Implementare una VPN IPsec Site-To-Site con apparati Cisco

There is a mobile optimized version of this page, view AMP Version.

head_vpn1Molte aziende con sedi dislocate in varie zone geografiche hanno la necessità di interconnettere le reti per un continuo scambio di dati. In questa situazione l’ideale sarebbe l’acquisto di una linea WAN dedicata, tipo Frame Relay ,con costi molto elevati. Per una soluzione più economica possiamo prendere in considerazione l’utilizzo di una VPN (Virtual Private Network) IPsec (IP Security), la quale ci consente di trasmettere dati in maniera protetta tramite un canale non protetto come una rete internet.

In particolare una VPN Site-TO-Site ci consente di instaurare un tunnel sicuro che passa trà diversi router e provider, rimanendo completamente trasparente ai client, i quali vedranno un solo HOP tra loro e la sede remota.

IPsec è un protocollo che opera a livello 3 del modello ISO/OSI, rimanendo trasparente alle applicazioni che non devono avere nessun particolare prerequisito per interoperare. (beneficiare delle sue funzionalità)

Inoltre ci offre le seguenti caratteristiche di sicurezza:

  • Confidentiality: Tramite crittografia simmetrica dei dati. I principali protocolli utilizzati sono DES 3DES e AES. In questo modo se un malintenzionato dovesse intercettare una comunicazione, non sarà in grado di interpretarla.
  • Integrity: L’integrità dei dati in transito è garantita dal calcolo dell’HASH tramite MD5 o SHA.
  • Authentication: Tramite vari metodi come Pre-Shared-Key e certificati digitali, i due “interlocutori” potranno garantire la propria identità.
  • Secure key Exchange: Consente ai due peers di stabilire una chiave condivisa e segreta utilizzando un canale di comunicazione pubblico, senza la necessità che le due parti si siano scambiate informazioni precedentemente. Questo meccanismo viene messo in atto con il protocollo crittografico Diffie-Hellman. La chiave ottenuta verrà impiegata per cifrare con crittografia simmetrica le comunicazioni successive.

Per offrire queste caratteristiche di sicurezza e scalabilità, IPsec si avvale di vari protocolli: il principale è IKE (Internet Key Exchange), l’obbiettivo di questo protocollo è l’autenticazione delle parti e lo scambio sicuro delle chiavi simmetriche,creando un framework che garantirà comunicazioni sicure.

Un tunnel VPN IPsec viene costruito in due fasi di IKE:

Fase 1 di IKE

All’inizio della prima fase i due endpoint stabiliscono una IKE Security Association negoziando i protocolli di crittografia e autenticazione supportati, se le corrispondenze vengono soddisfatte inizia il processo di scambio sicuro delle chiavi precondivise tramite l’algoritmo Diffie-Hellman.

A questo punto è stato stabilito un primo tunnel chiamato ISAKMP che proteggerà le successive comunicazioni.

Fase 2 di IKE

Nella seconda fase (protetta da ISAKMP) i peers devono stabilire le IPsec Security Association, negoziando il protocollo per la sicurezza (ESP o AH), gli algoritmi di integrity e quelli crittografici (3DES o AES).

A questo punto viene stabilito il vero tunnel IPsec attraverso il quale transiteranno i dati criptati.

C’è da dire che contrariamente alla prima fase, nella seconda il tunnel creato è mono direzionale, quindi per una corretta comunicazione full-duplex vengono instaurati due tunnel.

Come è stato anticipato, per garantire Integrity e Authentication possono essere utilizzati due protocolli: AH(Authentication Header) o ESP(Encapsulating Security Payload) ,quest’ultimo è consigliato in quanto offre anche crittografia. Entrambi possono operare in due modalità, Transport Mode e Tunnel Mode. Con il Transport, l’header ip del pacchetto rimane inalterato, ed è solitamente utilizzato nelle reti dove un incremento della dimensione del pacchetto può generare problemi (remote vpn client), mentre con il tunnel l’intero pacchetto viene incapsulato in un Header IPsec ed è maggiormente utilizzato per vpn Site-TO-Site.

tunnel

Considerazioni

Quando si progetta una vpn si deve cercare di evitare il nat tra le due reti private, infatti quest’ultimo alterando l’header dei pacchetti contrasterebbe con la verifica dell’integrità eseguita da IPsec. Qualora ciò non fosse possibile, cioè nel caso di overlap tra le due network private, sarà necessario attivare la funzione NAT Traversal, che verrà negoziata durante la fase 1 di IKE.

 

Implementazione

Per questo scenario utilizzeremo due Cisco ASA 5505 come Headend Vpn Device

ASA-1

Inside 192.168.1.0/24

Outside 172.6.3.1/24

ASA-2

Inside 192.168.2.0/24

Outside 172.6.4.1/24

VPN_schema

Partiamo con la configurazione di ASA-1

Configurazione ike fase1

ASA-1# conf term

ASA-1(config)# crypto isakmp policy 1

Entra nella modalità isakmp

ASA-1(config)# crypto isakmp enable outside

Abilita nell’interfaccia outside

ASA-1(config-isakmp)# authentication pre-share

Indica che l’autenticazione è con chiave pre-condivisa

ASA-1(config-isakmp)# hash sha

Indica che per l’hash utilizzeremo l’algoritmo sha

ASA-1(config-isakmp)# encryption aes 128

Per la crittografia verrà utilizzato AES a 128bit

ASA-1(config-isakmp)# group 2

Per lo scambio di chiavi viene utilizzato l’algoritmo DH group2 a 1024Bit

ASA-1(config-isakmp)# lifetime 86400

Tempo di validità delle SA espresso in secondi(24 ore)

ASA-1(config-isakmp)# exit

Configurare ike fase2 (protetta da isakmp)

ASA-1(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac

ASA-1(cfg-crypto-trans)# exit

Crea un transform set chiamato MYSET, ed indica che deve usare AES come crittografia e SHA come hash

ASA-1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.254

Questa ACL identifica il traffico che sarà protetto da IPsec

ASA-1(config)# crypto map Cmap1 1 match address 101

Crea un crypto map e associa l’acl 101

ASA-1(config)# crypto map Cmap1 1 set peer 172.6.4.1

Specifica l’indirizzo ip dell’altro peer

ASA-1(config)# crypto map Cmap1 1 set transform-set MYSET

Applica al crypto map il transform-set precedentemente creato

ASA-1(config)# crypto map Cmap1 1 interface outside

Applica il crypto-map all’interfaccia outside

ASA-1(config)# tunnel-group 172.6.4.1 type ipsec-l2l

ASA-1(config)# tunnel-group 172.6.4.1 ipsec-attributes

ASA-1(config)# pre-shared-key Pa$$word

Creo un tunnel group di tipo IPsec e assegno la pre-shared key

La configurazione dell’ ASA-2 sarà grosso modo speculare:

ASA-1# conf term

ASA-1(config)# crypto isakmp policy 1

ASA-1(config)# crypto isakmp enable outside

ASA-1(config-isakmp)# authentication pre-share

ASA-1(config-isakmp)# hash sha

ASA-1(config-isakmp)# encryption aes 128

ASA-1(config-isakmp)# group 2

ASA-1(config-isakmp)# lifetime 86400

ASA-1(config-isakmp)# exit

ASA-1(config)# crypto ipsec transform-set MYSET esp-aes esp-sha-hmac

ASA-1(cfg-crypto-trans)# exit

ASA-1(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.254

ASA-1(config)# crypto map Cmap1 1 match address 101

ASA-1(config)# crypto map Cmap1 1 set peer 172.6.3.1

ASA-1(config)# crypto map Cmap1 1 set transform-set MYSET

ASA-1(config)# crypto map Cmap1 1 interface outside

ASA-1(config)# tunnel-group 172.6.3.1 type ipsec-l2l

ASA-1(config)# tunnel-group 172.6.3.1 ipsec-attributes

ASA-1(config)# pre-shared-key Pa$$word

Ora basterà eseguire un “ping” da una delle due reti verso l’altra per far salire il tunnel,il primo pacchetto potrebbe scadere perché sarà proprio quello che indicherà al primo dispositivo detto Initiator di fare la proposta al secondo detto Responder.

ipsec_ping

Debug e Troubleshooting

Debug crypto isakmp

Per esaminare la negoziazione IKE

show crypto isakmp sa

Per vedere se le ISAKMP SA sono state negoziate con successo

Show crypto isakmp key

Per vedere la corrispondenza dei peer con le preshared key

Show crypto isakmp policy

Per visualizzare le policy

Show crypto ipsec sa

Per vedere se le IPsec SA sono state negoziate correttamente

Show isakmp stat

Per statistiche di vario tipo

Debug crypto ipsec

Per il debug di IPsec

Share

37 pensieri su “Implementare una VPN IPsec Site-To-Site con apparati Cisco

  1. Interessante, è quasi quello che devo fare io, site-to-site, ma non ho la nuvolina di internet bensi una rete mpls, e 2 fw diversi, 1 asa 5505 e un watchguard firebox 😉

    • Ciao, beh IPsec può essere implementata su qualsiasi tecnologia che consente il trasporto IP.
      Per quanto riguarda gli apparati misti, in TEORIA non ci dovrebbero essere problemi, l’importante è far matchare i protocolli di crittografia, autenticazione,ash ed i timeout. Personalmente ho realizzato con successo vpn trà cisco pix e zyxel zywall.

      Ciao

      • Ho visto la tua competenza, ti chiedo un parere per una vpn fra IPAD e router ZyWALL USG100, sull’IPAD ho configurato L2TP e la stessa cosa sullo ZyWALL, non sono riuscito a fare funzionare il tuttto, l’help desk mi ha detto che la vpn non funziona se il router si trova a valle di un nat (fatto dal router per provider che da la connessione Internet). Considerato che sta funzionando un client ipsec su pc, ho pensato di utilizzare il client ipsec cisco dell’IPAD ma non so come configurare sullo ZxWALL quello che CISCO chiama “nome gruppo”
        Grazie

        • Ciao, effettivamente un firewall dietro nat può dare diversi problemi con le vpn,se ci fai caso l’ho scritto anche nell’articolo.
          Gli apparati zyxel non li conosco, comunque nome gruppo potrebbe indicare l’algoritmo di scambio chiavi, prova a mettere il numero “2” come DH Group2.
          Qui comunque ho trovato una buona guida:
          ftp://ftp.zyxel.it/guide/utm/utm_rsc_vpn.pdf

  2. Grazie per per l’articolo su richiesta 🙂
    Ero già riuscito a configurare la vpn, ma in questo modo sò quello che stò facendo.

  3. Buonasera,
    dovrei reallizzare una vpn site-to-site, ma non riesco a seguire la sua guida, anche se fatta veramente bene. Il motivo è che su uno dei router, un cisco 887 con PID CISCO887-K9, al momento di inserire il comando “set peer …” non mi riconosce il comando…e nemmeno il comando “..enable outside”…Ci sono altri comandi per il router oppure è un prblema di “License” che non mi abilita certe caratterische?? tanto per completare, aggiungo che sullo stesso router non ho la possibilità di utilizzare il protocollo eigrp…
    Grazie…

    • Ciao, in teoria la K9 che hai dovrebbe andare bene.
      In questo articolo viene vista la configurazioni tra due ASA, con i router è leggermente diversa.
      La configurazione del crypto map potrebbe essere così:
      crypto map CMAP_1 1 ipsec-isakmp
      set peer x.x.x
      set transform-set ASA-IPSEC
      match address 100

          • è diverso, applichi la configurazione all’interfaccia tramite “crypto map CMAP_1”
            ti allego uno stralcio di configurazione di un 827, la rete 10.101.0.0/26 è la sede remota:


            crypto isakmp policy 2
            authentication pre-share
            crypto isakmp key PASSWORD address x.x.x.x
            !
            crypto ipsec transform-set ASA-IPSEC esp-des esp-sha-hmac
            !
            crypto map CMAP_1 1 ipsec-isakmp
            set peer x.x.x.x
            set transform-set ASA-IPSEC
            match address 100
            !
            !
            !
            !
            interface Ethernet0
            ip address 192.168.150.1 255.255.255.0 secondary
            ip address y.y.y.y 255.255.255.248
            ip nat inside
            no keepalive
            crypto map CMAP_1
            hold-queue 100 out
            !
            interface Ethernet0.1
            interface ATM0
            no ip address
            no atm ilmi-keepalive
            dsl operating-mode auto
            !
            interface ATM0.1 point-to-point
            ip address z.z.z.z 255.255.255.0
            ip nat outside
            pvc 8/35
            oam-pvc manage
            oam retry 5 5 1
            encapsulation aal5snap
            !
            !
            ip nat pool interno y.y.y.y y.y.y.y netmask 255.255.255.248
            ip nat inside source list 50 pool interno overload
            ip nat inside source route-map nonat interface Ethernet0 overload
            ip classless
            ip route 0.0.0.0 0.0.0.0 ATM0.1
            ip route 10.101.0.0 255.255.0.0 Ethernet0
            ip http server
            no ip http secure-server
            !
            access-list 50 permit 192.168.150.0 0.0.0.255
            access-list 100 remark SDM_ACL Category=4
            access-list 100 remark IPSec Rule
            access-list 100 permit ip 192.168.150.0 0.0.0.255 10.101.0.0 0.0.255.255
            access-list 110 deny ip 192.168.150.0 0.0.0.255 10.101.0.0 0.0.255.255
            access-list 110 permit ip 192.168.150.0 0.0.0.255 any
            !
            route-map nonat permit 10
            match ip address 110

  4. Purtroppo continua a non funzionare…non sò più dove sbattere la testa…La configurazione del router remoto è praticamente identica, giusto?? Cambiano solamente gli ip di destinazione del pere….

      • Questa è la configurazione…cosa sbaglio????

        Building configuration…

        Current configuration : 4509 bytes
        !
        ! Last configuration change at 15:57:13 UTC Fri May 17 2013 by admin
        version 15.2
        no service pad
        service timestamps debug datetime msec
        service timestamps log datetime msec
        no service password-encryption
        !
        hostname Cisco880
        !
        boot-start-marker
        boot system flash c880data-universalk9-mz.152-4.M2.bin
        boot-end-marker
        !
        !
        logging buffered 51200 warnings
        !
        no aaa new-model
        memory-size iomem 10
        !
        crypto pki trustpoint TP-self-signed-3954972803
        enrollment selfsigned
        subject-name cn=IOS-Self-Signed-Certificate-3954972803
        revocation-check none
        rsakeypair TP-self-signed-3954972803
        !
        !
        crypto pki certificate chain TP-self-signed-3954972803
        certificate self-signed 01
        3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
        31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
        69666963 6174652D 33393534 39373238 3033301E 170D3131 30323130 31363238
        33325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
        4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 39353439
        37323830 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
        8100BBC1 BD14F614 5C2473EF 75092EAB 7DDA478C 74F758D2 D1328A38 C558669A
        118D9160 72C7B246 199CA53D AB8F52DF 34958FEA C7CC1AD6 F423D3F0 2DA009A4
        49A83A72 05E4A415 E7E1ECD6 75D6E89F CD878BDC B46AC670 AEBFF60D 7C6EDF7F
        2F8E7B99 ADCEF0EE 98085BAC 42BC080E D32AF470 957A70C0 32108DEE 4C945224
        7BE70203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
        551D1104 1B301982 17436973 636F3838 302E796F 7572646F 6D61696E 2E636F6D
        301F0603 551D2304 18301680 14CD99BF A637DEFA C6F3C656 60EF2CF4 232F7C7E
        2B301D06 03551D0E 04160414 CD99BFA6 37DEFAC6 F3C65660 EF2CF423 2F7C7E2B
        300D0609 2A864886 F70D0101 04050003 81810006 BF3FE519 895BE460 615628B3
        C524FF21 8476F060 F3AC16BB C9B99BDB B6029E52 842201BB 8DBF0492 022FEB49
        4AA34BD1 15F2E0BD 1DC9E94D 8018117A 977926E8 07BE2885 372ED3F7 FF6993A2
        2F062B6A DD9B9213 48456AA4 8A753AED 9E0A46BC 16A4DAB4 66BF92CB B6D2FFFB
        A35305B7 CDEAB73E 785E5C07 58758E07 CD2303
        quit
        !
        !
        !
        !
        !
        !
        no ip domain lookup
        ip domain name yourdomain.com
        ip name-server 151.99.125.2
        ip name-server 151.99.0.100
        ip cef
        no ipv6 cef
        !
        !
        license udi pid CISCO887-K9 sn FCZ144592U1
        !
        !
        username admin privilege 15 secret 5 $1$/XKH$K43rliW/B156D/3ggu..8.
        !
        !
        !
        !
        !
        csdb tcp synwait-time 30
        csdb tcp idle-time 3600
        csdb tcp finwait-time 5
        csdb tcp reassembly max-memory 1024
        csdb tcp reassembly max-queue-length 16
        csdb udp idle-time 30
        csdb icmp idle-time 10
        csdb session max-session 65535
        !
        !
        crypto isakmp policy 2
        authentication pre-share
        crypto isakmp key PASSWORD address 94.81.50.241
        !
        !
        crypto ipsec transform-set ASA-IPSEC esp-des esp-sha-hmac
        mode tunnel
        !
        !
        !
        crypto map CMAP_1 1 ipsec-isakmp
        set peer 94.81.50.241
        set transform-set ASA-IPSEC
        match address 100
        !
        !
        !
        !
        !
        interface BRI0
        no ip address
        encapsulation hdlc
        shutdown
        isdn termination multidrop
        !
        interface ATM0
        description WAN Alice
        no ip address
        no atm ilmi-keepalive
        !
        interface ATM0.1 point-to-point
        ip address 88.60.226.156 255.255.255.0
        ip nat outside
        ip virtual-reassembly in
        pvc 8/35
        oam-pvc manage
        oam retry 5 5 1
        encapsulation aal5snap
        !
        !
        interface FastEthernet0
        no ip address
        !
        interface FastEthernet1
        no ip address
        !
        interface FastEthernet2
        no ip address
        !
        interface FastEthernet3
        no ip address
        !
        interface Vlan1
        description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
        ip address 192.168.1.2 255.255.255.0
        ip nat inside
        ip virtual-reassembly in
        ip tcp adjust-mss 1452
        crypto map CMAP_1
        !
        ip forward-protocol nd
        ip http server
        ip http access-class 23
        ip http authentication local
        ip http secure-server
        ip http timeout-policy idle 60 life 86400 requests 10000
        !
        ip nat pool inter 88.60.239.225 88.60.239.225 netmask 255.255.255.248
        ip nat inside source list 50 pool inter overload
        ip nat inside source route-map nonat interface Vlan1 overload
        ip nat inside source static tcp 192.168.1.1 3389 88.60.239.225 3389 extendable
        ip route 0.0.0.0 0.0.0.0 ATM0.1
        !
        access-list 50 permit 192.168.1.0 0.0.0.255
        access-list 100 remark SDM_ACL Category=4
        access-list 100 remark IPSec Rule
        access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.22.0 0.0.0.255
        access-list 120 permit tcp any host 192.168.1.1 eq 3389
        !
        route-map nonat permit 10
        !
        !
        !
        line con 0
        login local
        no modem enable
        line aux 0
        line vty 0 4
        access-class 23 in
        privilege level 15
        login local
        transport input telnet ssh
        !
        scheduler max-task-time 5000
        !
        end

        • Che ti dico, ad occhio manca la route per raggiungere l’altra rete, quindi:
          ip route 192.168.22.0 255.255.255.0 vlan1(oppure sull’atm0.1)
          Poi manca l’esclusione del tunnel dal nat, quindi dovresti aggiungere:

          access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.22.0 255.255.255.0
          access-list 110 permit ip 192.168.1.0 0.0.0.255 any
          !
          route-map nonat permit 10
          match ip address 110

          per l’esclusione del nat guarda anche:
          http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml

          • Credo che la prima cosa da risolvere sia quella di tirare su il Tunnel…se faccio il comando “sh crypto isakmp sa” non mi da nessun parametro sotto le voci “est” – “src”..etc etc

          • Il tunnel si instaura dopo il primo pacchetto inviato correttamente sull’altra rete. Quindi cmq queste due modifiche servono

          • Si si le modifiche le ho fatte, e riguardando la configurazione mi sono accorto di un altro errore e adesso il tunnel è attivo…peccato che i ping ancora non rispondono… 🙁

  5. mi correggo..adesso non sale più il tunnel…. DISPERAZIONEEEEEE…

    Cisco880#sh run
    Building configuration…

    Current configuration : 4548 bytes
    !
    ! Last configuration change at 17:56:08 UTC Fri May 17 2013 by admin
    version 15.2
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname Cisco880
    !
    boot-start-marker
    boot system flash c880data-universalk9-mz.152-4.M2.bin
    boot-end-marker
    !
    !
    logging buffered 51200 warnings
    !
    no aaa new-model
    memory-size iomem 10
    !
    crypto pki trustpoint TP-self-signed-3954972803
    enrollment selfsigned
    subject-name cn=IOS-Self-Signed-Certificate-3954972803
    revocation-check none
    rsakeypair TP-self-signed-3954972803
    !
    !
    crypto pki certificate chain TP-self-signed-3954972803
    certificate self-signed 01
    3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
    31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
    69666963 6174652D 33393534 39373238 3033301E 170D3131 30323130 31363238
    33325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
    4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 39353439
    37323830 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
    8100BBC1 BD14F614 5C2473EF 75092EAB 7DDA478C 74F758D2 D1328A38 C558669A
    118D9160 72C7B246 199CA53D AB8F52DF 34958FEA C7CC1AD6 F423D3F0 2DA009A4
    49A83A72 05E4A415 E7E1ECD6 75D6E89F CD878BDC B46AC670 AEBFF60D 7C6EDF7F
    2F8E7B99 ADCEF0EE 98085BAC 42BC080E D32AF470 957A70C0 32108DEE 4C945224
    7BE70203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
    551D1104 1B301982 17436973 636F3838 302E796F 7572646F 6D61696E 2E636F6D
    301F0603 551D2304 18301680 14CD99BF A637DEFA C6F3C656 60EF2CF4 232F7C7E
    2B301D06 03551D0E 04160414 CD99BFA6 37DEFAC6 F3C65660 EF2CF423 2F7C7E2B
    300D0609 2A864886 F70D0101 04050003 81810006 BF3FE519 895BE460 615628B3
    C524FF21 8476F060 F3AC16BB C9B99BDB B6029E52 842201BB 8DBF0492 022FEB49
    4AA34BD1 15F2E0BD 1DC9E94D 8018117A 977926E8 07BE2885 372ED3F7 FF6993A2
    2F062B6A DD9B9213 48456AA4 8A753AED 9E0A46BC 16A4DAB4 66BF92CB B6D2FFFB
    A35305B7 CDEAB73E 785E5C07 58758E07 CD2303
    quit
    !
    !
    !
    !
    !
    !
    no ip domain lookup
    ip domain name yourdomain.com
    ip name-server 151.99.125.2
    ip name-server 151.99.0.100
    ip cef
    no ipv6 cef
    !
    !
    license udi pid CISCO887-K9 sn FCZ144592U1
    !
    !
    username admin privilege 15 secret 5 $1$/XKH$K43rliW/B156D/3ggu..8.
    !
    !
    !
    !
    !
    csdb tcp synwait-time 30
    csdb tcp idle-time 3600
    csdb tcp finwait-time 5
    csdb tcp reassembly max-memory 1024
    csdb tcp reassembly max-queue-length 16
    csdb udp idle-time 30
    csdb icmp idle-time 10
    csdb session max-session 65535
    !
    !
    crypto isakmp policy 2
    authentication pre-share
    crypto isakmp key PASSWORD address 94.81.50.241
    !
    !
    crypto ipsec transform-set vpn esp-3des esp-md5-hmac
    mode tunnel
    !
    !
    !
    crypto map CMAP_1 1 ipsec-isakmp
    ! Incomplete
    set peer 94.81.50.241
    set transform-set vpn
    match address 100
    !
    !
    !
    !
    !
    !
    interface BRI0
    no ip address
    encapsulation hdlc
    shutdown
    isdn termination multidrop
    !
    interface ATM0
    description WAN Alice
    no ip address
    no atm ilmi-keepalive
    !
    interface ATM0.1 point-to-point
    ip address 88.60.226.156 255.255.255.0
    ip nat outside
    ip virtual-reassembly in
    pvc 8/35
    oam-pvc manage
    oam retry 5 5 1
    encapsulation aal5snap
    !
    !
    interface FastEthernet0
    no ip address
    !
    interface FastEthernet1
    no ip address
    !
    interface FastEthernet2
    no ip address
    !
    interface FastEthernet3
    no ip address
    !
    interface Vlan1
    description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
    ip address 192.168.1.2 255.255.255.0
    ip nat inside
    ip virtual-reassembly in
    ip tcp adjust-mss 1452
    crypto map CMAP_1
    !
    ip forward-protocol nd
    ip http server
    ip http access-class 23
    ip http authentication local
    ip http secure-server
    ip http timeout-policy idle 60 life 86400 requests 10000
    !
    ip nat pool inter 88.60.239.225 88.60.239.225 netmask 255.255.255.248
    ip nat inside source list 50 pool inter overload
    ip nat inside source list 110 interface ATM0.1 overload
    ip nat inside source static tcp 192.168.1.1 3389 88.60.239.225 3389 extendable
    ip route 0.0.0.0 0.0.0.0 ATM0.1
    ip route 192.168.22.0 255.255.255.0 Vlan1
    !
    access-list 50 permit 192.168.1.0 0.0.0.255
    access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.22.0 0.0.0.255
    access-list 110 permit ip 192.168.1.0 0.0.0.255 any
    access-list 120 permit tcp any host 192.168.1.1 eq 3389
    !
    route-map nonat permit 10
    match ip address 110
    !
    !
    !
    line con 0
    login local
    no modem enable
    line aux 0
    line vty 0 4
    access-class 23 in
    privilege level 15
    login local
    transport input telnet ssh
    !
    scheduler max-task-time 5000
    !
    end

  6. Mi sono accorto che nella configurazione che ho postato non c’era più la access-list 100 (misteriosamente scomparsa)..l’ho rimessa, ma il tunnel non ne vuole comunque sapere di salire…magari ci son oaltre access-list che danno fastidio??
    Non ti ho ancora ringraziato per la tua gentilezza…spero di venirne a capo…

  7. Non ho ancora avuto modo di ringraziarti per la gentilezza….purtroppo ancora non funziona la VPN, al comando “sh crypto isakmp sa” mi restituisce uno stato indicante un fallimento della phase1…un dubbio, può essere che Telecom mi blocchi la porta 500????…grazie ancora

    • Non ci sono problemi :), fai una cosa inviami entrambe le configurazioni per email luca@malatesta.biz.
      Puoi provare anche ad attivare il debug con:
      debug crypto isakmp

      Le configurazioni dubito che posso analizzarle prima di lunedì.
      Ciao e buon fine settimana.

  8. Salve Luca,
    sto cercando di configurare due ASA in due site diversi collegati con MPLS (funzionante).
    Su ogni ASA ho configurato eth 0/0 WAN, eth 0/1 LAN, eth 0/3 MPLS.
    WAN: traffico internet
    MPLS: traffico fra site
    Questa è la configurazione:
    SITE 1
    LAN: 10.110.0.254
    MPLS: 192.168.101.2 gateway 192.168.101.1 (router Telecom)
    SITE 2
    LAN: 10.111.9.254
    MPLS: 192.168.102.2 gateway 192.168.102.1 (router Telecom)
    Le route funzionano, ma facendo un traceroute dal SITE 2 si ferma con questo errore:
    2 192.168.102.1 !H * !H
    Stesso errore dall’altro SITE.
    Internet funziona.
    Cosa mi manca per collegare i sites via MPLS ?
    Grazie per la tua risposta, è difficile trovare uno che dia supporto come te !

      • Ciao Luca,
        allora nel SITE 2 ho:
        route MPLS 10.110.0.0 255.255.0.0 192.168.102.1 1
        nel SITE 1:
        route MPLS 10.111.0.0 255.255.0.0 192.168.101.1 1

        • Scusa per il ritardo ma questi giorni sono stracarico di lavoro. Non ho molta esperienza con l’MPLS comunque se l’MPLS viene fatto dal router Telecom, oltre alle rotte credo che non ti serva nulla.

  9. Ciao.
    Nell’azienda dove lavoro devo sistemare una site to site che funziona solo in una direzione.
    Sede centrale con Cisco 887va e sede distaccata Cisco RV130W. Si passa attraverso internet classica fibra fastweb business.

    Dalla sede centrale verso quella distaccata si accede via SSH e vari servizi dei server.
    Dalla sede distaccata verso quella centrale si può solo pingare. I vari server non sono accessibili. Anche disabilitando il firewall.

  10. Complimenti per l’articolo.. la mia domanda è semplice, la risposta.. non so 🙂
    Se ho una sede centrale con ip statico, e sedi periferice (10) sparse in giro, con linee internet varie,con ip dinamico, posso usare cisco rv320 in sede centrale e nelle sedi periferiche e configurare una vpn in cui tutte le reti periferiche richiamano la sede centrale? devono accedere esclusivamente al server che fornirà delle risposte in pagina html (pochissimo traffico dati).. Le sedi non devono vedersi tra di loro, ma devono comunicare solo con il server.
    E’ possibile ? o meglio un vpn software?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *