Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

site-to-site VPN na cisco ruterima

[es] :: Enterprise Networking :: site-to-site VPN na cisco ruterima

Strane: 1 2

[ Pregleda: 7726 | Odgovora: 33 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima14.03.2013. u 14:25 - pre 134 meseci
bice da je dobro sad

Geo#sh crypto ipsec sa

interface: Dialer2
Crypto map tag: CMAP, local addr 89.110.202.181

protected vrf: (none)
local ident (addr/mask/prot/port): (172.25.93.208/255.255.255.248/0/0)
remote ident (addr/mask/prot/port): (172.25.44.0/255.255.255.0/0/0)
current_peer remote port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 38, #pkts encrypt: 38, #pkts digest: 38
#pkts decaps: 38, #pkts decrypt: 38, #pkts verify: 38
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 120, #recv errors 0

local crypto endpt.: local, remote crypto endpt.: remote
path mtu 1400, ip mtu 1400, ip mtu idb Dialer2
current outbound spi: 0x3D40337C(1027617660)

inbound esp sas:
spi: 0xC98266F0(3380766448)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: FPGA:3, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x3D40337C(1027617660)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: FPGA:4, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

interface: Virtual-Access2
Crypto map tag: CMAP, local addr xxxxxxx

protected vrf: (none)
local ident (addr/mask/prot/port): (172.25.93.208/255.255.255.248/0/0)
remote ident (addr/mask/prot/port): (172.25.44.0/255.255.255.0/0/0)
current_peer xxxxxxxx port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 38, #pkts encrypt: 38, #pkts digest: 38
#pkts decaps: 38, #pkts decrypt: 38, #pkts verify: 38
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 120, #recv errors 0

local crypto endpt.: xxxxxxxxx, remote crypto endpt.: xxxxxxxxx
path mtu 1400, ip mtu 1400, ip mtu idb Dialer2
current outbound spi: 0x3D40337C(1027617660)

inbound esp sas:
spi: 0xC98266F0(3380766448)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2003, flow_id: FPGA:3, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x3D40337C(1027617660)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: FPGA:4, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4467427/9522)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima14.03.2013. u 19:49 - pre 134 meseci
konacno ping prosao i to ne sa rutera vec sa radne stanice iza rutera.
Jos jednom se zahvaljujem!!!

Sad se ponovo vracam na pocetak i problem dimenzionisanja mreze 172.25.93.208/29, koja je suvise mala za ovih 30-ak racunara u mrezi.
Da li bih mogao koristiti 'stari' LAN 192.168.1.0/24 pa da nekako NAT-ujem te adrese za VPN tunel pa da se predstavljaju 172.25.93.208/29 na drugoj strani.
Nije mi jasno kako u konfiguraciji da 2 puta radim NAT, jednom za saobracaj za internet (interface Dialer2 overload) i drugi NAT za VPN pool 172.25.93.208/29.

 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2001:470:9da5:.*



+101 Profil

icon Re: site-to-site VPN na cisco ruterima15.03.2013. u 00:04 - pre 134 meseci


Nije da bih ti ovo savetovao da radis, jer je deo koji sledi sve samo ne standardan cisco config vec klasicno budzenje u pravom smislu te reci... Mnogo jednostavnije je da sa drugom stranom dogovoris vecu mrezu pogotovu sto se koriste privatne adrese. Sa druge strane dobijas izvesnu slobodu da menjas svoje LAN adrese po nahodjenju.
Ozbiljna mana je sto ces za bilo koji saobracaj koji je iniciran iz remote mreze morati da pravis rucno staticke translacije ka hostovima unutar tvoje mreze, sto vrlo brzo moze postati nocna mora ako je komunikacija izmedju vase dve mreze po prirodi dvosmerna, da ne spominjem egzoticne aplikacije koje koriste udp i dinamicke port opsege. Ako, medjutim, samo tvoji LAN hostovi iniciraju saobracaj ka remote mrezi i koristite neke standardne tcp aplikacije onda ovo ne mora nuzno da bude problem.


Code:

!
interface Loopback0
 ip address 172.168.1.1 255.255.255.252
 ip nat outside
!
! obrati paznju da je generalno nebitno koju ces adresu staviti na ovaj interface, sve dok se ne koristi negde drugde, bitno je da bude minimum /30

!
ip access-list extended vpn-pbr
 permit ip 192.168.1.0 0.0.0.255 172.25.44.0 0.0.0.255
!
! 192.168.1.0 0.0.0.255 ovde predstavlja tvoj inicijalni LAN opseg, ako planiras na njega da se vratis


!
route-map vpn-pbr permit 10
 match ip address vpn-pbr
 set ip next-hop 172.16.1.2
!
! da, gadjas nepostojecu adresu 172.16.1.2!

!
ip nat pool vpn-nat 172.25.93.209 172.25.93.214 prefix-length 29
!
! u ovom scenariju bi mogao da koristis i svih 8 adresa tj. od 208-215, ali da ne komplikujemo previse i ovo je vise nego dovoljno

!
ip nat inside source list vpn-pbr pool vpn-nat overload
!

!
interface FastEthernet0/1
 ip policy route-map vpn-pbr
!


Nista drugo od postojeceg konfiga ne menjas.


Ako moras da dodas neku staticku translaciju (takozvani port forward), recimo da host iz remote mreze hoce da koristi telnet na 192.168.1.2 gadjajuci pritom npr 172.25.93.209, konfig za to je

Code:

ip nat inside source static tcp 192.168.1.2 23 172.25.93.209 23






[Ovu poruku je menjao optix dana 15.03.2013. u 01:37 GMT+1]
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2001:470:9da5:.*



+101 Profil

icon Re: site-to-site VPN na cisco ruterima15.03.2013. u 08:50 - pre 134 meseci
Update.

Iz nekog razloga sam sinoc zakljucio da ovo mora da se odradi preko 'Nat-on-the-stick'-a (ovo majmunisanje sa Loopback interfejsima)... ali stvar je zapravo prostija, moze i bez toga. Dovoljan konfig ti je:

Code:

ip access-list extended vpn-nat
 permit ip 192.168.1.0 0.0.0.255 172.25.44.0 0.0.0.255

ip nat pool vpn-nat 172.25.93.209 172.25.93.214 prefix-length 29

ip nat inside source list vpn-nat pool vpn-nat overload



Ostaje deo za staticke translacije po potrebi.

[Ovu poruku je menjao optix dana 15.03.2013. u 15:10 GMT+1]
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
*.optix.rs. via ipv6



+101 Profil

icon Re: site-to-site VPN na cisco ruterima18.03.2013. u 19:14 - pre 134 meseci
Namesti li ga?
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.telekom.yu.



Profil

icon Re: site-to-site VPN na cisco ruterima20.03.2013. u 13:54 - pre 134 meseci
nisam jo uvek, jer sam trazio dozvolu od udaljene strae da mi prosiri adresni opseg...
Ako mi ne dozvole moram pribeci NAT-ovanju...

Javljam ti!
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima18.11.2013. u 17:00 - pre 126 meseci
Drugari,

sta se menja u konfiguraciji ako bih hteo jos neku udaljenu lokaciju da uvucem u VPN?

Da li na centralnoj lokaciji podesavam key za svaku udaljenu lokaciju ili moze biti isti, samo se adresa menja?

I da li generisem crypto map za svaku udaljenu lokaciju?

Molim vas za odgovor ukoliko je neko imao slicna iskustva...
 
Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
80.93.236.*



+28 Profil

icon Re: site-to-site VPN na cisco ruterima18.11.2013. u 20:36 - pre 126 meseci
Mozes imati isti key, ali ga definises za svaku remote IP adresu posebno.

Mozes da koristis istu mapu, npr:

Code:
crypto map mapa-1 10 ipsec-isakmp
 set peer A.A.A.A
 set transform-set set-1
 match address 101
crypto map mapa-1 20 ipsec-isakmp
 set peer B.B.B.B
 set transform-set set-2
 match address 102

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima21.11.2013. u 15:30 - pre 125 meseci
imam nekolik oudaljenih teleworkera koji mi pristupaju direktno preko remote na server.
U medjuvremenu jednu po jednu lokaciju uvrstavam u VPN mrezu preko IPSec tunela.
Tunel sam postavio, status UP-ACTIVE sve ok.

Medjutim, na server ne mogu u isto vreme pristupati lokacije preko IPSec tunela i remote_teleworkeri.
Smeta komanda na centralnom ruteru:

ip nat inside source static ip_server FF.Ff.FF.FF

Ona mi je neophodna za remote access.
Kada je ona aktivna radne stanice koji mi pristupaju preko IPsec tunela ne mogu da pridju serveru.
Kada nju uklonim te iste radne stanice pinguju i prilaze serveru, ali onda ne mogu teleworkeri koji pristupaju preko staticke IP adrese.

Mozda sam bio malo nerazumljiv ali za svaki slucaj evo sh run centralnog rutera:

hostname ROUTER
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name XXXXXXXXXXXXXXXX.net
!
multilink bundle-name authenticated
!
!
!
!
!
username XXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
crypto isakmp policy 1
encr cccc
cccccccc
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX address AA.AA.AA.AA
!
!
crypto ipsec transform-set TS XXXXXX XXXXXXXXX
!
crypto map CMAP 10 ipsec-isakmp
set peer AA.AA.AA.AA
set transform-set TS
match address VPN-TRAFFIC
!
!
!
!
!
!

!
interface FastEthernet0/1
description INTERNET
ip address BB.BB.BB.BB 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CMAP
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
description LAN_MREZA
ip address 192.168.0.5 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 BB.BB.BB.BB

no ip http server
no ip http secure-server
!
!
ip nat pool NAT_POOL CC.CC.CC.CC netmask 255.255.255.252
ip nat inside source list 100 pool NAT_POOL overload
ip nat inside source static ip_server FF.Ff.FF.FF

!
ip access-list extended VPN-TRAFFIC
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
control-plane
!
!
line con 0
password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
login
line aux 0
line vty 0 4
login local
transport input ssh
!
scheduler allocate 20000 1000
end
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima22.11.2013. u 16:03 - pre 125 meseci
pozdrav ljudi,

ima li neko ideju na prethodni post?
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima05.12.2013. u 16:13 - pre 125 meseci
i dalje imam problem oko pristupa udaljenih lokacija koje nisu u VPN-u.
Za sada oni serveru pristupaju preko remote-a i plan je da jedna po jedna predju u VPN gde ce biti tunelom povezane sa centralnom lokacijom.

Nije mi jasno zasto staticki NAT :


ip nat inside source static ip_server FF.Ff.FF.FF

smeta u prenosu podataka kroz VPN tunel.
Kada sklonim tu komandu VPN proradi ali onda udaljene lokacije koje nisu u VPN-u ne mogu da pridju serveru preko remote-a.
 
Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.sbb.rs.



+28 Profil

icon Re: site-to-site VPN na cisco ruterima06.12.2013. u 12:01 - pre 125 meseci
Zasto ne uradis nat samo za RDP?


Code:
ip nat inside source static tcp ip_server 3389 F.F.F.F 3389 

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.
 
Odgovor na temu

zeenmc
Nedeljko Scepanovic
Beograd City

Član broj: 54186
Poruke: 419
*.dynamic.isp.telekom.rs.



+22 Profil

icon Re: site-to-site VPN na cisco ruterima07.12.2013. u 21:28 - pre 125 meseci
Nisam citao temu, ali da pucam pa mozda i bude ovo problem, si ti stavljao za odredjene acl no nat, tj za odredjene adreese da nat bude deny, da se paketi ne bi NATovali ? to se obicno radi kad se koristi VPN

npr Crypto ACL

permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255


NAT ACL

deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

kod je iz glave, mozda sam i pogresio, ali shvatices na sta sam ciljao :) ovim ces u slucaju poklapanja liste reci da ruter odbije natovanje tih paketa

jos nesto, ako imas vise rutera pa uradi test okruzenje, i pusti debug, sigurno ces naci sta je problem sa paketima, inace ovo ni slucajno na produkcioni ruter, jer ces ga ubiti na 100% :P
CCNP Security, CCNA R&S, CCNA Security, CCNA Voice
LinuxIsFree
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: site-to-site VPN na cisco ruterima08.12.2013. u 10:38 - pre 125 meseci
mislim da sam resio problem.

Problemje u sustini kod Cisco rutera tj. u filozofiji odradjivanja NAT komandi.
Staticki NAT ima prioritet u odnosu na crypto MAP (ovo sam nasao na cisco site) tj. VPN tunel i zato paket koji posalje druga strana ne zavrsi u tunelu nego ode na Internet.

Problem se resava sa route-map komandom u kojoj se ne dozvoljava staticki NAT!
Ona se stavlja na kraj postojece komande ip nat inside source static .... route-map NO_NAT

Sad mi nije jasno zasto ping ne prolazi na drugu stranu VPN tunela direktno kao npr:

RouterA: ping 192.168.1.1

Vec moram da kucam source adresu:

RouterA: ping 192.168.1.1 source vlan 1

Sad mi tek nista nije jasno....
 
Odgovor na temu

[es] :: Enterprise Networking :: site-to-site VPN na cisco ruterima

Strane: 1 2

[ Pregleda: 7726 | Odgovora: 33 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.