VPN Site to Site - cisco 857 e 851 non riesco help

[fr4nz82]

Salve a tutti. Per prima cosa vi ringrazio perchè anche se non ne siete a conoscenza questo forum mi è molto servito fin'ora. Premetto che non ho affrontato nessun tipo di corso e queste config le ho fatte da solo fin'ora ricavando le informazioni reperibili qui e in altri siti.
Devo fare una normalissima VPN site to site, ho configurato tutto e mi pare che non ci siano errori. Sono 2 settimane che provo in tutti i modi ma forse c'è qualcosa che mi sfugge... sicuramente una banalità ci scommetto.
Vi posto le due configurazioni sperando come ultima risorsa in un'aiutino da parte vostra! grazie in anticipo




Cisco 857: (Una parte è stata configurata dal tecnico telecom e non ho osato toccarla.. non capisco perchè ho 2 indirizzi ip nella vlan1!! forse il prob è qui?)

Codice: Seleziona tutto

Current configuration : 4275 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname rieti
!
boot-start-marker
boot-end-marker
!
no logging on
enable secret 5 ************
enable password 7 **********
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-2247734706
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2247734706
 revocation-check none
 rsakeypair TP-self-signed-2247734706
!
!
crypto pki certificate chain TP-self-signed-2247734706
 certificate self-signed 01
  3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32323437 37333437 3036301E 170D3032 30333036 30313233
  34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 32343737
  33343730 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B554 75EBA501 08FCF975 8715D48F 372BBED0 77FF1251 ABC9DF3A 4B2A64E1
  671BFB57 2651E9AD D10DE51D 46440A98 F4E28A0F 3FFBF9DC B147F221 F9EF3929
  0E9DE365 F7E5AE9B CA8202CD BEBF5B0C D1F5AA3F C5A05C36 AEC48E67 B492C04D
  D15FFC6D FFDD7734 7B3E580D F610A2D8 280D7A4C AEAD5C91 32CFB15B 2CB0DA29
  70D50203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
  551D1104 19301782 15726965 74692E6D 61737369 6E656C6C 6976702E 6974301F
  0603551D 23041830 16801483 7D5E4CCC EAD9E089 E0B1297A 806C0810 05F42330
  1D060355 1D0E0416 0414837D 5E4CCCEA D9E089E0 B1297A80 6C081005 F423300D
  06092A86 4886F70D 01010405 00038181 0076A074 3CC5A2DB 278FF15D F86EAF9C
  05674A77 0086100F 1270A8D5 3D1BBE94 6D96F626 65D1B73F 85C02DDA AB0AB2A9
  5BC69862 06AB6BEB 393E5F4A E2999407 D9B80463 FF9B3F1B D097C6B6 C1787972
  2A2AB2A2 6F197613 C08DBCE2 85CE8CB0 A288C5D2 2F1FEF6A 2AB4F304 E3FC628A
  3708A7E3 AC34F10E 81D4E61E 959FF152 30
        quit
dot11 syslog
!
!
ip cef
no ip domain lookup
ip domain name nomeinventato.it
!
!
!
username francesco privilege 15 secret 5 ********
username <myuser> privilege 15 secret 5 *****
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key kiave address 2.2.2.246 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
!
!
!
!
crypto map masvpn local-address ATM0.1
crypto map masvpn 1 ipsec-isakmp
 set peer 1.1.1.26
 set transform-set VPN-SET
 match address 101
!
archive
 log config
  hidekeys
!
!
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 2.2.2.246 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
 crypto map masvpn
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 192.168.1.252 255.255.255.0 secondary
 ip address 94.x.x.25 255.255.255.248 !<---- a che serve???? fatto dal tecnico telecom
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool ibs 94.x.x.26 94.x.x.26 netmask 255.255.255.248 !<--- telecom
ip nat inside source list 102 pool ibs overload <--- telecom
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
snmp-server community your_community RW
no cdp run
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000

Router 851: (questo ci ho messo le mani solo io)

Codice: Seleziona tutto

Current configuration : 3989 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname perugia
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 ******
enable password 7 ********
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1794011050
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1794011050
 revocation-check none
 rsakeypair TP-self-signed-1794011050
!
!
crypto pki certificate chain TP-self-signed-1794011050
 certificate self-signed 01
  30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31373934 30313130 3530301E 170D3032 30333031 30363436
  34335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37393430
  31313035 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100C015 723C19D8 2A37EAEB ADD109F0 E9A40515 FFC4005F A2CB6EEA AC810C22
  C3061403 8780AA12 E08DD4F6 8C202ED5 F7B1A845 62722530 DF10ADFB 91C7676D
  40C3331D 73532857 D99E697F E892B876 00E15617 43D79B89 F65530B7 7C073CA3
  52F839AE 19CEE2E7 3A77A7F6 CECA21C6 6C221312 D16F4F77 7E3FC41F 54264710
  BEF30203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
  551D1104 1C301A82 18706572 75676961 2E6D6173 73696E65 6C6C6976 706E2E69
  74301F06 03551D23 04183016 801413F0 16B87F9D C9CF7484 0FA61B46 24DC0837
  D918301D 0603551D 0E041604 1413F016 B87F9DC9 CF74840F A61B4624 DC0837D9
  18300D06 092A8648 86F70D01 01040500 03818100 2B644CA0 902BD3D6 AEAB0E24
  55F270E5 C65A4416 24538E4E BCAF4F8E D3DF1481 49E5B3D8 8867ACD6 A463D217
  12F876D5 20D54662 E3E47459 56199703 83121BD7 839A1F4D 63DB4348 A13C5709
  BC349054 8EDBA1AE F130AE24 B6E5C09F 063E9FF1 69726620 9096F37A F829E45B
  8A6F6B34 82FF9429 101594C4 3AB1D82C 227B1C86
        quit
dot11 syslog
!
!
ip cef
no ip domain lookup
ip domain name dominioinventato.it
!
!
!
username francesco privilege 15 secret 5 $1*******
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key kiave address 1.1.1.26 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address FastEthernet4
crypto map masvpn 1 ipsec-isakmp
 set peer 2.2.2.246
 set transform-set VPN-SET
 match address 101
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $ETH-WAN$$ES_WAN$
 ip address 1.1.1.26 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 speed auto
 half-duplex
 crypto map masvpn
!
interface Vlan1
 description LAN
 ip address 192.168.0.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.30 !<---- questo è il gateway fornitomi dall'isp, non è che ci sia nessun router in cascata
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 102 interface FastEthernet4 overload
!
logging trap notifications
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 remark ACL per TUNNEL IPSEC
access-list 102 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.200
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 remark ACL per PAT
no cdp run
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
end

[zot]

Data l'assoluta irragiungibilità di quelli indirizzi di punto-punto(anche se,teoricamente,ruotabili su internet),ti consiglio di far terminare le VPN sulle VLAN...con tutti i casini annessi e connessi...meglio sarebbe creare delle interfacce loopback con gli IP pubblici che ti hanno fornito(che sono per forza ruotati!!!)
Per curiosità,ma che cavolo di contratto telecom hai fatto così lo evito come la peste....

[fr4nz82]

Semplicemente gli ho chiesto un contratto che mi permettesse di configurare una vpn!!! Prima avevo alice tutto incluso con il voip e il loro router pirelli, adesso ho alice business con 8 indirizzi ip (anche se non mi servono) e come se non bastasse per fare questo contratto hanno dovuto fare arrivare un'altra linea; quindi mi ritrovo con due linee: una dati con gli otto indirizzi e una solo per la fonia perchè secondo i tecnici con cui ho parlato non si può fare passare la fonia nello stesso doppino...
ora mi stò studiando tutti i libri cisco e ho deciso di fare l'esame ccna. Non tutti i mali vengono per nuocere!
Intanto però devo far funzionare questa vpn e ho i giorni contati visto che a giorni dovrebbe venire un'azienda esterna ad installare un programma di contabilità
Guarda sono veramente arrabbiato ora che mi confermi i miei dubbi sul contratto telecom...
Invece riguardo al 851 mi confermi che non ci sono problemi avendo il forwarding sul x.x.x.30?
Questa notte (il giorno non ho tempo) mi studio come fare una interfaccia di loopback e vedo un pò cosa riesco a fare e comunque, vista l'urgenza, ogni coniglio è ben accetto!


P.S. non ho capito bene cosa intendi per raggiungibilità... cioè, i due router si vedono direttamente, per esempio si pingano oppure se apro una sessione di telnet (il telnet dello IOS) sul 851 mi connetto al 857 e viceversa. Perchè la vpn non può funzionare? (ancora non ci sono arrivato a studiare la VPN chiedo perdono)

[Leviatano]

Ciao,
scusami se mi permetto ma le vpn non sono mai semplicissime...
la tua vpn non può funzionare per un motivo principalmente: hai abilitato il NAT. Non solo stai nattando su internet la tua LAN ma essa entra irreparabilmente in overlapping con la subnet dell'access-list della tua crypto map. Devi intanto disabilitare il NAT oppure utilizzare le route map per splittare il tunnel o non credo farai passi in avanti.

Per una spiegazione più dettagliata puoi dare un occhiata al mio sito:


http://www.glabs.org/index.php?option=c ... 34&lang=it

[zot]

Se hai voglia d'imparare e farti nottate..sei nel posto giusto....
Prima di tutto sappi che (per il futuro)puoi tranquillamente far andare un cisco con un contratto alice business con Voip...mantenendo pure l'Ip fisso...ci sono parecchi post al riguardo.
Poi da due prove che ho fatto i tuoi gateway punto-punto (address dell'ATM0.1) non sono raggiungibili(forse li hai i"mascherati" ?)...almeno da rete fastweb e interbusiness.Fai un traceroute dall'857 verso l'851 verso i gw punto punto e viceversa e vedi che succede.
Poi ha ragione Leviatano devi usare route-map per gestire corretamnete il NAT attraverso una VPN.
L'851 non ha interfacce xDSL quindi sta per forza dietro qualcosa...cosa?
Su entrambi i router ti consiglio di gestire gli IP pubblici creandoti una interfaccia di loopback

Codice: Seleziona tutto

interface Loopback0

 ip address ip_pubblico
!
interface ATM0.1
crypto map masvpn
!
ip nat inside source route-map NAT0-RM interface Loopback0 overload
!
access-list 100 remark *** ACL RM-NAT0 ***
access-list 100 remark --vpn--
access-list 100 deny subnet_rete_interna wildcard_mask subnet_rete_remota wildcard_mask
access-list 100 remark --to translate--
access-list 100 permit ip  subnet_rete_interna wildcard_mask any
!
access-list 101 remark *** ACL TRAFFICO VPN ***
access-list 101 permit ip subnet_rete_interna wildcard_mask subnet_rete_remota wildcard_mask
!
route-map NAT0-RM permit 1
 match ip address 100

[fr4nz82]

Grazie! si gli ip pubblici che metto qui non sono quelli reali..
il tracer da esito positivo:
da 851 ad 857:

Codice: Seleziona tutto

 1 x.x.x.30 0 msec 0 msec 4 msec
 2 x.x.y.66 104 msec 76 msec 76 msec
 3 81.29.224.14 96 msec 112 msec 124 msec
 4 81.29.224.237 144 msec 136 msec 132 msec
 5 84.233.248.237 100 msec 84 msec 92 msec
 6 212.23.42.69 108 msec 76 msec 80 msec
 7 89.202.146.146 88 msec 52 msec 80 msec
 8 89.202.205.94 76 msec 80 msec 84 msec
 9 172.17.5.205 72 msec 76 msec 64 msec
10 151.99.29.182 52 msec 52 msec 52 msec
11  *  *  *
12 217.141.254.154 180 msec 132 msec 136 msec
13 z.z.z.246 212 msec *  156 msec

da 857 a 851:

Codice: Seleziona tutto

  1 x.x.x.245 52 msec 52 msec 52 msec
  2 217.141.254.203 52 msec 48 msec 48 msec
  3  *  *  *
  4 151.99.29.215 56 msec 72 msec 52 msec
  5  *  *  *
  6 89.202.205.93 52 msec 56 msec 52 msec
  7 89.202.146.145 56 msec 56 msec 60 msec
  8 212.23.42.70 56 msec 56 msec 56 msec
  9 84.233.248.238 64 msec 60 msec 64 msec
 10 81.29.224.238 60 msec 64 msec 60 msec
 11 81.29.224.13 64 msec 68 msec 60 msec
 12 a.a.y.65 92 msec 116 msec 144 msec
 13 a.a.a.25 168 msec 160 msec 152 msec

come vedi il a.a.a.30 viene "saltato" dai dati in arrivo mentre viene usato come next hop dai dati in uscita... non so cosa sia e non ho l'accesso...
però parlando con vari tecnici (compreso il capo ) di questo isp tutti mi hanno detto che non c'è problema con le vpn.

Seguendo i tuoi consigli questa sera proverò subito la configurazione con l'interfaccia loopback.
Sarà anche necessaria un'interfaccia tunnel? Tipo:

Codice: Seleziona tutto

interface Tunnel0 
 ip address 1.1.1.1 255.255.255.252 
 tunnel source 94.x.x.26
 tunnel destination 85.x.x.26 (ip pubblico del 851)
ip route LAN REMOTA 1.1.1.2

[/code]

[fr4nz82]

Ho appena finito di configurare ma ci sono degli errori... per esempio non so dove mettere l'access list 102 (quella diciamo che vieta che il traffico non indirizzato agli ip della rete remota si instradi sulla vpn) inoltre non ho capito bene su quale interfaccia mettere la crypto map masvpn... mi sembrava giusto metterla comunque su atm0.1 ma mi sorge il dubbio se metterla nella interfaccia tunnel0.
Oppure sto sbagliando tutto visto che ora gli indirizzi della vlan1 non pingano più l'esterno e il tunnel fa solo danni??? la logica mi ha portato a questa config... posto:

Codice: Seleziona tutto

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key xxxxxx address 85.x.x.26 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address Loopback1
crypto map masvpn 1 ipsec-isakmp
 set peer 85.x.x.26
 set transform-set VPN-SET
 match address 101
!
archive
 log config
  hidekeys
!
!
!
!
!
interface Loopback1
 description INDIRIZZO LAN PUBBLICA PER IL SOURCE DEL TUNNEL
 ip address 94.x.x.26 255.255.255.255
 ip nat outside
 ip virtual-reassembly
!
interface Loopback0
 description LAN PUBBLICA
 ip address 94.x.x.25 255.255.255.255
 ip nat outside
 ip virtual-reassembly
!
interface Tunnel0
 description TUNNEL VERSO PERUGIA
 ip address 10.10.10.1 255.255.255.252
 tunnel source Loopback1
 tunnel destination 85.x.x.26
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 88.x.x.246 255.255.255.252
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
 crypto map masvpn
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description lan interna
 ip address 192.168.1.252 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.0.0 255.255.255.0 10.10.10.2
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
!
logging trap notifications
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ACL PER CRYPTO MAP
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 remark VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN
access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
snmp-server community your_community RW
snmp-server community massinellisnmp RW
no cdp run
route-map FORSEHOCAPITO permit 1
 match ip address 102

sta diventando davvero complicato.... il modo più veloce per studiare

[zot]

E' infatti normale che vedi l'IP della punto punto in una direzione e non nell'altra(per semplificarla : ruoter ,due interfacce,due IP differenti...)
La crypto map va sull'ATM0.1 .
Lascia stare i tunnel...quelli servono per DMVPN che e' un'altra storia.
Pe le access-list,ti spiego in soldoni......
Nel mondo cisco le ACL sono il cuore e' un errore pensarele come semplici e mere regole (rules) per filtrare il traffico che esce o entra da un 'interfaccia.Con le ACL gestisci anche il NAT che e' un altro bel pezzo della filosia Cisco....o meglio ,Cisco vuole che gli venga sempre ed espressamente specificata tutta la pappa del NAT o PAT,al contrario di altri produttori che "ci pensu mi'!!",cio' ha i suoi risvolti negativi....ma ti costringono a fare le cose per bene e a studiare il networking.
Nel nostro caso specifico dobbiamo per forza di cosa evitare che il traffico diretto verso la Lan remota ,prima che venga incapsulato nella VPN,venga nattato dal NAT0,ovvero da quella regola che ci dice in che modo gli host della inside possono condividere uno o piu' IP pubblici.
Non fare prove a caso..ti perderesti.Guardati bene lo stralcio di conf che ti ho postato e fammi domande su quella.

[fr4nz82]

ciao... ho appena modificato il post precedente non mi ero accorto che avevi risposto.... ci sono gli ip veri... fra poco lo modifico... quindi ora tolgo il tunnel... e riposto la conf.

Grazie a te ci sto capendo veramente qualcosa e anche studiare mi risulta più semplice riferendomi a problemi reali... se penso che un mese fa ho ordinato 2 cisco per fare una vpn pensando che me la sarei cavata con un pò di prove e cercando su internet (come ho sempre fatto con tutto) mi viene proprio da ridere.

[fr4nz82]

eccolo:

Codice: Seleziona tutto

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key ****** address 85.116.155.26 no-xauth
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address Loopback0
crypto map masvpn 1 ipsec-isakmp
 set peer 85.116.155.26
 set transform-set VPN-SET
 match address 101
!
interface Loopback0
 description LAN PUBBLICA
 ip address 94.x.x.25 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 88.x.x.246 255.255.255.252
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
 crypto map masvpn
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description lan interna
 ip address 192.168.1.252 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ACL PER CRYPTO MAP
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 remark VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN
access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
route-map FORSEHOCAPITO permit 1
 match ip address 102

una domanda te la devo fare: ma come fa il cisco a sapere di fare il forwarding degli indirizzi 94.x.x.25 sull'atm0.1?? cioè adesso mi fa il NAT fra 192.168.1.0 e 94.x.x.25... ma da li non c'è nessuna regola... infatti adesso non pinga l'esterno con source vlan1.

riguardando la configurazione fatta da telecom vedo questa riga:

Codice: Seleziona tutto

ip nat pool ibs 94.x.x.26 94.x.x.26 netmask 255.255.255.248

che usa l'ip 26 e proprio non riesco a capire come funziona. Te lo dico solo perchè potresti non averlo notato scambiandolo per il 94.x.x.25 e forse c'entra qualcosa con il fatto che la vlan1 non pinga l'esterno.

[zot]

studia,studia che domani si dorme...
per correttezza

Codice: Seleziona tutto

access-list 102 remark VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN

in realta' e'

Codice: Seleziona tutto

access-list 102 remark VIETA CHE IL TRAFFICO DESTINATO ALLA RETE REMOTA VENGA NATTATO E SPEDITO AL GW PUNTO PUNTO COME QUALSIASI ALTRO TRAFFICO VERSO RETI "SCONOSCIUTE"

Sposta

Codice: Seleziona tutto

ip nat outside

sulla atm0.1 e ci sei....

[fr4nz82]

prima di finire di leggere il tuo messaggio.... domani lavoro

[fr4nz82]

Sposta Codice:
ip nat outside
sulla atm0.1 e ci sei....

ma chi l'ha tolto? non c'è mai stato? si c'era! mah

cmq la VPN non sale...
sh cry isa sa non fa vedere nulla... vedo sull'altro router impostando anche li la loopback che succede poi ti faccio sapere. Solo che sul 851 non ho una punto-punto... cioè dovrei dare alla fas4 l'ip 85.x.x.30 (che è il gateway) e alla loopback l'ip 85.x.x.26 per fare la stessa cosa che ho fatto con l'857. Purtroppo il .30 è fisso sull'apparecchio radio (si, ho scoperto di cosa si tratta) dove arriva il segnalle dell'antenna prewimax.
Proverò mettendo come loopback il .26 e come fas4 il .27 ma mi sembra un pò inutile o mi sbaglio?

[zot]

Sull'851 segui la stessa "teoria" e vedrai che andra' tutto OK.Non dovrebbe essere necessario usare loopback.

Codice: Seleziona tutto

 ip nat outside 

va sulla ATM0.1

.........
una domanda te la devo fare: ma come fa il cisco a sapere di fare il forwarding degli indirizzi 94.x.x.25 sull'atm0.1?? cioè adesso mi fa il NAT fra 192.168.1.0 e 94.x.x.25... ma da li non c'è nessuna regola... infatti adesso non pinga l'esterno con source vlan1.

il NAT o meglio il PAT lo fai con la regola

Codice: Seleziona tutto

 ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload 

cioe' dici al cisco"prendi gli IP permessi e specificati nella ACL della route-map ivi indicata,e "traslali" con l'IP della Loopback0".Tu indichi d'inoltrare il traffico verso reti sconosciute con

Codice: Seleziona tutto

 ip route 0.0.0.0 0.0.0.0 ATM0.1 

,sara' poi il punto punto telecom ad inoltare (tramite la sua tabella di routing)i pacchetti.Il cisco non ,infatti cieco,conosce sulo la strada verso il punto punto...

riguardando la configurazione fatta da telecom vedo questa riga:

Codice: Seleziona tutto

ip nat pool ibs 94.x.x.26 94.x.x.26 netmask 255.255.255.248

che usa l'ip 26 e proprio non riesco a capire come funziona. Te lo dico solo perchè potresti non averlo notato scambiandolo per il 94.x.x.25 e forse c'entra qualcosa con il fatto che la vlan1 non pinga l'esterno.

Il tecnico telecom non ha fatto altro che assegnare un Ip pubblico all Vlan1 questo perche' volendo mettere dei server dietro allo switch del cisco tu gli avresti potuti configurare con un IP pubblico del pool assegnatoti e come gateway 94.x.x.25,nel mentre tutti gli host "permessi" dalla ACL relativa al NAT0 vengono translati con IP 94.x.x.26.
Se vai su whatismyip.com da un host dietro questo router vedrai che l'Ip pubblico sara' proprio 94.x.x.26

[fr4nz82]

ho capito: gli indirizzi interni prima vengono traslati in 94.x.x.25 e poi ruotati sul punto punto, ossia l'atm0.1, in modo da essere riconosciuti come indirizzi della subnet giusta altrimenti il punto punto li rifiuta...

detto ciò... la vpn non va... ho imparato a fare il debug, c'ho messo un'ora per capire che dovevo fare un ping per far partire la isakmp

ti posto quello che mi dice perchè io l'ho letto tutto e mi sembra che va quasi tutto bene tranne alcune cose dove da degli errori ma secondo me ci siamo quasi. Se lunedì torno al lavoro e funziona mi faccio dare l'aumento

Codice: Seleziona tutto

perugia#ping 192.168.1.252 source 192.168.0.253

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.252, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.253

*Mar  1 18:59:04.231: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 85.x.x.26, remote= 94.x.x.25,
    local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar  1 18:59:04.231: ISAKMP:(0): SA request profile is (NULL)
*Mar  1 18:59:04.231: ISAKMP: Created a peer struct for 94.x.x.25, peer port 500
*Mar  1 18:59:04.231: ISAKMP: New peer created peer = 0x82417D04 peer_handle = 0x80000002
*Mar  1 18:59:04.231: ISAKMP: Locking peer struct 0x82417D04, refcount 1 for isakmp_initiator
*Mar  1 18:59:04.231: ISAKMP: local port 500, remote port 500
*Mar  1 18:59:04.235: ISAKMP: set new node 0 to QM_IDLE
*Mar  1 18:59:04.235: insert sa successfully sa = 827B12C0
*Mar  1 18:59:04.235: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.
*Mar  1 18:59:04.235: ISAKMP:(0):No pre-shared key with 94.x.x.25!
*Mar  1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
*Mar  1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-07 ID
*Mar  1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-03 ID
*Mar  1 18:59:04.235: ISAKMP:(0): constructed NAT-T vendor-02 ID
*Mar  1 18:59:04.235: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
*Mar  1 18:59:04.235: ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1

*Mar  1 18:59:04.235: ISAKMP:(0): beginning M.ain Mode exchange
*Mar  1 18:59:04.235: ISAKMP:(0): sending packet to 94.x.x.25 my_port 500 peer_port 500 (I) MM_NO_STATE
*Mar  1 18:59:04.235: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Mar  1 18:59:04.451: ISAKMP (0:0): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_NO_STATE
*Mar  1 18:59:04.451: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar  1 18:59:04.451: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM2

*Mar  1 18:59:04.451: ISAKMP:(0): processing SA payload. message ID = 0
*Mar  1 18:59:04.451: ISAKMP:(0): processing vendor id payload
*Mar  1 18:59:04.451: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Mar  1 18:59:04.455: ISAKMP (0:0): vendor ID is NAT-T RFC 3947
*Mar  1 18:59:04.455: ISAKMP:(0):No pre-shared key with 94.x.x.25!
*Mar  1 18:59:04.455: ISAKMP : Scanning profiles for xauth ...
*Mar  1 18:59:04.455: ISAKMP:(0):Checking ISAKMP transform 1 against priority 1 policy
*Mar  1 18:59:04.455: ISAKMP:      encryption DES-CBC
*Mar  1 18:59:04.455: ISAKMP:      hash SHA
*Mar  1 18:59:04.455: ISAKMP:      default group 1
*Mar  1 18:59:04.455: ISAKMP:      auth RSA sig
*Mar  1 18:59:04.455: ISAKMP:      life type in seconds
*Mar  1 18:59:04.455: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
*Mar  1 18:59:04.455: ISAKMP:(0):Encryption algorithm offered does not match policy!
*Mar  1 18:59:04.455: ISAKMP:(0):atts are not acceptable. Next payload is 0
*Mar  1 18:59:04.455: ISAKMP:(0):Checking ISAKMP transform 1 against priority 65535 policy
*Mar  1 18:59:04.455: ISAKMP:      encryption DES-CBC
*Mar  1 18:59:04.455: ISAKMP:      hash SHA
*Mar  1 18:59:04.455: ISAKMP:      default group 1
*Mar  1 18:59:04.455: ISAKMP:      auth RSA sig
*Mar  1 18:59:04.455: ISAKMP:      life type in seconds
*Mar  1 18:59:04.455: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
*Mar  1 18:59:04.455: ISAKMP:(0):atts are acceptable. Next payload is 0
*Mar  1 18:59:04.455: ISAKMP:(0):Acceptable atts:actual life: 0
*Mar  1 18:59:04.455: ISAKMP:(0):Acceptable atts:life: 0
*Mar  1 18:59:04.455: %CRYPTO-4-IKE_DEFAULT_POLICY_ACCEPTED: IKE default policy was matched and is being used.
*Mar  1 18:59:04.455: ISAKMP:(0):Fill atts in sa vpi_length:4
*Mar  1 18:59:04.455: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
*Mar  1 18:59:04.455: ISAKMP:(0):Returning Actual lifetime: 86400
*Mar  1 18:59:04.455: ISAKMP:(0)::Started lifetime timer: 86400.

*Mar  1 18:59:04.475: ISAKMP:(0): processing vendor id payload
*Mar  1 18:59:04.479: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
*Mar  1 18:59:04.479: ISAKMP (0:0): vendor ID is NAT-T RFC 3947
*Mar  1 18:59:04.479: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar  1 18:59:04.479: ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM2

*Mar  1 18:59:04.479: ISAKMP:(0): sending packet to 94.x.x.25 my_port 500 peer_port 500 (I) MM_SA_SETUP
*Mar  1 18:59:04.479: ISAKMP:(0):Sending an IKE IPv4 Pa.cket.
*Mar  1 18:59:04.479: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar  1 18:59:04.479: ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM3

*Mar  1 18:59:04.599: ISAKMP (0:0): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_SA_SETUP
*Mar  1 18:59:04.599: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Mar  1 18:59:04.599: ISAKMP:(0):Old State = IKE_I_MM3  New State = IKE_I_MM4

*Mar  1 18:59:04.599: ISAKMP:(0): processing KE payload. message ID = 0
*Mar  1 18:59:04.623: ISAKMP:(0): processing NONCE payload. message ID = 0
*Mar  1 18:59:04.627: ISAKMP:(2001): processing CERT_REQ payload. message ID = 0
*Mar  1 18:59:04.627: ISAKMP:(2001): peer wants an unknown cert, abort.
*Mar  1 18:59:04.627: ISAKMP:(2001): processing vendor id payload
*Mar  1 18:59:04.627: ISAKMP:(2001): vendor ID is DPD
*Mar  1 18:59:04.627: ISAKMP:(2001): processing vendor id payload
*Mar  1 18:59:04.627: ISAKMP:(2001): speaking to another IOS box!
*Mar  1 18:59:04.627: ISAKMP:received payload type 20
*Mar  1 18:59:04.627: ISAKMP:received payload type 20
*Mar  1 18:59:04.627: ISAKMP:(2001):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Mar  1 18:59:04.627: ISAKMP:(2001):Old State = IKE_I_MM4  New State = IKE_I_MM4

*Mar  1 18:59:04.627: ISAKMP:(2001):Send initial contact
*Mar  1 18:59:04.627: ISAKMP:(2001):Unable to get router cert or routerdoes not have a cert: needed to find DN!
*Mar  1 18:59:04.627: ISAKMP:(2001):SA is doing RSA signature authentication using id type ID_IPV4_ADDR
*Mar  1 18:59:04.627: ISAKMP (0:2001): ID payload
        next-payload : 6
        type         : 1
        address      : 85.x.x.26
        protocol     : 17
        port         : 500
        length       : 12
*Mar  1 18:59:04.627: ISAKMP:(2001):Total payload length: 12
*Mar  1 18:59:04.627: ISAKMP:(2001): no valid cert found to return
*Mar  1 18:59:04.627: ISAKMP: set new node 1829496396 to QM_IDLE
*Mar  1 18:59:04.631: ISAKMP:(2001):Sending NOTIFY CERTIFICATE_UNAVAILABLE protocol 1
        spi 0, message ID = 1829496396
*Mar  1 18:59:04.631: ISAKMP:(2001): sending packet to 94.x.x.25 my_port 500 peer_port 500 (I) MM_KEY_EXCH
*Mar  1 18:59:04.631: ISAKMP:(2001):Sending an IKE IPv4 Packet.
*Mar  1 18:59:04.631: ISAKMP:(2001):purging node 1829496396
*Mar  1 18:59:04.631: ISAKMP (0:2001): FSM action returned error: 2
*Mar  1 18:59:04.631: ISAKMP:(2001):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Mar  1 18:59:04.631: ISAKMP:(2001):Old State = IKE_I_MM4  New State = IKE_I_MM5
...
Success rate is 0 percent (0/5)
perugia#
*Mar  1 18:59:14.479: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar  1 18:59:14.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar  1 18:59:14.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar  1 18:59:14.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar  1 18:59:14.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar  1 18:59:24.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar  1 18:59:24.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar  1 18:59:24.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar  1 18:59:24.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar  1 18:59:34.231: IPSEC(key_engine): request timer fired: count = 1,
  (identity) local= 85.x.x.26, remote= 94.x.x.25,
    local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4)
*Mar  1 18:59:34.231: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 85.x.x.26, remote= 94.x.x.25,
    local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar  1 18:59:34.231: ISAKMP: set new node 0 to QM_IDLE
*Mar  1 18:59:34.231: ISAKMP:(2001):SA is still budding. Attached new ipsec request to it. (local 85.x.x.26, remote
94.x.x.25)
*Mar  1 18:59:34.231: ISAKMP: Error while processing SA request: Failed to initialize SA
*Mar  1 18:59:34.231: ISAKMP: Error while processing KMI message 0, error 2.
*Mar  1 18:59:34.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar  1 18:59:34.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar  1 18:59:34.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar  1 18:59:34.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar  1 18:59:44.599: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar  1 18:59:44.599: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar  1 18:59:44.599: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar  1 18:59:44.599: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar  1 18:59:54.595: ISAKMP (0:2001): received packet from 94.x.x.25 dport 500 sport 500 Global (I) MM_KEY_EXCH
*Mar  1 18:59:54.595: ISAKMP:(2001): phase 1 packet is a duplicate of a previous packet.
*Mar  1 18:59:54.595: ISAKMP:(2001): retransmitting due to retransmit phase 1
*Mar  1 18:59:54.595: ISAKMP:(2001): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
*Mar  1 19:00:04.231: IPSEC(key_engine): request timer fired: count = 2,
  (identity) local= 85.x.x.26, remote= 94.x.x.25,
    local_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4)
*Mar  1 19:00:19.235: ISAKMP: quick mode timer expired.
*Mar  1 19:00:19.235: ISAKMP:(2001):src 85.x.x.26 dst 94.x.x.25, SA is not authenticated
*Mar  1 19:00:19.235: ISAKMP:(2001):peer does not do paranoid keepalives.

*Mar  1 19:00:19.235: ISAKMP:(2001):deleting SA reason "QM_TIMER expired" state (I) MM_KEY_EXCH (peer 94.x.x.25)
*Mar  1 19:00:19.235: ISAKMP:(2001):deleting SA reason "QM_TIMER expired" state (I) MM_KEY_EXCH (peer 94.x.x.25)
*Mar  1 19:00:19.235: ISAKMP: Unlocking peer struct 0x82417D04 for isadb_mark_sa_deleted(), count 0
*Mar  1 19:00:19.235: ISAKMP: Deleting peer node by peer_reap for 94.x.x.25: 82417D04
*Mar  1 19:00:19.235: ISAKMP:(2001):deleting node -1209433123 error FALSE reason "IKE deleted"
*Mar  1 19:00:19.235: ISAKMP:(2001):deleting node 996890984 error FALSE reason "IKE deleted"
*Mar  1 19:00:19.235: ISAKMP:(2001):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Mar  1 19:00:19.235: ISAKMP:(2001):Old State = IKE_I_MM5  New State = IKE_DEST_SA

*Mar  1 19:00:19.235: IPSEC(key_engine): got a queue event with 1 KMI message(s)
perugia#
*Mar  1 19:01:09.235: ISAKMP:(2001):purging node -1209433123
*Mar  1 19:01:09.235: ISAKMP:(2001):purging node 996890984
*Mar  1 19:01:19.235: ISAKMP:(2001):purging SA., sa=827B12C0, delme=827B12C0

per comodità le conf dei due cisco:

Codice: Seleziona tutto

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key kiave address 88.x.x.246 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address FastEthernet4
crypto map masvpn 1 ipsec-isakmp
 set peer 94.x.x.25
 set transform-set VPN-SET
 match address 101
!
interface FastEthernet4
 ip address 85.x.x.26 255.255.255.248
 crypto map masvpn
!
interface Vlan1
 ip address 192.168.0.253 255.255.255.0
 ip nat inside
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 85.x.x.30
!
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 remark ACL per TUNNEL IPSEC
access-list 102 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

e

Codice: Seleziona tutto

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key kiave address 85.x.x.26 no-xauth
!
!
crypto ipsec transform-set VPN-SET esp-3des esp-md5-hmac
!
crypto map masvpn local-address Loopback0
crypto map masvpn 1 ipsec-isakmp
 set peer 85.x.x.26
 set transform-set VPN-SET
 match address 101
!
interface Loopback0
 description LAN PUBBLICA
 ip address 94.x.x.25 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface ATM0.1 point-to-point
 ip address 88.x.x.246 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 pvc 8/35
  encapsulation aal5snap
 !
 crypto map masvpn
!
interface Vlan1
 ip address 192.168.1.252 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map FORSEHOCAPITO interface Loopback0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 remark ACL PER CRYPTO MAP
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 remark IL CONTRARIO DI: "VIETA CHE IL TRAFFICO NON DESTINATO ALLA RETE REMOTA SI INSTRADI SULLA VPN"
access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
route-map FORSEHOCAPITO permit 1
 match ip address 102