[ smprobus @ 12.03.2013. 22:08 ] @
Pozdrav dragi prijatelji,
vec nekoliko dana se patim oko podesavanja IPSec VPN tunela izmedju dve lokacije.
Ja treba da podesim lokaciju u Srbiji, na Cisco 1841 ruteru sa sledecim podesavanjima:

VPN Parameters (Extern) (Serbia)
General
1. Tunnel Type: IPSec
2. Authentication Method: PSK (Pre-Shared-Key)
IKE (Phase 1)
3. Mode: Main Mode
4. Encryption Algorithm: AES-256
5. Hash Algorithm: SHA1
6. Diffie-Hellmann (DH) Group: Group 2
7. Lifetime: 86400 sec
8. IKE keepalives No Yes
IPSec (Phase 2)
9. Mode Tunnel
10. Protocol ESP
11. Encryption Algorithm: AES-256
12. MAC-Algorithm for Authentication SHA1 (ESP-SHA-HMAC)
13. Perfect Forward Secrecy (PFS) Yes
DH Group 2
14. SA Lifetime 86400 sec
15. Tunnel Termination Endpoint IP_extern IP_serbia
16. Encryption Domains (SAs) Serbia: 172.25.93.xx/255.255.255.248
extern:172.25.44.xx /24

Moze li mala pomoc, moj kod izgleda ovako:

R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr aes256
R1(config-isakmp)# hash sha
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400

R1(config)# crypto isakmp key mykey address IP_extern

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 172.25.44.xx 0.0.0.255

R1(config)# crypto ipsec transform-set TS aes256 ESP-SHA-HMAC

R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer IP_extern
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC

i ne radi. Ne znam na sta se odnose ovi Encryption Domains?
[ optix @ 12.03.2013. 23:42 ] @
Encryption Domains predstavlja mreze koje ce komunicirati preko tunela. Tvoja strana je mreza 172.25.93.xx/29, remote je 172.25.44.xx/24.
Access lista bi onda trebalo da ti izgleda: permit ip 172.25.93.xx 0.0.0.7 172.25.44.xx 0.0.0.255
Pretpostavlja da imas i neki inside interface sa adresom iz mreze 172.25.93.xx... (ne mora naravno da bude nuzno na tom ruteru, ali da do njega dolazi taj saobracaj)

Jesi li primenio crypto mapu na odgovarajuci outside interface? Imas li rutu za 172.25.44.xx/24 mrezu (ili default rutu) da gadja odgovarajuci gateway iza outside interaface-a? Kako proveravas da li je tunel uspostavljen?




[Ovu poruku je menjao optix dana 13.03.2013. u 11:56 GMT+1]
[ smprobus @ 13.03.2013. 07:48 ] @
ako sam te dobro razumeo onda treba da izmenim crypto map access listu pa da bude:

ip access-list extended VPN TRAFFIC
permit ip 172.25.93.208 0.0.0.07 172.25.44.0 0.0.0.255

crypto map
....
match address VPN TRAFFIC

Vezao sam crypto map na outbond interface Fa 0/1.
Imam default route ip route 0.0.0.0 0.0.0.0 interface dialer 2

[Ovu poruku je menjao smprobus dana 13.03.2013. u 10:22 GMT+1]
[ optix @ 13.03.2013. 09:12 ] @
Ako imas 50 racunara jasno je da tu mrezu moras da prosiris, ali to moras da dogovoris i sa drugom stranom. Na drugom ruteru postoji mirror te access liste koja hvata saobracaj iz mreze 172.25.44.0/24 koji ide ka tvojoj 172.25.93.xx/29, te dve access liste moraju da se poklapaju da bi saobracaj izmedju njih tekao i bio kriptovan.

Druga stvar, ako ti je dialer2 logicki outside interfejs (interfejs sa adresom) onda kripto mapa mora da se nalazi na njemu, a ne na Fa0/1 (ovo ti je pretpostavljam fizicki interface ka nekom modemu).
[ smprobus @ 13.03.2013. 09:30 ] @
da rezimirao:
prvo moram promeniti LAN adresni opseg, tako da umesto 192.168.1.0/24 stavim 172.25.93.208/29 i po potrebi to kasnije prosirim.
to znaci da bi IP od fa0/0 bio npr. 172.25.93.209?
drugo da izmenim crypto map access listu u skladu sa gornjim stavom
trece da crypto map izmenim na dialer interface, posto je fa 0/1 veza ka modemu a na dialeru dobijam staticku IP.
staticka ruta ip route 0.0.0.0 0.0.0.0 dialer2 ostaje
[ smprobus @ 13.03.2013. 09:34 ] @
i NAT bi izgledao ovako:
ip nat iside source list 100 interface Dialer 2 overload

gde bi access list 100 izgledao:
deny ip 172.25.93.208 0.0.0.7 172.25.44.0 0.0.0.255
permit ip 172.25.93.208 0.0.0.7 any
[ optix @ 13.03.2013. 10:26 ] @
Sve tacno.
[ smprobus @ 13.03.2013. 12:51 ] @
probao i na show crypto session se dobija:

Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
F - IKE Fragmentation

Interface: Dialer2 Virtual-Access2
Session status: UP-IDLE
Peer: IP_extern port 500 fvrf: (none) ivrf: (none)
Phase1_id: IP_extern
Desc: (none)
IKE SA: local IP/500 remote IP/500 Active
Capabilities:D connid:1001 lifetime:23:18:55
IPSEC FLOW: permit ip 172.25.93.208/255.255.255.248 172.25.44.0/255.255.255.0

Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 3 life (KB/Sec) 0/0
[ optix @ 13.03.2013. 13:11 ] @
Jesi pokusao da ostvaris neki saobracaj izmedju tih mreza? Pokusaj da pingujes neku adresu iz 172.25.44.0 sa source adresom iz 172.25.93.208
npr: ping 172.25.44.1 source 172.25.93.209.

Jesi siguran da je na drugoj strani podignuta konfiguracija?
[ smprobus @ 13.03.2013. 13:16 ] @
nece i dalje
Geodigit#ping 172.25.44.1 source 172.25.93.209

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.25.44.1, timeout is 2 seconds:
Packet sent with a source address of 172.25.93.209
.....

kaze svaba da nas 'ceka' na Gateway-u
[ optix @ 13.03.2013. 13:17 ] @
Posalji ceo konfig, izbaci sifre i javne ip adrese.
[ smprobus @ 13.03.2013. 13:25 ] @
Current configuration : 1948 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxxxxxx
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxx
enable password xxxxxxxxxx
!
no aaa new-model
dot11 syslog
ip cef
!
!
!
!
ip domain name xxxxxxxx
!
multilink bundle-name authenticated
!
!
!
!
username xxxxxxx password xxxxxxxxx
archive
log config
hidekeys
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
crypto isakmp key 6 xxxxxxxxxxxxxxxxxxxxxxxxxxxx address 80.69.x.x
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set TS esp-aes esp-sha-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 80.69.x.x
set security-association lifetime seconds 86400
set transform-set TS
set pfs group2
match address VPN-TRAFFIC
!
!
!
!
!
!
interface FastEthernet0/0
description LAN
ip address 172.25.93.209 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1400
duplex auto
speed auto
!
interface FastEthernet0/1
description VEZA_KA_INTERNETU
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface Dialer2
ip address negotiated
ip mtu 1400
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 2
ppp authentication pap callin
ppp pap sent-username [email protected] password 0 xxxxxxxx
crypto map CMAP
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer2
!
!
ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer2 overload
!
ip access-list extended VPN-TRAFFIC
permit ip 172.25.93.208 0.0.0.7 172.25.44.0 0.0.0.255
!
access-list 100 deny ip 172.25.93.208 0.0.0.7 172.25.44.0 0.0.0.255
access-list 100 permit ip 172.25.93.208 0.0.0.7 any
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login local
transport input ssh
!
[ optix @ 13.03.2013. 14:16 ] @
Konfig je ok, jedino sto mi malo cudno deluje je sto ti je prikazao preshared key enkriptovan iako nema aktiviranu enkripciju password-a (password encryption aes)... Izbrisi taj red i pokusaj da dodas key ponovo kao:
crypto isakmp key 0 plain_text_key address 80.69.x.x

Ako ne prodje posle toga, ukljuci debug za isakmp/ipsec pa posalji output kad probas taj ping.

debug crypto ipsec
debug crypto isakmp

[ smprobus @ 13.03.2013. 14:56 ] @
probao sam da zamenim key i nije uspelo...
Preko Putty-a sam nakacen pa nece da mi pokazuje debug mada sam ih ukljucio :(
[ zeenmc @ 13.03.2013. 14:57 ] @
Brale, nek ti oni posalju njihovu konfiguraciju, tipa zapakovanu u zip sa sifrom, i ti od njihovog config fajla napravi sebi mirror, realno menjas par stvari, usermame, pass, acl, adresu peer hosta...mozda je kod njih lose podeseno
[ optix @ 13.03.2013. 15:01 ] @
Citat:
smprobus: probao sam da zamenim key i nije uspelo...
Preko Putty-a sam nakacen pa nece da mi pokazuje debug mada sam ih ukljucio :(


Kucaj 'terminal monitor'.
[ smprobus @ 13.03.2013. 15:10 ] @
evo debug poruka posle pokusaja pinga udaljene strane:

Geodigit#ping 172.25.44.1 source 172.25.93.209

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.25.44.1, timeout is 2 seconds:
Packet sent with a source address of 172.25.93.209

*Mar 13 14:59:23.616: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= local_IP, remote= remote_IP,
local_proxy= 172.25.93.208/255.255.255.248/0/0 (type=4),
remote_proxy= 172.25.44.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-aes esp-sha-hmac (Tunnel),
lifedur= 86400s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 128, flags= 0x0
*Mar 13 14:59:23.616: ISAKMP: set new node 0 to QM_IDLE
*Mar 13 14:59:23.616: SA has outstanding requests (local 101.234.59.180 port 500, remote 101.234.59.152 port 500)
*Mar 13 14:59:23.616: ISAKMP:(1001): sitting IDLE. Starting QM immediately (QM_IDLE )
*Mar 13 14:59:23.616: ISAKMP:(1001):beginning Quick Mode exchange, M-ID of 1509355874
*Mar 13 14:59:23.672: ISAKMP:(1001):QM Initiator gets spi
*Mar 13 14:59:23.672: ISAKMP:(1001): sending packet to remote_IP my_port 500 peer_port 500 (I) QM_IDLE
*Mar 13 14:59:23.672: ISAKMP:(1001):Sending an IKE IPv4 Packet.
*Mar 13 14:59:23.672: ISAKMP:(1001):Node 1509355874, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
*Mar 13 14:59:23.672: ISAKMP:(1001):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
*Mar 13 14:59:23.744: ISAKMP (0:1001): received packet from remote_IP dport 500 sport 500 Global (I) QM_IDLE
*Mar 13 14:59:23.744: ISAKMP: set new node 438812687 to QM_IDLE
*Mar 13 14:59:23.748: ISAKMP:(1001): processing HASH payload. message ID = 438812687
*Mar 13 14:59:23.748: ISAKMP:(1001): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 2307194519, message ID = 438812687, sa = 65EA3A50
*Mar 13 14:59:23.748: ISAKMP:(1001): deleting spi 2307194519 message ID = 1509355874
*Mar 13 14:59:23.748: ISAKMP:(1001):deleting node 1509355874 error TRUE reason "Delete Larval"
*Mar 13 14:59:23.748: ISAKMP:(1001):deleting node 438812687 error FALSE reason "Informational (in) state 1"
*Mar 13 14:59:23.748: ISAKMP:(1001):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
*Mar 13 14:59:23.748: ISAKMP:(1001):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE

*Mar 13 14:59:23.944: ISAKMP:(1001):purging node -1139932770
*Mar 13 14:59:23.944: ISAKMP:(1001):purging node 570734582.....
Success rate is 0 percent (0/5)


[ optix @ 13.03.2013. 15:47 ] @
Zameni transform set sa:
crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac
Deluje kao da Phase2 ne prolazi..


Clear-uj 'sesiju':
Geodigit# clear crypto session remote Remote_IP

Ako mozes, zamoli i drugu stranu da clear-uje isto.


Pusti ping ponovo i pusti par puta ako ne prodje iz prve, nekad mu treba malo vise vremena ;)
[ smprobus @ 14.03.2013. 13:52 ] @
@optix:

skontao sam i ja posle da je falilo 256 u set transorm...
kada sam to promenio, dobio sam da je tunel UP-ACTIVE

Geo#sh crypto session
Crypto session current status

Interface: Dialer2 Virtual-Access2
Session status: UP-ACTIVE
Peer: remote IP port 500
IKE SA: local IP/500 remote remote/500 Active
IPSEC FLOW: permit ip 172.25.93.208/255.255.255.248 172.25.44.0/255.255.255.0
Active SAs: 2, origin: crypto map

ali kada probam ping i dalje ne prolazi:

Geo#ping 172.25.44.1 source 172.25.93.209

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.25.44.1, timeout is 2 seconds:
Packet sent with a source address of 172.25.93.209
.....
Success rate is 0 percent (0/5)

U cemu je problem, stvarno vise ne znam...
Optixe hvala veliko za sve sto si mi pomogao do sada...
[ optix @ 14.03.2013. 14:14 ] @
Dobro, to sto ne pinguje 172.25.44.1 specificno, moze da znaci da ta adresa ili nije podignuta nigde na drugoj strani ili se ne odaziva na ping, bitno je bilo samo da se generise saobracaj koji ce uci u tunel (sa ispravnim source/destination adresama) kako bi se tunel podigao.. ;) Nadam se da ti radi aplikacija ili koja je vec druga namena samog tunela.

Posalji jos output od:
show crypto ipsec sa

Ako u inbound esp sas: i outbound esp sas: vidis informacije o tunelu i Status je ACTIVE to je ok onda.


Edit:
Ovo sto sam te pitao se vidi iz tog outputa koji si poslao - "Active SAs: 2" To je sad ok..
[ smprobus @ 14.03.2013. 14:25 ] @
bice da je dobro sad

Geo#sh crypto ipsec sa

interface: Dialer2
Crypto map tag: CMAP, local addr 89.110.202.181

protected vrf: (none)
local ident (addr/mask/prot/port): (172.25.93.208/255.255.255.248/0/0)
remote ident (addr/mask/prot/port): (172.25.44.0/255.255.255.0/0/0)
current_peer remote port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 38, #pkts encrypt: 38, #pkts digest: 38
#pkts decaps: 38, #pkts decrypt: 38, #pkts verify: 38
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 120, #recv errors 0

local crypto endpt.: local, remote crypto endpt.: remote
path mtu 1400, ip mtu 1400, ip mtu idb Dialer2
current outbound spi: 0x3D40337C(1027617660)

inbound esp sas:
spi: 0xC98266F0(3380766448)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: FPGA:3, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x3D40337C(1027617660)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: FPGA:4, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

interface: Virtual-Access2
Crypto map tag: CMAP, local addr xxxxxxx

protected vrf: (none)
local ident (addr/mask/prot/port): (172.25.93.208/255.255.255.248/0/0)
remote ident (addr/mask/prot/port): (172.25.44.0/255.255.255.0/0/0)
current_peer xxxxxxxx port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 38, #pkts encrypt: 38, #pkts digest: 38
#pkts decaps: 38, #pkts decrypt: 38, #pkts verify: 38
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 120, #recv errors 0

local crypto endpt.: xxxxxxxxx, remote crypto endpt.: xxxxxxxxx
path mtu 1400, ip mtu 1400, ip mtu idb Dialer2
current outbound spi: 0x3D40337C(1027617660)

inbound esp sas:
spi: 0xC98266F0(3380766448)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: FPGA:3, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x3D40337C(1027617660)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: FPGA:4, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
[ smprobus @ 14.03.2013. 19:49 ] @
konacno ping prosao i to ne sa rutera vec sa radne stanice iza rutera.
Jos jednom se zahvaljujem!!!

Sad se ponovo vracam na pocetak i problem dimenzionisanja mreze 172.25.93.208/29, koja je suvise mala za ovih 30-ak racunara u mrezi.
Da li bih mogao koristiti 'stari' LAN 192.168.1.0/24 pa da nekako NAT-ujem te adrese za VPN tunel pa da se predstavljaju 172.25.93.208/29 na drugoj strani.
Nije mi jasno kako u konfiguraciji da 2 puta radim NAT, jednom za saobracaj za internet (interface Dialer2 overload) i drugi NAT za VPN pool 172.25.93.208/29.

[ optix @ 15.03.2013. 00:04 ] @


Nije da bih ti ovo savetovao da radis, jer je deo koji sledi sve samo ne standardan cisco config vec klasicno budzenje u pravom smislu te reci... Mnogo jednostavnije je da sa drugom stranom dogovoris vecu mrezu pogotovu sto se koriste privatne adrese. Sa druge strane dobijas izvesnu slobodu da menjas svoje LAN adrese po nahodjenju.
Ozbiljna mana je sto ces za bilo koji saobracaj koji je iniciran iz remote mreze morati da pravis rucno staticke translacije ka hostovima unutar tvoje mreze, sto vrlo brzo moze postati nocna mora ako je komunikacija izmedju vase dve mreze po prirodi dvosmerna, da ne spominjem egzoticne aplikacije koje koriste udp i dinamicke port opsege. Ako, medjutim, samo tvoji LAN hostovi iniciraju saobracaj ka remote mrezi i koristite neke standardne tcp aplikacije onda ovo ne mora nuzno da bude problem.


Code:

!
interface Loopback0
 ip address 172.168.1.1 255.255.255.252
 ip nat outside
!
! obrati paznju da je generalno nebitno koju ces adresu staviti na ovaj interface, sve dok se ne koristi negde drugde, bitno je da bude minimum /30

!
ip access-list extended vpn-pbr
 permit ip 192.168.1.0 0.0.0.255 172.25.44.0 0.0.0.255
!
! 192.168.1.0 0.0.0.255 ovde predstavlja tvoj inicijalni LAN opseg, ako planiras na njega da se vratis


!
route-map vpn-pbr permit 10
 match ip address vpn-pbr
 set ip next-hop 172.16.1.2
!
! da, gadjas nepostojecu adresu 172.16.1.2!

!
ip nat pool vpn-nat 172.25.93.209 172.25.93.214 prefix-length 29
!
! u ovom scenariju bi mogao da koristis i svih 8 adresa tj. od 208-215, ali da ne komplikujemo previse i ovo je vise nego dovoljno

!
ip nat inside source list vpn-pbr pool vpn-nat overload
!

!
interface FastEthernet0/1
 ip policy route-map vpn-pbr
!


Nista drugo od postojeceg konfiga ne menjas.


Ako moras da dodas neku staticku translaciju (takozvani port forward), recimo da host iz remote mreze hoce da koristi telnet na 192.168.1.2 gadjajuci pritom npr 172.25.93.209, konfig za to je

Code:

ip nat inside source static tcp 192.168.1.2 23 172.25.93.209 23






[Ovu poruku je menjao optix dana 15.03.2013. u 01:37 GMT+1]
[ optix @ 15.03.2013. 08:50 ] @
Update.

Iz nekog razloga sam sinoc zakljucio da ovo mora da se odradi preko 'Nat-on-the-stick'-a (ovo majmunisanje sa Loopback interfejsima)... ali stvar je zapravo prostija, moze i bez toga. Dovoljan konfig ti je:

Code:

ip access-list extended vpn-nat
 permit ip 192.168.1.0 0.0.0.255 172.25.44.0 0.0.0.255

ip nat pool vpn-nat 172.25.93.209 172.25.93.214 prefix-length 29

ip nat inside source list vpn-nat pool vpn-nat overload



Ostaje deo za staticke translacije po potrebi.

[Ovu poruku je menjao optix dana 15.03.2013. u 15:10 GMT+1]
[ optix @ 18.03.2013. 19:14 ] @
Namesti li ga?
[ smprobus @ 20.03.2013. 13:54 ] @
nisam jo uvek, jer sam trazio dozvolu od udaljene strae da mi prosiri adresni opseg...
Ako mi ne dozvole moram pribeci NAT-ovanju...

Javljam ti!
[ smprobus @ 18.11.2013. 17:00 ] @
Drugari,

sta se menja u konfiguraciji ako bih hteo jos neku udaljenu lokaciju da uvucem u VPN?

Da li na centralnoj lokaciji podesavam key za svaku udaljenu lokaciju ili moze biti isti, samo se adresa menja?

I da li generisem crypto map za svaku udaljenu lokaciju?

Molim vas za odgovor ukoliko je neko imao slicna iskustva...
[ acatheking @ 18.11.2013. 20:36 ] @
Mozes imati isti key, ali ga definises za svaku remote IP adresu posebno.

Mozes da koristis istu mapu, npr:

Code:
crypto map mapa-1 10 ipsec-isakmp
 set peer A.A.A.A
 set transform-set set-1
 match address 101
crypto map mapa-1 20 ipsec-isakmp
 set peer B.B.B.B
 set transform-set set-2
 match address 102
[ smprobus @ 21.11.2013. 15:30 ] @
imam nekolik oudaljenih teleworkera koji mi pristupaju direktno preko remote na server.
U medjuvremenu jednu po jednu lokaciju uvrstavam u VPN mrezu preko IPSec tunela.
Tunel sam postavio, status UP-ACTIVE sve ok.

Medjutim, na server ne mogu u isto vreme pristupati lokacije preko IPSec tunela i remote_teleworkeri.
Smeta komanda na centralnom ruteru:

ip nat inside source static ip_server FF.Ff.FF.FF

Ona mi je neophodna za remote access.
Kada je ona aktivna radne stanice koji mi pristupaju preko IPsec tunela ne mogu da pridju serveru.
Kada nju uklonim te iste radne stanice pinguju i prilaze serveru, ali onda ne mogu teleworkeri koji pristupaju preko staticke IP adrese.

Mozda sam bio malo nerazumljiv ali za svaki slucaj evo sh run centralnog rutera:

hostname ROUTER
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name XXXXXXXXXXXXXXXX.net
!
multilink bundle-name authenticated
!
!
!
!
!
username XXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
crypto isakmp policy 1
encr cccc
cccccccc
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX address AA.AA.AA.AA
!
!
crypto ipsec transform-set TS XXXXXX XXXXXXXXX
!
crypto map CMAP 10 ipsec-isakmp
set peer AA.AA.AA.AA
set transform-set TS
match address VPN-TRAFFIC
!
!
!
!
!
!

!
interface FastEthernet0/1
description INTERNET
ip address BB.BB.BB.BB 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CMAP
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
description LAN_MREZA
ip address 192.168.0.5 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 BB.BB.BB.BB

no ip http server
no ip http secure-server
!
!
ip nat pool NAT_POOL CC.CC.CC.CC netmask 255.255.255.252
ip nat inside source list 100 pool NAT_POOL overload
ip nat inside source static ip_server FF.Ff.FF.FF

!
ip access-list extended VPN-TRAFFIC
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
control-plane
!
!
line con 0
password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
login
line aux 0
line vty 0 4
login local
transport input ssh
!
scheduler allocate 20000 1000
end
[ smprobus @ 22.11.2013. 16:03 ] @
pozdrav ljudi,

ima li neko ideju na prethodni post?
[ smprobus @ 05.12.2013. 16:13 ] @
i dalje imam problem oko pristupa udaljenih lokacija koje nisu u VPN-u.
Za sada oni serveru pristupaju preko remote-a i plan je da jedna po jedna predju u VPN gde ce biti tunelom povezane sa centralnom lokacijom.

Nije mi jasno zasto staticki NAT :


ip nat inside source static ip_server FF.Ff.FF.FF

smeta u prenosu podataka kroz VPN tunel.
Kada sklonim tu komandu VPN proradi ali onda udaljene lokacije koje nisu u VPN-u ne mogu da pridju serveru preko remote-a.
[ acatheking @ 06.12.2013. 12:01 ] @
Zasto ne uradis nat samo za RDP?


Code:
ip nat inside source static tcp ip_server 3389 F.F.F.F 3389 
[ zeenmc @ 07.12.2013. 21:28 ] @
Nisam citao temu, ali da pucam pa mozda i bude ovo problem, si ti stavljao za odredjene acl no nat, tj za odredjene adreese da nat bude deny, da se paketi ne bi NATovali ? to se obicno radi kad se koristi VPN

npr Crypto ACL

permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255


NAT ACL

deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

kod je iz glave, mozda sam i pogresio, ali shvatices na sta sam ciljao :) ovim ces u slucaju poklapanja liste reci da ruter odbije natovanje tih paketa

jos nesto, ako imas vise rutera pa uradi test okruzenje, i pusti debug, sigurno ces naci sta je problem sa paketima, inace ovo ni slucajno na produkcioni ruter, jer ces ga ubiti na 100% :P
[ smprobus @ 08.12.2013. 10:38 ] @
mislim da sam resio problem.

Problemje u sustini kod Cisco rutera tj. u filozofiji odradjivanja NAT komandi.
Staticki NAT ima prioritet u odnosu na crypto MAP (ovo sam nasao na cisco site) tj. VPN tunel i zato paket koji posalje druga strana ne zavrsi u tunelu nego ode na Internet.

Problem se resava sa route-map komandom u kojoj se ne dozvoljava staticki NAT!
Ona se stavlja na kraj postojece komande ip nat inside source static .... route-map NO_NAT

Sad mi nije jasno zasto ping ne prolazi na drugu stranu VPN tunela direktno kao npr:

RouterA: ping 192.168.1.1

Vec moram da kucam source adresu:

RouterA: ping 192.168.1.1 source vlan 1

Sad mi tek nista nije jasno....