CISCO 1721 router VPN Configuration

[treloskostas]

Γειά σας παιδιά. Τον τελευταίο καιρό αντιμετωπίζω ένα πολύ χαζό πρόβλημα με τον ρούτερ μου και το configuration του. Ύστερα από κάποιους αιώνες που μου πήρε να το κάνω να δουλέψει όπως ήθελα με το ADSL interface του κατάφερα να μπώ τελικά στο internet. Τώρα θέλω να κάνω κάτι λίγο πιο σύνθετο. Θα ήθελα να τον ρυθμίσω κατάλληλα ώστε να μπορώ να μπαίνω στο σπίτι μου από το γραφείο ή οπουδήποτε αλλού έχω μαζί μου το laptop με τον VPN client. Αναβαθμίζοντας και χρησιμοποιώντας το SDM v.2.4.1 ακολούθησα πιστά τις οδηγίες για το στήσιμο ενός Easy VPN server. Μόλις τελείωσε και τεστάρισα το configuration με επιλογή που είχε το πρόγραμμα τότε όλα έδειχνε να παίζουν ΟΚ. Μόλις προσπάθησα όμως να κάνω δοκιμή από το laptop μου και να συνδεθώ μέσω του VPN client στο εσωτερικό μου δίκτυο δεν τα κατάφερα. Παρακάτω σας δίνω το configuration file σε περίπτωση που μπορεί κάποιος να με βοηθήσει.

Η τοπολογία του δικτύου μου είναι η εξής.

[Ιντερνετ] <----> (STATIC PUBLIC IP) [1721 Router] (10.0.0.138) <----> (10.0.0.1) [Proxy/Firewall/Mail/DNS/DHCP/AAA server] (192.168.0.254) <-----> (192.168.0.x) [HOME PC]


======================================================

Κώδικας:

CONFIGURATION FILE:

Current configuration : 7419 bytes
!
! Last configuration change at 07:16:36 UTC Wed Aug 22 2007
!
version 12.3
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
no service password-encryption
!
hostname router
!
boot-start-marker
boot system flash c1700-k9o3sy7-mz.123-2.XE.bin
boot-end-marker
!
logging buffered 4096 debugging
no logging console
enable secret 5 xxxxxxxxxxxxxxxxxxxx
!
username root privilege 15 password 0 xxxxxxxxxxxxxxx
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 group radius local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
aaa session-id common
ip subnet-zero
!
!
!
!
ip name-server xxxxxxxxxxxxxx
ip name-server xxxxxxxxxxxxxx
ip cef
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp xauth timeout 15

!
crypto isakmp client configuration group vpn
 key xxxxxxxxxxxxxx
 dns 192.168.0.10
 pool SDM_POOL_1
 max-users 10
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto dynamic-map SDM_DYNMAP_1 1
 set transform-set ESP-3DES-SHA 
 reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 
!
!
!
class-map match-all pop-traffic
description pop traffic from xxxxxxxxxx
 match access-group 103
class-map match-any http-traffic
description http traffic
 match access-group 102
class-map match-all smtp-traffic
description mail traffic from and to xxxxxxxxxx
 match access-group 101
!
!
policy-map inbound-traffic
 class pop-traffic
  bandwidth 1024
 class http-traffic
  priority 3072
 class class-default
  fair-queue
policy-map outbound-traffic
 class smtp-traffic
  bandwidth 128
 class http-traffic
  priority 128
 class class-default
  fair-queue
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto 
 hold-queue 224 in
!
interface FastEthernet0
 description LAN
 ip address 10.0.0.138 255.255.255.0
 ip nat inside
 speed auto
 no cdp enable
 hold-queue 100 out
!
interface Dialer1
 bandwidth 256
 ip address negotiated
 no ip redirects
 ip nat outside
 encapsulation ppp
 dialer pool 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxxxxxxxx
 ppp chap password 0 xxxxxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxxx password 0 xxxxxxxxxxxxxxxxxx
 ppp multilink
 ppp multilink fragment delay 8
 ppp multilink interleave
 crypto map SDM_CMAP_1
!
ip local pool SDM_POOL_1 192.168.1.10 192.168.1.20
ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.1 22 interface Dialer1 22
ip nat inside source static tcp 10.0.0.1 110 interface Dialer1 110
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.0.0 255.255.255.0 10.0.0.1
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
!
!
!
logging trap debugging
logging facility local4
logging source-interface FastEthernet0
logging 10.0.0.1
access-list 1 permit 10.0.0.1
access-list 1 permit 192.168.1.1
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any host 216.127.88.32 eq smtp
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any any eq 443
access-list 102 permit tcp any any eq ftp
access-list 102 permit tcp any any eq ftp-data
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq 443 any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq ftp-data any
access-list 102 permit tcp any any eq 554
access-list 102 permit tcp any eq 554 any
access-list 150 remark SDM_ACL Category=16
access-list 150 deny   ip any host 192.168.1.10
access-list 150 deny   ip any host 192.168.1.11
access-list 150 deny   ip any host 192.168.1.12
access-list 150 deny   ip any host 192.168.1.13
access-list 150 deny   ip any host 192.168.1.14
access-list 150 deny   ip any host 192.168.1.15
access-list 150 deny   ip any host 192.168.1.16
access-list 150 deny   ip any host 192.168.1.17
access-list 150 deny   ip any host 192.168.1.18
access-list 150 deny   ip any host 192.168.1.19
access-list 150 deny   ip any host 192.168.1.20
access-list 150 deny   icmp any any
access-list 150 deny   ip any 10.36.0.1 0.0.0.10
access-list 150 permit ip host 10.0.0.1 any
access-list 150 permit ip 192.168.0.0 0.0.0.255 any
access-list 190 remark permit IPSec VPN pass-through, IPSec NATT
access-list 190 remark SDM_ACL Category=4
access-list 190 permit esp any any
access-list 190 permit ahp any any
access-list 190 permit udp any any eq isakmp
access-list 190 permit udp any any eq non500-isakmp
access-list 190 permit udp any any eq 10000
access-list 190 permit tcp any any eq 10000
snmp-server community xxxxxxx RO
snmp-server trap-source FastEthernet0
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps isdn call-information
snmp-server enable traps isdn layer2
snmp-server enable traps isdn chan-not-avail
snmp-server enable traps isdn ietf
snmp-server enable traps hsrp
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps cpu threshold
snmp-server enable traps flash insertion removal
snmp-server enable traps frame-relay
snmp-server enable traps frame-relay subif
snmp-server enable traps ospf state-change
snmp-server enable traps ospf errors
snmp-server enable traps ospf retransmit
snmp-server enable traps ospf lsa
snmp-server enable traps ospf cisco-specific state-change
snmp-server enable traps ospf cisco-specific errors
snmp-server enable traps ospf cisco-specific retransmit
snmp-server enable traps ospf cisco-specific lsa
snmp-server enable traps syslog
snmp-server enable traps cnpd
snmp-server enable traps rtr
snmp-server enable traps atm pvc
snmp-server enable traps atm subif
snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message
snmp-server enable traps ipmulticast
snmp-server enable traps msdp
snmp-server enable traps rsvp
snmp-server enable traps pppoe
snmp-server enable traps l2tun session
snmp-server enable traps bgp
snmp-server enable traps ipmobile
snmp-server enable traps isakmp policy add
snmp-server enable traps isakmp policy delete
snmp-server enable traps isakmp tunnel start
snmp-server enable traps isakmp tunnel stop
snmp-server enable traps ipsec cryptomap add
snmp-server enable traps ipsec cryptomap delete
snmp-server enable traps ipsec cryptomap attach
snmp-server enable traps ipsec cryptomap detach
snmp-server enable traps ipsec tunnel start
snmp-server enable traps ipsec tunnel stop
snmp-server enable traps ipsec too-many-sas
!
route-map SDM_RMAP_1 permit 1
 match ip address 150
!
radius-server host 192.168.0.254 auth-port 1812 acct-port 1813 key xxxxxxxxxxxx
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 access-class 1 in
 transport input telnet ssh
!
ntp clock-period 17179911
ntp peer 10.0.0.1
!
end

===============================================

Κοιτώντας τα logs του VPN CLIENT μου εμφανίζει σε ένα από τα μυνήματα που μόλις πατάω να κάνω connect οτι RECEIVED ISAKMP packet peer = xxx.xxx.xxx.xxx και μετά στο αμέσως επόμενο μύνημα εμφανίζει Invalid SPI size (PayloadNotify: 116) και ύστερα προσπαθεί να κάνει retrnasmit το τελευταίο πακέτο χωρίς καμία επιτυχία μέχρι που ο client τερματίζει τις προσπάθειες του.

Αν κάποιος γνωρίζει τί μπορεί να φταίει ή αν εντοπίζει κάτι λάθος στο configuration file ας μου δώσει τα φώτα του.

Ευχαριστώ πολύ.


Κώστας

Υ.Γ. Έχω δοκιμάσει ακόμα και με κλειστό το Firewall που τρέχει στον Proxy μου αλλά πάλι τίποτα. Όσο δουλεύει το Firewall πάντως έχω ανοίξει πόρτες και παράθυρα στον proxy μου στις πόρτες 500, 10000, 1812.

[treloskostas]

Απ' ότι φαίνεται δεν υπάρχει κάποιος που να μπορεί να με βοηθήσει με το πρόβλημά μου. Έχω φτάσει σε καλό δρόμο από την τελευταία φορά που πόσταρα ψάχνοντας μόνος μου
Το μόνο που ακόμα δεν έχω καταφέρει είναι να βλέπω τις εσωτερικές μου IPs από έξω. Το ανάποδο δουλεύει. Είναι θέμα routing δηλαδή αλλά αν έχει κανείς κάποια ιδέα για το τι routes χρειάζεται να έχω θα ήταν θετικό.

Ευχαριστώ και πάλι

Κώστας.

[lacacitos]

Το μόνο που ακόμα δεν έχω καταφέρει είναι να βλέπω τις εσωτερικές μου IPs από έξω. Το ανάποδο δουλεύει. Είναι θέμα routing δηλαδή αλλά αν έχει κανείς κάποια ιδέα για το τι routes χρειάζεται να έχω θα ήταν θετικό.

μπορείς λίγο να διασαφηνίσεις τι δεν μπορείς να δεις και τι μπορείς να δεις?

[treloskostas]

Ευχαριστώ για την απάντηση καταρχάς.

Γενικά έχω 2 subnets

192.168.0.xxx για τις εσωτερικές μου IPs

και δίνω από το IP Pool του ρούτερ 192.168.1.xxx για όταν συνδεθώ από έξω μέσω vpn

Από μέσα από το ιntranet μπορώ να δώ τις εξωτερικές IPs. Από έξω όμως δυσκολεύομαι γιατί δεν ξέρω τί route να βάλω.

[lacacitos]

οταν λες ότι τις βλέπεις τι εννοείς? μπορείς να κάνεις ping?
είσαι σε ένα pc με IP 192.168.0.xx και μπορείς να κάνεις ping ενα pc που έχει κάνει connect μέσω vpn και έχει πάρει IP 192.168.1.xx?

[treloskostas]

Εσωτερικά στο δίκτυό μου έχω 192.168.0.xxx ενώ

οι remote χρήστης που θέλει να συνδεθεί στο εσωτερικό μου δίκτυο παίρνει IP του τύπου 192.168.1.xxx

Από το εσωτερικό μου δίκτυο μπορώ και κάνω ping το remote pc, αλλά από το remote pc δεν μπορώ να κάνω ping οποιαδήποτε εσωτερική IP.

O proxy μου έχει το εξής routing table

Κώδικας:

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U         0 0          0 lo
0.0.0.0         10.0.0.138      0.0.0.0         UG        0 0          0 eth1

ενώ το λάπτοπ από το οποίο προσπαθώ να κάνω remote access και τρέχει vista έχει το εξής routing table

Κώδικας:

===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.15    100
      xx.xx.xx.xx  255.255.255.255         On-link   yy.yy.yy.yy    100
        127.0.0.0        255.0.0.0          On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      192.168.1.0    255.255.255.0         On-link      192.168.1.15    306
     192.168.1.15  255.255.255.255         On-link      192.168.1.15    306
    192.168.1.255  255.255.255.255         On-link      192.168.1.15    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link   yy.yy.yy.yy     51
        224.0.0.0         240.0.0.0         On-link      192.168.1.15    306
  255.255.255.255  255.255.255.255          On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link   yy.yy.yy.yy    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.15    306
===========================================================================
Persistent Routes:
  None

Τί είναι αυτό που μπορώ να κάνω για να διορθώσω το πρόβλημα του routing ώστε όλοι να μπορούν να κάνουν ping μεταξύ τους?

Ευχαριστώ και πάλι

K.

[lacacitos]

αφού από κάποιο pc με 192.168.0.χχ μπορεις να κάνεις ping σε 192.168.1.χχ σημαίνει τα εξής πράγματα:

το 192.168.0.χχ ξέρει πως να φτάσει στο 192.168.1.χχ και του στέλνει icmp echo request

το 192.168.1.χχ ξέρει πως να φτάσει στο 192.168.0.χχ και του επιστρέφει echo reply.

Συνεπώς κατά 99% δεν υπάρχει πρόβλημα routing

Αυτό μπορείς να το επιβεβαιώσεις πχ αν κανεις στο proxy "tcpdump -i eth1 host 192.168.1.15" κλπ κλπ.

Μήπως στο proxy μηχανημα τρέχεις πχ. iptables και δεν αφήνεις inbound traffic να περάσει μέσα από τον proxy?

από την άλλη βλέπω και ένα περίεργο route στον proxy:
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

αυτό πως το έχεις κάνει? λογικά αφού έχεις default στο 10.0.0.138 αυτό είναι περιττό και μπορεί και να δημιουργεί κάποιο προβληματάκι...

[treloskostas]

Στον proxy τρέχει κάποιο firewall που λέγεται shorewall. Με το shorewall είτε το κλείσω εντελώς (όπου φαντάζομαι τότε ανοίγουν όλες οι πόρτες) είτε το αφήσω ανοιχτό και προσθέσω rules να αφήνει συγκεκριμένα ports ανοιχτά, ΔΕΝ βλέπω καμία διαφορετική συμπεριφορά. Όσο δεν είχα πάντως το route που ανέφερες προηγουμένως δεν μπορούσα να κάνω ping απο ή προς το εσωτερικό μου δίκτυο χρησιμοποιώντας το laptop

[treloskostas]

Πάντως πρόκειται να είναι μια χαζή λεπτομέρια που στο τέλος είμαι σίγουρος πως θα κοπανάω κεφάλι μου στον τοίχο. Θα δοκιμάσω πάντως να κάνω αυτό που λές με το tcpdump και θα ποστάρω εντυπώσεις και αποτελέσματα.

Ευχαριστώ και πάλι.

Κώστας

[treloskostas]

Τελικά το πρόβλημά μου λύθηκε ύστερα από αρκετό πειραματισμό και δοκιμές. Έπρεπε να προστεθεί κάποιο επιπλέον route στον cisco και να προστεθούν ακόμα κάποια rules στο firewall.

Ευχαριστώ πολύ για την βοήθεια που μου δώσατε.

Κώστας