Επιστροφή στο Forum : Site2Site vpn with ddns
Αφου βρηκα λιγο χρονο ειπα ν' ασχοληθω μ' ενα ξεχασμενο 1721 και να φτιαξω vpn
Mε το ccp ειναι πολυ ευκολο ομως μου εκανε εντυπωση οτι στο πεδιο
Peer identity εχει επιλογη "Peer(s) with dynamic IP address" αλλα σε αντιθεση
με την επιλογη "Peer with static IP address" δεν μπορεις να τη δηλωσεις πουθενα!!
Βεβαια οταν εβαλα ip επαιξε αλλα το θεμα ειναι να βαλω το ονομα ddns
Δεδομενου οτι να εχεις σημερα static-ip ειναι η ΤΡΥΠΑ, δε μπορει καποιος τροπος θα υπαρχει..
Δε θα το έλεγα τρύπα, αντιθέτως το 90% των enterprise L2L vpns έχουν στατικά άκρα. Μεγαλύτερο πρόβλημα ασφαλείας υπάρχει από μέσα προς τα έξω τα τελευταία χρόνια ( και γίνεται χειρότερο με το BYOD ) παρά το ανάποδο, αλλά ξεφεύγουμε από το θέμα :p Δεν ξέρω τι επιλογές σου δίνει το ccp, αλλά φυσικά γίνεται αυτό που θες . Δες την set peer dynamic (http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_s2.html#wp1046908) κι αν κολλήσεις σε κάποιο συγκεκριμένο σημείο, κάνε paste το config σου να σε βοηθήσουμε :)
CCP->Security->VPN->VPN Componets->IPsec->Ipsec Policies (Crypto Map Sets)>Edit και εκει στο tab Peer Information στο section Specify Peers->IP address or hostname κοτσαρω το hostname το κανω add και στο καπακι κανω remove την ip που ειχα
Παιζει μια χαρα
Ευχαριστω..
Αυτο που προσπαθω τωρα ειναι να φτιαξω Easy VPN Server αλλα οταν παω να συνδεθω με το client δε το βλεπει καν
Αν βγω απο ccp και μετα ξαναμπω δε το βλεπω
Configure > Security > VPN > Easy VPN Server στο Tab edit
σα να μην το εφτιαξα ποτε..
ΥΓ. Σωθηκα απο τοτε που κατεργησα ολες τις static με dynamic
Με τα ζωα που εχω φυλαω τα ρουχα μου να εχω τα μισα
........Auto merged post: you πρόσθεσε 56 λεπτά και 57 δευτερόλεπτα αργότερα ........
Ακυρο :(
Εκανα επανεκινηση το αλλο ακρο αλλαξε ip και δε παιζει
Οταν κανω τις παραπανω αλλαγες δε φαινεται να τις παιρνει
Preparing commands for delivery...
Submitting 4 commands, please wait...
Configuration delivered to device.
Copying the Running config to Startup config of your router. Please wait...
Running config could not be copied to Startup Config of your router.
Mετα απο πολυωρες προσπαθειες και με τη πολυτιμη βοηθεια του Someonefromhell κατεληξα στο εξης
Εστω οτι του δινουμε
set peer name.ddns.org dynamic
Κανει το εξης
Translating " name.ddns.org "...domain server (147.102.1.1) [OK]
Τo οποιο πρακτικα σημαινει οτι κανει resolve-transale την ip που εχει το ddns ακρο εκεινη τη στιγμη
Οταν ομως το ddns ακρο χασει την ip αυτη και παρει αλλη ο router συνεχιζει να ψαχνει απελπισμενα να βρει την ip που ειχε οταν το εκανε resolve
Για λογους ασφαλειας καταργω τις static ip
Θεωρω οτι αν δεν υπαρχει λυση προκειται για καραμπινατο BUG!!
Τελικά αν κατάλαβα καλά δεν γίνεται να έχεις site-to-site vpn με δυναμικές IP;
Είσαι σίγουρος ότι δεν ξανακάνει resolve την ip ποτέ ? Δες στο config πώς είναι περασμένο. Το δοκίμασα μόλις τώρα σε gns με 12.4(16) σε ένα απλο σενάριο ( 2 routers, no nat, preshared keys ) και αλλάζοντας τα records του dns και τις ip των serial , λειτουργεί μια χαρά. Απλά πάνω στην αλλαγή χάνει 2-3 pings μέχρι να ξανακάνει establish το session , που είναι φυσιολογικό. Ακολουθούν τα configs:
Hub
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
ip host R1.ine.com 10.10.12.1
ip host R2.ine.com 10.10.12.2
ip name-server 10.10.10.10
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key testkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set t-set esp-des esp-md5-hmac
!
crypto dynamic-map cmap 10
set transform-set t-set
match address 110
!
!
crypto map cmap-vpn 10 ipsec-isakmp dynamic cmap
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Loopback1
ip address 10.10.10.10 255.255.255.255
!
interface Serial0/0
ip address 10.10.12.1 255.255.255.0
encapsulation ppp
serial restart-delay 0
crypto map cmap-vpn
!
interface Serial0/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
!
ip dns server
!
access-list 110 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
!
!
end
Spoke
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
ip name-server 10.10.10.10
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key testkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set t-set esp-des esp-md5-hmac
!
crypto map cmap-vpn 1 ipsec-isakmp
set peer R1.ine.com dynamic
set transform-set t-set
match address 110
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Serial0/0
ip address 10.10.12.2 255.255.255.0
encapsulation ppp
serial restart-delay 0
crypto map cmap-vpn
!
interface Serial0/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
!
!
access-list 110 permit ip host 2.2.2.2 host 1.1.1.1
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
line vty 0 4
!
!
end
Επιβεβαίωση ότι όντως το vpn μας δουλεύει:
R2#ping 1.1.1.1 source L0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/39/48 ms
R2#show crypto ipsec sa
interface: Serial0/0
Crypto map tag: cmap-vpn, local addr 10.10.12.2
protected vrf: (none)
local ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
current_peer 10.10.12.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 10.10.12.2, remote crypto endpt.: 10.10.12.1
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
current outbound spi: 0xE455598B(3830798731)
inbound esp sas:
spi: 0x408C5C24(1082940452)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: cmap-vpn
sa timing: remaining key lifetime (k/sec): (4465006/3242)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xE455598B(3830798731)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: cmap-vpn
sa timing: remaining key lifetime (k/sec): (4465006/3237)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
@ ADSLgr.com All rights reserved.