[ml] VPN IOS & Cisco Client

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2006 ml@sikurezza.org
Soggetto: [ml] VPN IOS & Cisco Client
Mittente: Giuseppe Paternò (Gippa)
Data: Tue, 21 Mar 2006 23:00:57 +0100 (CET)

Ciao!
Ho un prb con il mio router di casa. Sebbene ormai abbia deciso di
passare ad OpenVPN per altre ragioni, ormai e' una questione di
"onore" e devo farlo andare ... :-)

Problema: Portatile roadwarrior con Linux o Windows e Cisco VPN Client
(collegato in UMTS) e il mio Router IOS 1700 a casa in ADSL.
Il collegamento in VPN funziona e IKE viene negoziato. Viene
rilasciato l'indirizzo IP corretto e da un PC di casa riesco a pingare
il roadwarrior, ma l'inverso non succede. Stranamente tcpdumpando la
rete del roadwarrior vedo solo i pacchetti ESP in partenza dal router
verso il roadwarrior, ma non viceversa.
La domanda nasce spontanea: come fa a tornare indietro l'echo reply?
Una cosa strana che ho notato e' che quando inizio una connessione dal
road-warrior, il portatile contina a tentare la negoziazione IKE ...

Le statistiche sono interessanti: pacchetti criptati trasmessi X,
pacchetti criptati ricevuti 0.
Stessa cosa sul 1700 con show crypto ipsec sa.

Vi includo la conf del router, dove ho cannato secondo voi?

Ciao ciao,
  Gippa

P.S. Sono troppo dispari in questo periodo .... :-(

---------------------------------------------------------------------------------------------------------------------
aaa authorization network hw-client-groupname local
aaa session-id common
!
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local VPN-Pool
!
crypto isakmp client configuration group hw-client-groupname
 key XXXXXXXX
 dns 192.168.2.2 192.168.2.3
 domain gippa-casa.it
 pool VPN-Pool
 acl 150
!
crypto ipsec transform-set transform-1 esp-aes esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route
!
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 speed auto
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip access-group Internet_IN in
 ip inspect Internet out
 crypto map dynmap
!
ip local pool VPN-Pool 192.168.2.40 192.168.2.49
ip nat inside source list 100 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip access-list extended Internet_IN
 permit icmp any host 1.1.1.1 echo
 permit esp any host 1.1.1.1
 permit ahp any host 1.1.1.1
 permit udp any host 1.1.1.1 eq isakmp
 permit udp any host 1.1.1.1 eq non500-isakmp
 permit udp any any eq isakmp
!
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 150 permit ip 192.168.2.0 0.0.0.255 any

Messaggi successivi:
- Re: [ml] VPN IOS & Cisco Client, Marco Vanino

Data:
- precedente: [ml] Firenze, 06 aprile Seminario Certificazioni nella Sicurezza, Ivano Greco
- successivo: [ml] Debian, iptables e IPSEC, Mimmus
- indice

Argomento:
- precedente: [ml] Firenze, 06 aprile Seminario Certificazioni nella Sicurezza, Ivano Greco
- successivo: Re: [ml] VPN IOS & Cisco Client, Marco Vanino
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005