Cisco 876-k9 vpn 3 sites

[taxiarxos]

Καλημέρα, ναι αν τρέξεις αντίστοιχο config όπως στο υποκατάστημα 1 θα έχεις internet, καλό θα είναι για να μην μπερδευτείς να σετάρεις τον router, να μπεί στο δίκτυο κανονικά και να έχει πρόσβαση στο internet, μετά στήνεις και το configuration για το vpn.

[johnk]

Οκ taxiarxos , ευχαριστω για την απαντηση. Τελικα σημερα δεν μου εχουν φερει την adsl ακομα για να συνδεσω το 2ο υποκαταστημα και να κανω δοκιμες. Μολις το βαλω πανω θα σε ενημερωσω.

[johnk]

Αναμονη για Adsl ακομα απο τον παροχο!!! ΤΡΑΓΩΔΙΑ!! γνωριζετε κανενα emulator να παιξω με το configuration μεχρι να ερθει η adsl?

[taxiarxos]

Καλησπέρα, νομίζω πως είναι ο καλύτερος που έχω δουλέψει!

http://www.gns3.net/

[johnk]

ευχαριστω πολυ taxiarxos - θα τον δοκιμασω!

[johnk]

Καλησπερα στο forum. taxiarxos help κολλησα, εχτιζα το configuration στον cisco στα κεντρικα για να συνδεσω και το 2ο υποκαταστημα οταν ερθει με το καλο η adsl και κολλησα. στο interface dialer1 , στην ip τι βαζω? εχει ηδη του 1ο καταστηματος. σου παραθετω το config να δεις τι εχω κανει.

Κώδικας:

!

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname kentrika

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 warnings

enable secret 5 

enable password 7 

!

no aaa new-model

!

resource policy

!

ip cef

!

!

!

!

no ip domain lookup

ip domain name yourdomain.com

ip inspect name myfw tcp

ip inspect name myfw udp

ip inspect name myfw ftp

ip inspect name myfw realaudio

ip inspect name myfw smtp

ip inspect name myfw streamworks

ip inspect name myfw vdolive

ip inspect name myfw tftp

ip inspect name myfw rcmd

ip inspect name myfw http

!

isdn switch-type basic-net3

!

crypto pki trustpoint TP-self-signed-325901753

 enrollment selfsigned

 subject-name cn=IOS-Self-Signed-Certificate-325901753

 revocation-check none

 rsakeypair TP-self-signed-325901753

!

!

crypto pki certificate chain TP-self-signed-325901753

 certificate self-signed 01

  3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

  69666963 6174652D 33323539 30313735 33301E17 0D303230 33303130 30303730

  355A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3332 35393031

  37353330 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

  97A84538 958C7CF6 9F545A11 4E064D84 DC8A836B 44C870D9 5BD9CC3D CCE0F4B4

  55E261B0 E5066FDF E9C8018C CB2DA70C 4574D16B 07E97D44 C37E799B E1EAABD3

  BB515DE1 E8FEFD6C 34029757 B433A3A6 7D1F6A04 D606B8AB 4150B4AC CCFD5462

  1BE04CAE 9E12923B 7933E70B 1A80E68B 5F85962A 5F11AFBD 5CCE940D A2DD3C27

  02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D

  11041B30 19821749 6E746572 6E65742E 796F7572 646F6D61 696E2E63 6F6D301F

  0603551D 23041830 1680147A 84D1B108 D32408EA 9238D39D D1D8D6C8 6834A630

  1D060355 1D0E0416 04147A84 D1B108D3 2408EA92 38D39DD1 D8D6C868 34A6300D

  06092A86 4886F70D 01010405 00038181 00542A3B 79E65B2A FE948A98 ECD153E4

  1E510D6C 56E5AFE8 03BF6A2F B83CCCBA F5AC0631 40319A88 3ECA356A C3F69CB7

  D61066BB FB59F03B AA49842B B97F54FC 708B46B8 4110437D 79C18A8E A5FE4BBB

  EFE01DC0 7A98979E EEBA58F8 0333A957 1A09A9A0 25D5BE49 91DB6FB1 CF6D8C37

  1FD33590 9AFA55FA 6906858B A799663B 92

  quit

username john privilege 15 password 0 xx 

!

!

!

crypto isakmp policy 1

 hash md5

 authentication pre-share

crypto isakmp key secretkey address 62.xxx.xxx.43
crypto isakmp key secretkey address xx.xxx.xxx.xx


!

!

crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac

!

crypto map cm-cryptomap local-address Dialer1

crypto map cm-cryptomap 1 ipsec-isakmp

 set peer 62.xxx.xxx.43

 set transform-set cm-transformset-1

 match address 101

!

!
crypto map cm-cryptomap local-address Dialer1

crypto map cm-cryptomap 2 ipsec-isakmp

 set peer xx.xxx.xxx.xx

 set transform-set cm-transformset-1

 match address 102

!

!

interface Tunnel1

 ip address 192.168.10.1 255.255.255.0

 tunnel source Dialer1

 tunnel destination 62.xxx.xxx.43

!

interface Tunnel2

 ip address 192.168.10.3 255.255.255.0

 tunnel source Dialer1

 tunnel destination xx.xxx.xxx.xx
!
interface BRI0

 no ip address

 encapsulation hdlc

 shutdown

 isdn switch-type basic-net3

 isdn point-to-point-setup

!

interface ATM0

 no ip address

 no atm ilmi-keepalive

 pvc 8/35

  encapsulation aal5mux ppp dialer

  dialer pool-member 1

 !

 dsl operating-mode auto

!

interface FastEthernet0

 no cdp enable

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly

 ip tcp adjust-mss 1452

!

interface Dialer1

 ip address 83.xxx.xxx.181 255.255.255.0

 ip nat outside

 ip virtual-reassembly

 encapsulation ppp

 dialer pool 1

 no cdp enable

 ppp pap sent-username xxxxxxxxxxxxxxxx@otenet.gr password xxx

 crypto map cm-cryptomap

!

router rip

 network 192.168.10.0

!

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 192.168.2.0 255.255.255.0 Tunnel1
ip route 192.168.3.0 255.255.255.0 Tunnel2

!

!

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip http client username john

ip nat inside source list 122 interface Dialer1 overload

i



access-list 1 permit 192.168.1.0 0.0.0.255

access-list 23 permit 62.xxx.xxx.43
access-list 23 permit xx.xxx.xxx.xx

access-list 23 permit 192.168.1.0 0.0.0.255

access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.3.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 permit gre host 83.xxx.xxx.181 host 62.xxx.xxx.43
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 101 permit gre host 83.xxx.xxx.235 host 62.xxx.xxx.43
access-list 102 permit gre host xx.xxx.xxx.xx host 62.xxx.xxx.43

access-list 103 permit ip any any

access-list 122 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

access-list 122 permit ip 192.168.1.0 0.0.0.255 any

access-list 175 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 176 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any

dialer-list 1 protocol ip permit



snmp-server community skynet RW

snmp-server enable traps tty

no cdp run

!

!

!

route-map nonat permit 10

 match ip address 175
 match ip address 176

!

!

control-plane



!

line con 0

 exec-timeout 120 0

 login local

 no modem enable

 stopbits 1

line aux 0

line vty 0 4

 access-class 23 in

 exec-timeout 120 0

 privilege level 15

 password xxx 

 logging synchronous

 login

 length 0

 transport input telnet ssh

!

scheduler max-task-time 5000

!

webvpn context Default_context

 ssl authenticate verify all

 !

 no inservice

!

end

........Auto merged post: johnk πρόσθεσε 1 λεπτά και 18 δευτερόλεπτα αργότερα ........

sorry αυτο ειναι 2
crypto ipsec transform-set cm-transformset-2 ah-md5-hmac esp-des esp-md5-hmac

[taxiarxos]

Καλησπέρα, στον dialer 1 το αφήνεις ως έχει το IP που έχεις είναι το Public IP που έχει το κεντρικό σου. Αν θέλεις το κάνεις ip address negotiated αντί να του δηλώσεις το IP σου (προτείνεται). Το υποκατάστημα 1 γράφεις σαν tunnel destination 62.xxx.xxx.43 άρα νομίζω ότι είσαι οκ. To RIP άν θέλεις βγάλτο δεν υπάρχει λόγος να το έχεις.

Επίσης κάτι που παρατήρησα είναι αυτό "ip address 83.xxx.xxx.181 255.255.255.0" δηλαδή έχεις από τον ISP 254 IPs?



Αυτό είναι ip address 83.xxx.xxx.181 255.255.255.255 ή καλύτερα αν θέλεις ip address 83.xxx.xxx.181/32 1 IP σου δίνει.

[SfH]

Δεν έχω ψαχτεί σχεδόν καθόλου με το "security" κομμάτι , αλλά έχω την εντύπωση ότι η προτεινόμενη/πιο scalable λύση όταν θες και spoke-to-spoke επικοινωνία ( "full mesh" δηλαδή ) δεν είναι να κάνεις άπειρα στατικά tunnel παντού αλλά αυτό που η cisco αποκαλεί DMVPN ( mgre/nhrp/ipsec ) .

Προφανώς μόνο τρια σημεία είναι πολύ λίγα για να έχεις οποιοδήποτε πρόβλημα με τον παραδοσιακό τρόπο ενώ σε καμία περίπτωση δεν προτείνω να κάνεις δοκιμές σε production περιβάλλον. Ίσως όμως να αξίζει να κοιτάξεις το dmvpn configuration guide στο site της cisco και να κάνεις μερικές δοκιμές στο gns, ειδικά αν αναμένεται τα υποκαταστήματα να πολλαπλασιαστούν στο μέλλον .

[johnk]

Ναι σωστος ο dialer 1 εχει την static του καθε σημειου. Σωστη η παρατηρηση μια ip static εχω. Παρολαυτα παιζει κανονικα και με το 255.255.255.0. Θα το διορθωσω ομως στο config. Ευχαριστω πολυ για τις απαντησεις, μου ειπαν απο τον ΟΤΕ πως την Δευτερα θα ειναι ετοιμη η adsl οποτε θα το δοκιμασω και live και θα σε ενημερωσω. Κερναω οποτε κατεβεις Χαλκιδα - στειλε μου μην. Σαββ/κο θα παιξω και με τον emulator να δω αν τρεξει το config. Καλο βραδυ!

........Auto merged post: johnk πρόσθεσε 4 λεπτά και 14 δευτερόλεπτα αργότερα ........

Ευχαριστω για την απαντηση Someonefromhell , ενδιαφερον αυτο που γραφεις, θα το ψαξω λιγο μεσ' την Cisco. Στο αμμεσο μελλον δεν νομιζω να ανοιξουν και αλλο υποκαταστημα αλλα καλο θα ειναι να το ξερουμε πως γινετε!!

[taxiarxos]

Για ενημέρωση του Forum.

http://www.cisco.com/application/pdf...240/dcmvpn.pdf

http://www.networkengineerblog.com/2...vpn-cisco.html

Καλό Βράδυ!

[johnk]

Αναμονη γισ την Adsl ακομα. Αυριο μου ειπαν κατα 90% να ειναι ετοιμη. Για να δουμε!

[taxiarxos]

Καλημέρα.... Είχαμε τίποτε νεότερο;

taxiarxos
http://www.facebook.com/pages/%CE%9C...37169599692274

[nstamoul]

Δεν έχω ψαχτεί σχεδόν καθόλου με το "security" κομμάτι , αλλά έχω την εντύπωση ότι η προτεινόμενη/πιο scalable λύση όταν θες και spoke-to-spoke επικοινωνία ( "full mesh" δηλαδή ) δεν είναι να κάνεις άπειρα στατικά tunnel παντού αλλά αυτό που η cisco αποκαλεί DMVPN ( mgre/nhrp/ipsec ) .

Προφανώς μόνο τρια σημεία είναι πολύ λίγα για να έχεις οποιοδήποτε πρόβλημα με τον παραδοσιακό τρόπο ενώ σε καμία περίπτωση δεν προτείνω να κάνεις δοκιμές σε production περιβάλλον. Ίσως όμως να αξίζει να κοιτάξεις το dmvpn configuration guide στο site της cisco και να κάνεις μερικές δοκιμές στο gns, ειδικά αν αναμένεται τα υποκαταστήματα να πολλαπλασιαστούν στο μέλλον .

Ναι σωστος ο dialer 1 εχει την static του καθε σημειου. Σωστη η παρατηρηση μια ip static εχω. Παρολαυτα παιζει κανονικα και με το 255.255.255.0. Θα το διορθωσω ομως στο config. Ευχαριστω πολυ για τις απαντησεις, μου ειπαν απο τον ΟΤΕ πως την Δευτερα θα ειναι ετοιμη η adsl οποτε θα το δοκιμασω και live και θα σε ενημερωσω. Κερναω οποτε κατεβεις Χαλκιδα - στειλε μου μην. Σαββ/κο θα παιξω και με τον emulator να δω αν τρεξει το config. Καλο βραδυ!

........Auto merged post: johnk πρόσθεσε 4 λεπτά και 14 δευτερόλεπτα αργότερα ........

Ευχαριστω για την απαντηση Someonefromhell , ενδιαφερον αυτο που γραφεις, θα το ψαξω λιγο μεσ' την Cisco. Στο αμμεσο μελλον δεν νομιζω να ανοιξουν και αλλο υποκαταστημα αλλα καλο θα ειναι να το ξερουμε πως γινετε!!

Όπως σωστά λέει ο SFH για να έχει επικοινωνία spoke to spoke χωρίς το traffic να περνάει από το hub θέλεις DMVPN με full mesh τοπολογία.Ξέρω ότι ακούγεται ψαρωτικό και ακριβό αλλά δεν είναι

HUB:

Κώδικας:

no crypto isakmp policy 1
crypto isakmp policy 10
enc aes
hash sha
auth pre-share
group 2
exit

crypto isakmp key 0 VPNKEY address 0.0.0.0 0.0.0.0 no-xauth

crypto ipsec transform-set TRANS esp-aes esp-sha-hmac

crypto ipsec profile IPSEC_PROF
set transform-set TRANS


interface tunnel 0
ip add 10.0.0.1 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source dialer 1
tunnel mode gre multipoint
tunnel key 55555 !random number,needs to be the same on all peers
tunnel protection ipsec profile IPSEC_PROF
ip nhrp authentication NHRP_AUTH 
ip nhrp network-id 1
ip nhrp map multicast dynamic
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1

interface dialer1
no crypto map cm-cryptomap

ip access-list extended 175
15 deny   ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
no auto

SPOKE1

Κώδικας:

no crypto isakmp policy 1
crypto isakmp policy 10
enc aes
hash sha
auth pre-share
group 2
exit

crypto isakmp key 0 VPNKEY address 0.0.0.0 0.0.0.0 no-xauth

crypto ipsec transform-set TRANS esp-aes esp-sha-hmac

crypto ipsec profile IPSEC_PROF
set transform-set TRANS


interface tunnel 0
ip add 10.0.0.2 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source dialer 1
tunnel mode gre multipoint
tunnel key 55555 !random number,needs to be the same on all peers
tunnel protection ipsec profile IPSEC_PROF
ip nhrp authentication NHRP_AUTH 
ip nhrp network-id 1
ip nhrp map multicast 83.xxx.xxx.181
ip nhrp map 10.0.0.1 83.xxx.xxx.181
ip nhrp nhs 10.0.0.1

interf dialer 1
no crypto map cm-cryptomap

ip access-list extended 175
15 deny   ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.2.0 0.0.0.255
no auto

SPOKE2

Κώδικας:

no crypto isakmp policy 1
crypto isakmp policy 10
enc aes
hash sha
auth pre-share
group 2
exit

crypto isakmp key 0 VPNKEY address 0.0.0.0 0.0.0.0 no-xauth

crypto ipsec transform-set TRANS esp-aes esp-sha-hmac

crypto ipsec profile IPSEC_PROF
set transform-set TRANS


interface tunnel 0
ip add 10.0.0.3 255.255.255.0
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source dialer 1
tunnel mode gre multipoint
tunnel key 55555 !random number,needs to be the same on all peers
tunnel protection ipsec profile IPSEC_PROF
ip nhrp authentication NHRP_AUTH 
ip nhrp network-id 1
ip nhrp map multicast 83.xxx.xxx.181
ip nhrp map 10.0.0.1 83.xxx.xxx.181
ip nhrp nhs 10.0.0.1

interf dialer 1
no crypto map cm-cryptomap

ip access-list extended 175
15 deny   ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.3.0 0.0.0.255
no auto

Αν θες να το δοκιμάσεις κράτα ένα backup τα config σου και ρίξτο.

EDIT:2 μηνών θέμα,που το ξέθαψα.Πολύ νέκρα έχει πέσει στο cisco forum

[taxiarxos]

Είμαστε σε mode διακοπών! :P Nice Job!

taxiarxos
http://www.facebook.com/pages/%CE%9C...37169599692274