Forum Cisco-BR

Simulados, simuladores, apostilas, forum brasileiro
 
InícioInício  CalendárioCalendário  FAQFAQ  BuscarBuscar  Registrar-seRegistrar-se  MembrosMembros  GruposGrupos  LoginLogin  
Buscar
 
 

Resultados por:
 
Rechercher Busca avançada
Últimos assuntos
» Preparatório CCNA R&S
Ter Abr 05, 2016 2:10 pm por Sávio Augusto

» Problema roteamento
Ter Mar 22, 2016 5:51 pm por joaormv

» Avaliação do curso de suporte a redes do SENAI
Ter Mar 22, 2016 4:55 pm por joaormv

» Relatório syslog
Ter Mar 22, 2016 4:51 pm por joaormv

» DDNS NO-IP CISCO 1905
Sex Mar 11, 2016 10:23 pm por diegofrancaa

» Air Point Cisco 1041 ACESSAR
Sex Mar 11, 2016 10:08 pm por diegofrancaa

» Luz Power Piscando Direto
Seg Set 28, 2015 1:17 pm por AndreH

» Modem: TP-LINK8816 com roteador Linksys WRT54g: Problema
Sex Set 11, 2015 2:49 pm por lepokoloko

» VIRTUAL SWITCHING SYSTEM - VSS 1440
Ter Set 08, 2015 8:45 am por wstaenle

Navegação
 Portal
 Índice
 Membros
 Perfil
 FAQ
 Buscar
Fórum
Parceiros

Compartilhe | 
 

 VPN para CCEE

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
Crespo



Número de Mensagens : 9
Idade : 38
Localização : Recife
Reputação : 1
Pontos : 14
Data de inscrição : 09/03/2010

MensagemAssunto: VPN para CCEE   Ter Mar 09, 2010 6:33 pm

Boa noite. Sou novo por aqui. Estou precisando de ajuda. Estou com um problema em uma VPN entre uma extremidade remota e um Orgão chamado CCEE que usa um Firewall checkpoint . o TUNELAMENTO É ESTABELECIDO, PORÉM o Suporte Remoro do CCEE não consegue acessar as estações Locais. Os pacores são encrypitados porém não da retorno de menssagens ICMP. Alguém ja passou por isso? Estou achando que possivelmente seja access-list.

Obrigado.

Segue Conf aplicada

crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1440
crypto isakmp key xxxxxxx address 200.200.202.200
!
!
crypto ipsec transform-set xavante esp-3des esp-md5-hmac
!
crypto map vpn_xav 10 ipsec-isakmp
set peer 200.200.202.200
set transform-set xavante
set pfs group2
match address vpn
!
!
interface FastEthernet0/0
ip address 172.25.20.226 255.255.255.240
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1/0
ip address 200.200.200.200 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map vpn_xav
!
interface FastEthernet0/1/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ip gw
!
!
no ip http server
no ip http secure-server
ip nat pool cisco-natpool-1 200.200.200.200 200.200.200.200 netmask 255.255.255.240
ip nat inside source list 1 pool cisco-natpool-1 overload
!
ip access-list extended vpn
permit ip 172.25.20.0 0.0.0.255 200.228.200.0 0.0.0.255
!
access-list 1 permit 172.0.0.0 0.255.255.255

!
!
route-map NONAT permit 10
match ip address vpn
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Nakano
Admin


Número de Mensagens : 467
Idade : 34
Localização : São Paulo
Reputação : 43
Pontos : 336
Data de inscrição : 21/07/2007

MensagemAssunto: Re: VPN para CCEE   Qua Mar 10, 2010 9:38 am

Estou suspeitando sobre esta config de nat, o pacote irá entrar pela interface inside, fazer o nat e depois sair pela outside. Com isso o nat é feito antes de bater na interface com crypto.

Como a acl de NAT é /8, ele irá natear o pool 172 inteiro.

Se der um show ip acess-lists ele ta dando match na sua acl da vpn? Poderia postar ele e um show ip nat translation?

Se for isso eu acredito que trocar o comando "ip nat inside source list 1 pool cisco-natpool-1 overload"
por "ip nat outside source list 1 pool cisco-natpool-1 overload" e inverter as interfaces inside e outside para continuar traduzindo os endereços de origem.

obs. se a config for esta mesma, este teu route-map nao ta fazendo nada.

route-map NONAT permit 10
match ip address vpn

abs

_________________
CCNA / CCDA
Cisco Data Center AS Support Specialist;
Cisco Data Center Support for UC Specialist;
Cisco Routing and Switching Field Specialist;
Cisco Unified Fabric Technology Support Specialist;
Cisco Unified Computing Technology Support Specialist
Cisco Data Center Unified Computing Support Specialist;
Cisco Data Center Storage Networking Support Specialist;
Cisco Data Center Application Services Support Specialist;
Cisco Advanced Data Center Networking Infrastructure Support Specialist;
CCNP / CCIP / CCDP
ITILF v2 / ITILF v3
CCIE SP #34881
CCIE RS Written

-----------------------------------------

Mind Wide Open
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://cisco.forumeiros.com
Crespo



Número de Mensagens : 9
Idade : 38
Localização : Recife
Reputação : 1
Pontos : 14
Data de inscrição : 09/03/2010

MensagemAssunto: Re: VPN para CCEE   Qua Mar 10, 2010 9:27 pm

Obrigado. Hoje fui novamente efetuei umas alerações, logo logo eu posto os log´s, porém a dificuldade é ter uma resposta concreta dos técnicos do outro lado. Dai temos que atirar para todos os lados e testar até que funcione. Obrigado pela Dica, irei tentar isso amanhã.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Crespo



Número de Mensagens : 9
Idade : 38
Localização : Recife
Reputação : 1
Pontos : 14
Data de inscrição : 09/03/2010

MensagemAssunto: Re: VPN para CCEE   Qui Mar 11, 2010 2:48 pm

Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.
Voltar ao Topo Ir em baixo
Ver perfil do usuário
laguna



Número de Mensagens : 6
Idade : 37
Localização : Lages
Reputação : 0
Pontos : 6
Data de inscrição : 23/08/2010

MensagemAssunto: Re: VPN para CCEE   Seg Ago 23, 2010 6:26 pm

Crespo escreveu:
Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.
Oi, vc teve que criar uma interface túnel?
Voltar ao Topo Ir em baixo
Ver perfil do usuário
laguna



Número de Mensagens : 6
Idade : 37
Localização : Lages
Reputação : 0
Pontos : 6
Data de inscrição : 23/08/2010

MensagemAssunto: Re: VPN para CCEE   Seg Ago 23, 2010 6:56 pm

laguna escreveu:
Crespo escreveu:
Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.
Oi, vc teve que criar uma interface túnel?

minha Conf

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxsenhaxxxx address 200.228.200.24 no-xauth
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile ccee
set transform-set ESP-3DES-MD5
!
crypto map vpn-ccee 20 ipsec-isakmp
description Vpn_CCEE
set peer 200.228.200.24
set transform-set ESP-3DES-MD5
set pfs group2
match address 112
!
interface Tunnel0
description CCEE
ip address 200.228.200.90 255.255.255.0
tunnel source 200.0.0.2
tunnel destination 200.228.200.24
tunnel mode ipsec ipv4
tunnel protection ipsec profile ccee
!
interface Serial0/1/0
ip address 200.0.0.2 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp
crypto map vpn-ccee
!
ip nat inside source list 1 interface Serial0/1/0 overload
!
access-list 1 permit 172.25.28.192 0.0.0.15
!
interface FastEthernet0/0/0
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface FastEthernet0/0/1
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface Vlan2
ip address 172.25.28.193 255.255.255.240
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
!

MInha Config é essa.
Não sei porque qdo digite as lifetime nao aparecem depois.


Voltar ao Topo Ir em baixo
Ver perfil do usuário
laguna



Número de Mensagens : 6
Idade : 37
Localização : Lages
Reputação : 0
Pontos : 6
Data de inscrição : 23/08/2010

MensagemAssunto: Re: VPN para CCEE   Seg Ago 23, 2010 8:16 pm

laguna escreveu:
laguna escreveu:
Crespo escreveu:
Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.
Oi, vc teve que criar uma interface túnel?

minha Conf

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxsenhaxxxx address 200.228.200.24 no-xauth
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile ccee
set transform-set ESP-3DES-MD5
!
crypto map vpn-ccee 20 ipsec-isakmp
description Vpn_CCEE
set peer 200.228.200.24
set transform-set ESP-3DES-MD5
set pfs group2
match address 112
!
interface Tunnel0
description CCEE
ip address 200.228.200.90 255.255.255.0
tunnel source 200.0.0.2
tunnel destination 200.228.200.24
tunnel mode ipsec ipv4
tunnel protection ipsec profile ccee
!
interface Serial0/1/0
ip address 200.0.0.2 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp
crypto map vpn-ccee
!
ip nat inside source list 1 interface Serial0/1/0 overload
!
access-list 1 permit 172.25.28.192 0.0.0.15
!
interface FastEthernet0/0/0
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface FastEthernet0/0/1
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface Vlan2
ip address 172.25.28.193 255.255.255.240
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
!

MInha Config é essa.
Não sei porque qdo digite as lifetime nao aparecem depois.

Aqui é SS de filial funcionando com linksys.

Voltar ao Topo Ir em baixo
Ver perfil do usuário
laguna



Número de Mensagens : 6
Idade : 37
Localização : Lages
Reputação : 0
Pontos : 6
Data de inscrição : 23/08/2010

MensagemAssunto: Re: VPN para CCEE   Ter Ago 24, 2010 10:52 am

access-list 112 permit ip 172.25.28.192 0.0.0.15 any
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Crespo



Número de Mensagens : 9
Idade : 38
Localização : Recife
Reputação : 1
Pontos : 14
Data de inscrição : 09/03/2010

MensagemAssunto: Re: VPN para CCEE   Sab Set 04, 2010 10:51 am

Coloca esta extendida..Quanto a interface tunel nãoprecisei criar não.


ip access-list extended vpn
permit ip 172.25.28.192 0.0.0.15 200.228.200.0 0.0.0.255
Voltar ao Topo Ir em baixo
Ver perfil do usuário
laguna



Número de Mensagens : 6
Idade : 37
Localização : Lages
Reputação : 0
Pontos : 6
Data de inscrição : 23/08/2010

MensagemAssunto: Re: VPN para CCEE   Sab Set 04, 2010 8:05 pm

access-list 112 permit ip 172.25.28.0 0.0.0.255 200.228.200.0 0.0.0.255
estava assim a acl, mas já mudei, agora está assim:
access-list 112 permit ip 172.25.28.192 0.0.0.15 200.228.200.0 0.0.0.255
Voltar ao Topo Ir em baixo
Ver perfil do usuário
laguna



Número de Mensagens : 6
Idade : 37
Localização : Lages
Reputação : 0
Pontos : 6
Data de inscrição : 23/08/2010

MensagemAssunto: Re: VPN para CCEE   Dom Set 05, 2010 7:03 pm

laguna escreveu:
access-list 112 permit ip 172.25.28.0 0.0.0.255 200.228.200.0 0.0.0.255
estava assim a acl, mas já mudei, agora está assim:
access-list 112 permit ip 172.25.28.192 0.0.0.15 200.228.200.0 0.0.0.255
e Nat como que ficou?
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Conteúdo patrocinado




MensagemAssunto: Re: VPN para CCEE   Hoje à(s) 3:32 pm

Voltar ao Topo Ir em baixo
 
VPN para CCEE
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1
 Tópicos similares
-
» [Novidade] AppCarousel exclusivo para 8500
» Coleção de Estilos Exclusivo para Photoshop
» Keep Talking - ICQ client para Bada OS
» Montagem comemorativa para a eleição do Tiririca
» TUTORIAL para criar widgets

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Forum Cisco-BR :: Forum :: Suporte-
Ir para: