
!
interface Serial0/0
no ip address
shutdown
no dce-terminal-timing-enable
!
interface FastEthernet0/1
ip address 10.0.0.2 255.0.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/1
ip address 172.21.0.2 255.255.255.0
shutdown
no keepalive
no dce-terminal-timing-enable
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip access-group 124 in
peer default ip address pool VPN-DIALIN
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
ppp ipcp mask 255.255.255.0
!
router rip
version 2
network 192.168.1.0
!
ip local pool VPN-DIALIN 192.168.1.120 192.168.1.130
ip local pool IPSEC-ADM-DIALIN 192.168.2.0 192.168.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1 permanent
ip route 192.168.2.0 255.255.255.0 FastEthernet0/0
!
ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source list 125 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.0.0.2 1723 interface FastEthernet0/0 1723
!
access-list 100 permit ip any any
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 124 permit ip any 192.168.1.0 0.0.0.255
access-list 125 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 125 permit ip 10.0.0.0 0.255.255.255 any
access-list 125 permit ip 192.168.1.0 0.0.0.255 any
snmp-server community public RO 1
snmp-server location ..........
snmp-server contact ...........
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 1
privilege level 15
password ..............
line vty 2 4
!
ntp clock-period 17208542
ntp server 193.204.114.232
!
end
Router#
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Perchè ne hai 2:
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source list 125 interface FastEthernet0/0 overload
?
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source list 125 interface FastEthernet0/0 overload
?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
venon2k
- Cisco fan
- Messaggi: 32
- Iscritto il: mer 09 lug , 2008 4:19 pm
Hai ragione! L'ho modificata in questo modo ma continua a fare come ho detto prima...
Codice: Seleziona tutto
ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.0.0.2 1723 interface FastEthernet0/0 1723
!
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 124 permit ip any 192.168.1.0 0.0.0.255
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ma la ACL 123 e 100 hanno dei match?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
venon2k
- Cisco fan
- Messaggi: 32
- Iscritto il: mer 09 lug , 2008 4:19 pm
Quella è la conf intera...
No nessun match ...
avevo provato a metterla ma non è cambiato nulla come questa:
No nessun match ...
avevo provato a metterla ma non è cambiato nulla come questa:
Codice: Seleziona tutto
route-map nonat permit 10
match ip address 100
ip nat inside source route-map nonat interface FastEthernet0/0
-
venon2k
- Cisco fan
- Messaggi: 32
- Iscritto il: mer 09 lug , 2008 4:19 pm
La rete in questione è così fatta:
Usando questa conf riesco a raggiungere qualsiasi cosa sulal rete
10.0.0.0 che abbia pero' impostato il GW a 10.0.0.2
Ora Gli oggetti sulla rete 192.168.1.0 hanno impostato il GW a 192.168.1.1 e modificando la conf in questo modo:
Non sono per niente raggiungibili... perchè comunque credo imho (correggetemi se dico una cosa folle) rispondono alle richieste verso
192.168.1.1 che non sa che farci e droppa i pacchetti!
Come posso fare allora per raggiungere gli oggetti sulla rete 192.168.1.0 lasciando comunque impostato il GW a 192.168.1.1 magari aggiungendo su detti oggetti anche come secondo GW il 192.168.1.11 ???
Scusate l'eventuale folle richiesta...
Grazie in anticipo!
Usando questa conf riesco a raggiungere qualsiasi cosa sulal rete
10.0.0.0 che abbia pero' impostato il GW a 10.0.0.2
Codice: Seleziona tutto
router rip
version 2
network 192.168.1.0
!
ip local pool VPN-DIALIN 192.168.1.120 192.168.1.130
ip local pool IPSEC-ADM-DIALIN 192.168.2.0 192.168.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1 permanent
!
ip http server
ip http authentication local
no ip http secure-server
ip nat pool WANIPS 192.168.1.1 192.168.1.254 netmask 255.255.255.0
ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.0.0.2 1723 interface FastEthernet0/0 1723
ip nat inside source route-map nonat pool WANIPS
access-list 100 deny ip 10.0.0.0 0.255.255.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.2.0 0.0.0.255
route-map nonat permit 10
match ip address 100
Codice: Seleziona tutto
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 124 permit ip any 192.168.1.0 0.0.0.255
route-map nonat permit 10
match ip address 100
192.168.1.1 che non sa che farci e droppa i pacchetti!
Come posso fare allora per raggiungere gli oggetti sulla rete 192.168.1.0 lasciando comunque impostato il GW a 192.168.1.1 magari aggiungendo su detti oggetti anche come secondo GW il 192.168.1.11 ???
Scusate l'eventuale folle richiesta...
Grazie in anticipo!
