Zyxel Zywall 2 e Cisco Router

[maggiore81]

Buondì
mi trovo nel bisogno di dover fare la seguente cosa:

Sede A: Fastweb con ip privato
Sede B: Linea adsl con ip pubblico statico e router Cisco

Nella sede A io ho un router Zyxel Zywall 2 (ultimo firmware 3.62 C18, non è lo zywall 2 plus) e nella sede B ho un router cisco, attualmente un 1721 ma verrà rimpiazzato da un 837 o 877 con IOS 12.4, dal momento che il cisco avrà l'offload della vpn 3des hardware.

Ordunque.
Ho scaricato l'user manual dello zyxel ma non ho idea di come realizzare la vpn in quanto i termini indicati sullo zyxel sono diversi e non mi trovo rispetto a farla tra 2 cischi.

Sui cisco ho sempre fatto vpn ipsec+gre (ipsec e basta non ho mai risolto il problema della frammentazione).

Ora vedo che devo farla solo IPSEC (3DES/SHA1 ESP)

il cisco volevo configurarlo in modo "passivo" in modo che aspettasse che fastweb lo chiami.

Avete esperienze in merito?

Grazie

[zot]

La modalità "passiva" è obbligata visto che da un lato hai fastweb con IP "Privato"...per il resto se lo zixel fa VPN ipsec....non vedo problemi di sorta.Anche se io prenderei un Cisco 871 che costa poco a sarei più tranquillo.

[maggiore81]

Ciao
grazie per avermi risposto.

Il fatto è che sto cercando di fare tutto con materiali che ho a disposizione

non dispongo di un C871, ma di un 831 che ho però già in uso.

Il mio problema, apparte tutto, è che non sono MAI e dico MAI riuscito a fare con successo un tunnel IPSEC.
Ha sempre funzionato in una singola direzione e mai nell'altra.


da A pingo B e stop
da B faccio tutto verso A (ping, RDP, etc)

[zot]

.......
Ha sempre funzionato in una singola direzione e mai nell'altra.


da A pingo B e stop
da B faccio tutto verso A (ping, RDP, etc)

Di solito questi son problemi di NAT0......consiglio spassionato: cognati di brutto a fare una VPN ipsec,falla a dovere e studiati la conf....

[maggiore81]

Ciao!

il fatto è che sono riuscito con successo a fare ad esempio un tunnel GRE tra due nodi
teoricamente dovrei aver fatto gre+ipsec ma alla fine credo di aver fatto soltanto GRE.

ora appena ho un secondo posto la conf completa dei due apparati e vedrai che in teoria è fatta bene
in pratica non va!
Ho anche un altro post qui su ciscoforums, lan2lan problemi si chiama

prova a buttarci un occhio se vuoi
grazie buonanotte

[maggiore81]

Cioè io non ne posso piu
mi sono rotto
sono l'unico al mondo che non riesce a fare andare le VPN

ora ho fatto vpn tra zywall 2 e C877

da zywall va verso l'877 ma non viceversa
stessa identica situazione che ho con un altra sede con 837

NON FUNZIONA PUNTO sono l'unico sfigato nel mondo che non potrà mai usare le vpn ipsec

6.68.186.89.dsl.static.ip#sh crypto ipsec sa

interface: ATM0.1
Crypto map tag: VPN, local addr 77.93.235.238

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 77.93.230.26 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 3481, #pkts encrypt: 3481, #pkts digest: 3481
#pkts decaps: 3416, #pkts decrypt: 3416, #pkts verify: 3416
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0

local crypto endpt.: 77.93.235.238, remote crypto endpt.: 77.93.230.26
path mtu 1500, ip mtu 1500, ip mtu idb ATM0.1
current outbound spi: 0xD7F5E619(3623216665)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0x1C2EC139(472826169)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 37, flow_id: Onboard VPN:37, sibling_flags 80000046, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4594659/1335)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xD7F5E619(3623216665)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 38, flow_id: Onboard VPN:38, sibling_flags 80000046, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4594658/1335)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 93.42.203.112 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 16, #pkts encrypt: 16, #pkts digest: 16
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 77.93.235.238, remote crypto endpt.: 93.42.203.112
path mtu 1500, ip mtu 1500, ip mtu idb ATM0.1
current outbound spi: 0x9B18F1AA(2602103210)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0x9C18B4AB(2618864811)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 39, flow_id: Onboard VPN:39, sibling_flags 80000046, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4444283/3326)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x9B18F1AA(2602103210)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 40, flow_id: Onboard VPN:40, sibling_flags 80000046, crypto map: VPN
sa timing: remaining key lifetime (k/sec): (4444281/3326)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:





i tunnel sono entrambi UP ma dalle sedi remote (chiamiamole cosi) vado verso la sede con il C877 (questo) MA NON VICEVERSA
col remoto cisco 837 almeno pingo gli host remoti, con lo zywall non va nemmeno quello
6.68.186.89.dsl.static.ip#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
77.93.235.238 93.42.203.112 QM_IDLE 2684 ACTIVE
77.93.230.26 77.93.235.238 QM_IDLE 2003 ACTIVE

IPv6 Crypto ISAKMP SA


ma è possibile?