[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2004 ml@sikurezza.org Soggetto: Re: [ml] Problema con una VPN tra PIX e IOS Mittente: Alessandro Alesio Data: Fri, 8 Oct 2004 17:17:30 +0200 (CEST)
On Fri, 08 Oct 2004 13:52:27 +0200, -=mayhem=- <mayhem@xxxxxxxxxxxxxxxx> wrote:
> On Fri, 2004-10-08 at 11:59, Alessandro Alesio wrote:
> > Salve a tutti.
> >
> > Ho configurato una VPN tra un router 2610 e un PIX 515E.
> > Il PIX ha connessione HDSL mentre il router ADSL entrambe di Telecom.
> > I primi problemi li ho incontrati xke mi sono accorto che l'ip della
> > int wan ( serial 0 ) del router era bloccato dall'ISP ( Telecom ),
> > mentre gli ip della classe /29 aggiuntiva che erano inclusi nel
> > contratto riuscivano a passare tranquillamente.
>
> non si capisce la topologia.
>
> lanA - pix -- router hdsl -- Internet/VPN -- router 2610 - lanB
esatto
>
> e' cosi'? il pix ha ip pubblico nella subnet della HDSL? il 2610 e'
> quello ADSL?
ancora esatto
>
> che mi risulti (ma potrei sbagliare) sono bloccati gli ip delle seriali
> HDSL perche' per fatturarti il costo del traffico sulla HDSL fanno
> accounting solo sugli ip della /29 (nel tuo caso).
> le ADSL sono flat e hanno gli ip della atm liberi di comunicare.
no scusa a me e' bloccato l'ip della ATM ADSL sul 2610
>
> per ovviare cmq al problema della seriale bloccata si crea un loopback
> con un ip del pool, o si usa l'ip della eth0/0 come hai fatto tu,
> mettendo pero' il comando crypto map local-source (o local interface ora
> non ricordo) per dire da quale ip deve essere originata la vpn,
> altrimenti sempre l'ip della int di uscita (nel tuo caso s0/0).
Ho provato con :
crypto map vpn local-address FastEthernet0
purtroppo pero' niente.
>
> > Se avete bisogno delle conf chiedete pure.
>
> sarebbe stato meglio metterene qualche stralcio fin da subito ...
>
ok scusami ecco quello che potrebbe essere utile :
PIX conf :
....
access-list acl_out permit icmp any any
access-list acl_out permit tcp any host 111.111.111.180 eq www
access-list acl_out permit tcp any host 111.111.111.181 eq www
access-list acl_out permit tcp any host 111.111.111.180 eq smtp
access-list acl_out permit tcp any host 111.111.111.181 eq smtp
access-list acl_out permit tcp any host 111.111.111.181 eq https
access-list acl_out permit tcp any host 111.111.111.180 eq https
access-list acl_out permit gre any host 111.111.111.180
access-list acl_out permit tcp any host 111.111.111.180 eq pptp
access-list vpn_traffic permit ip 192.168.16.0 255.255.254.0 10.0.0.0
255.255.0.0
access-list nonat permit ip 192.168.16.0 255.255.254.0 10.0.0.0 255.255.0.0
...
ip address outside 111.111.111.178 255.255.255.240
ip address inside 192.168.16.1 255.255.255.0
ip address dmz 172.16.0.1 255.255.255.0
...
global (outside) 1 111.111.111.182-111.111.111.190 netmask 255.255.255.240
global (outside) 1 111.111.111.179 netmask 255.255.255.240
nat (inside) 1 192.168.16.0 255.255.255.0 0 0
static (inside,outside) 111.111.111.180 192.168.16.2 netmask 255.255.255.255 0 0
static (inside,outside) 111.111.111.181 192.168.16.3 netmask 255.255.255.255 0 0
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 111.111.111.177 1
...
sysopt connection permit-ipsec
crypto ipsec transform-set myset ah-sha-hmac esp-3des esp-md5-hmac
crypto map trademap 1 ipsec-isakmp
crypto map trademap 1 match address vpn_traffic
crypto map trademap 1 set peer 222.222.222.233
crypto map trademap 1 set transform-set myset
crypto map trademap interface outside
isakmp enable outside
isakmp key ******** address 222.222.222.233 netmask 255.255.255.255
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 3600
2610 conf :
...
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key ******* address 111.111.111.178
!
!
crypto ipsec transform-set myset ah-sha-hmac esp-3des esp-md5-hmac
!
crypto map vpn 1 ipsec-isakmp
set peer 111.111.111.178
set transform-set myset
match address 120
!
...
!
interface ATM0.1 point-to-point
description ADSL Provider Telecom Italia
mtu 1500
ip address 133.133.133.54 255.255.255.252
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
ip address 10.0.0.1 255.255.0.0 secondary
ip address 222.222.222.233 255.255.255.248
ip nat inside
speed auto
crypto map vpn
!
....
!
ip nat pool nat1 222.222.222.233 222.222.222.233 prefix-length 29
ip nat inside source route-map Nat-loop pool nat1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
....
access-list 101 deny ip 10.0.0.0 0.0.255.255 192.168.16.0 0.0.1.255
access-list 101 permit ip 10.0.0.0 0.0.255.255 any
access-list 101 permit ip any 10.0.0.0 0.0.255.255
access-list 120 permit ip 10.0.0.0 0.0.255.255 192.168.16.0 0.0.1.255
!
route-map Nat-loop permit 10
match ip address 101
set ip next-hop 222.222.222.233
!
sul 2610 :
router# sh crypto eng conn act
ID Interface IP-Address State Algorithm
Encrypt Decrypt
1 AT0.1 133.133.133.54 set HMAC_SHA+3DES_56_C
0 0
200 FastEthernet0 222.222.222.233 set HMAC_SHA
0 8
201 FastEthernet0 222.222.222.233 set HMAC_SHA
0 0
202 FastEthernet0 222.222.222.233 set HMAC_MD5+3DES_56_C 0 8
203 FastEthernet0 222.222.222.233 set HMAC_MD5+3DES_56_C 0 0
router# sh log
....
CRYPTO_ENGINE: key process suspended and continued ( molte volte )
Se servono altre info chiedi pure.
Grazie e ciao
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005