[ml] VPN con router cisco

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2006 ml@sikurezza.org
Soggetto: [ml] VPN con router cisco
Mittente: Sergio Copetti
Data: Fri, 29 Dec 2006 13:35:24 +0100 (CET)

Salve a tutti Ho messo su due VPN tra openBSD 3.9 su cui c'e pfsync, CARP, sasync, in load balancing e due router CISCO, il problema e' che se pingo dalle reti dove ci sono i router la vpn va su se invece provo dalla rete con OpenBSD non succede nulla. Ho anche fatto tcpdump -i enc0 e qui se faccio ping dalla rete con openbsd non vedo passare pacchetti. Se c'e' qualcuno che mi puo' dare ua mano sarei molto grato, e' da giorni che giro su intrernet facendo tutte le prove ed i controlli ma non ne vengo a capo. Lanciando isakmpd -d DA=99 vedo che viene stabilito lo scambio tra le due macchine ma non viene messa su la SA. Avendo gia' messo un'altra VPN con OpenBSD 3.9, in failsafe, ed un sonicwall, e tutto funziona bene,mi chiedevo se il problema non fosse proprio dovuto al load balancing. Qui di seguito metto il mio isakmpd.conf e .policy ISAKMPD.CONF [General] Retransmits= 5 Exchange-max.time= 120 Listen-on= xxx.xxx.xxx.2 Default-phase-1-lifetime= 3600,60:86400 Default-phase-2-lifetime= 1200,60:86400


[Phase 1]
yyy.yyy.yyy.126= ROMA
zzz.zzz.zzz.105= MILANO

[Phase 2]
Connections= Napoli-Roma,Napoli-Milano

[ROMA]
Phase= 1
Local-address= xxx.xxx.xxx.2
Address= yyy.yyy.yyy.126
Configuration= Default-main-mode
Authentication= mypassword

[MILANO]
Phase= 1
Local-address= xxx.xxx.xxx.2
Address= zzz.zzz.zzz.105
Configuration= Default-main-mode
Authentication= mypassword

[Napoli-Roma]
Phase= 2
ISAKMP-peer= ROMA
Configuration= Default-quick-mode
Local-ID= Net-Napoli
Remote-ID= Net-Roma

[Napoli-Milano]
Phase= 2
ISAKMP-peer= MILANO
Configuration= Default-quick-mode
Local-ID= Net-Napoli
Remote-ID= Net-Milano

[Net-Napoli]
ID-type= IPV4_ADDR_SUBNET
Network= 172.16.1.0
Netmask= 255.255.255.0

[Net-Roma]
ID-type= IPV4_ADDR_SUBNET
Network= 172.29.128.96
Netmask= 255.255.255.224

[Net-Milano]
ID-type= IPV4_ADDR_SUBNET
Network= 172.20.43.192
Netmask= 255.255.255.224

[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms=  3DES-SHA-GRP2

[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites=
QM-ESP-3DES-SHA-PFS-GRP2-SUITE,QM-ESP-3DES-MD5-PFS-GRP2-SUITE,QM-ESP-3DES-SHA-PFS-XF-GRP2-SUITE

ISAKMPD.POLICY KeyNote-Version: 2 Comment: Policy che accetta chi utilizza la password Authorizer: "POLICY" Condition: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" -> "true"; Qui di seguito anche la configurazione di uno dei due router, l'altro e' configurato allo stesso modo:

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600

crypto isakmp key mypassword address xxx.xxx.xxx.2

crypto map CMAP_1 3 ipsec-isakmp
description Tunnel to xxx.xxx.xxx.2
set peer xxx.xxx.xxx.2
set security-association lifetime seconds 1200
set transform-set ESP-3DES-SHA

Spero di aver fornito tutte le info utili per chiarire il problema, grazie anticipatamente a chi mi rispondera', non so veramente piu' dove sbattere la testa.

--

Sergio

Data:
- precedente: Re: [ml] DNS - slow internet, Marco Ermini
- indice

Argomento:
- precedente: Re: [ml] hardware Embedded per firewall, Marco Pennelli
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005