VPN para CCEE

Assunto: VPN para CCEE Ter Mar 09, 2010 6:33 pm

Boa noite. Sou novo por aqui. Estou precisando de ajuda. Estou com um problema em uma VPN entre uma extremidade remota e um Orgão chamado CCEE que usa um Firewall checkpoint . o TUNELAMENTO É ESTABELECIDO, PORÉM o Suporte Remoro do CCEE não consegue acessar as estações Locais. Os pacores são encrypitados porém não da retorno de menssagens ICMP. Alguém ja passou por isso? Estou achando que possivelmente seja access-list.

Obrigado.

Segue Conf aplicada

crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1440
crypto isakmp key xxxxxxx address 200.200.202.200
!
!
crypto ipsec transform-set xavante esp-3des esp-md5-hmac
!
crypto map vpn_xav 10 ipsec-isakmp
set peer 200.200.202.200
set transform-set xavante
set pfs group2
match address vpn
!
!
interface FastEthernet0/0
ip address 172.25.20.226 255.255.255.240
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1/0
ip address 200.200.200.200 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map vpn_xav
!
interface FastEthernet0/1/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ip gw
!
!
no ip http server
no ip http secure-server
ip nat pool cisco-natpool-1 200.200.200.200 200.200.200.200 netmask 255.255.255.240
ip nat inside source list 1 pool cisco-natpool-1 overload
!
ip access-list extended vpn
permit ip 172.25.20.0 0.0.0.255 200.228.200.0 0.0.0.255
!
access-list 1 permit 172.0.0.0 0.255.255.255

!
!
route-map NONAT permit 10
match ip address vpn

Assunto: Re: VPN para CCEE Qua Mar 10, 2010 9:38 am

Estou suspeitando sobre esta config de nat, o pacote irá entrar pela interface inside, fazer o nat e depois sair pela outside. Com isso o nat é feito antes de bater na interface com crypto.

Como a acl de NAT é /8, ele irá natear o pool 172 inteiro.

Se der um show ip acess-lists ele ta dando match na sua acl da vpn? Poderia postar ele e um show ip nat translation?

Se for isso eu acredito que trocar o comando "ip nat inside source list 1 pool cisco-natpool-1 overload"
por "ip nat outside source list 1 pool cisco-natpool-1 overload" e inverter as interfaces inside e outside para continuar traduzindo os endereços de origem.

obs. se a config for esta mesma, este teu route-map nao ta fazendo nada.

route-map NONAT permit 10
match ip address vpn

abs

Assunto: Re: VPN para CCEE Qua Mar 10, 2010 9:27 pm

Obrigado. Hoje fui novamente efetuei umas alerações, logo logo eu posto os log´s, porém a dificuldade é ter uma resposta concreta dos técnicos do outro lado. Dai temos que atirar para todos os lados e testar até que funcione. Obrigado pela Dica, irei tentar isso amanhã.

Assunto: Re: VPN para CCEE Qui Mar 11, 2010 2:48 pm

Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.

Assunto: Re: VPN para CCEE Seg Ago 23, 2010 6:26 pm

Crespo escreveu:: Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.

Oi, vc teve que criar uma interface túnel?

Assunto: Re: VPN para CCEE Seg Ago 23, 2010 6:56 pm

laguna escreveu:

Crespo escreveu:: Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.

Oi, vc teve que criar uma interface túnel?

minha Conf

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxsenhaxxxx address 200.228.200.24 no-xauth
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile ccee
set transform-set ESP-3DES-MD5
!
crypto map vpn-ccee 20 ipsec-isakmp
description Vpn_CCEE
set peer 200.228.200.24
set transform-set ESP-3DES-MD5
set pfs group2
match address 112
!
interface Tunnel0
description CCEE
ip address 200.228.200.90 255.255.255.0
tunnel source 200.0.0.2
tunnel destination 200.228.200.24
tunnel mode ipsec ipv4
tunnel protection ipsec profile ccee
!
interface Serial0/1/0
ip address 200.0.0.2 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp
crypto map vpn-ccee
!
ip nat inside source list 1 interface Serial0/1/0 overload
!
access-list 1 permit 172.25.28.192 0.0.0.15
!
interface FastEthernet0/0/0
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface FastEthernet0/0/1
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface Vlan2
ip address 172.25.28.193 255.255.255.240
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
!

MInha Config é essa.
Não sei porque qdo digite as lifetime nao aparecem depois.

Assunto: Re: VPN para CCEE Seg Ago 23, 2010 8:16 pm

laguna escreveu:

Crespo escreveu:: Muito obrigado pela dica. Verifiquei o NAT e ACL funcionou.

Oi, vc teve que criar uma interface túnel?

minha Conf

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxsenhaxxxx address 200.228.200.24 no-xauth
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile ccee
set transform-set ESP-3DES-MD5
!
crypto map vpn-ccee 20 ipsec-isakmp
description Vpn_CCEE
set peer 200.228.200.24
set transform-set ESP-3DES-MD5
set pfs group2
match address 112
!
interface Tunnel0
description CCEE
ip address 200.228.200.90 255.255.255.0
tunnel source 200.0.0.2
tunnel destination 200.228.200.24
tunnel mode ipsec ipv4
tunnel protection ipsec profile ccee
!
interface Serial0/1/0
ip address 200.0.0.2 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp
crypto map vpn-ccee
!
ip nat inside source list 1 interface Serial0/1/0 overload
!
access-list 1 permit 172.25.28.192 0.0.0.15
!
interface FastEthernet0/0/0
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface FastEthernet0/0/1
description Lan usando placa 4ESW
switchport access vlan 2
vlan-id dot1q 2
exit-vlan-config
!
interface Vlan2
ip address 172.25.28.193 255.255.255.240
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 200.0.0.1
!

MInha Config é essa.
Não sei porque qdo digite as lifetime nao aparecem depois.

Aqui é SS de filial funcionando com linksys.

Assunto: Re: VPN para CCEE Ter Ago 24, 2010 10:52 am

access-list 112 permit ip 172.25.28.192 0.0.0.15 any

Assunto: Re: VPN para CCEE Sáb Set 04, 2010 10:51 am

Coloca esta extendida..Quanto a interface tunel nãoprecisei criar não.

ip access-list extended vpn
permit ip 172.25.28.192 0.0.0.15 200.228.200.0 0.0.0.255

Assunto: Re: VPN para CCEE Sáb Set 04, 2010 8:05 pm

access-list 112 permit ip 172.25.28.0 0.0.0.255 200.228.200.0 0.0.0.255
estava assim a acl, mas já mudei, agora está assim:
access-list 112 permit ip 172.25.28.192 0.0.0.15 200.228.200.0 0.0.0.255

Assunto: Re: VPN para CCEE Dom Set 05, 2010 7:03 pm

laguna escreveu:: access-list 112 permit ip 172.25.28.0 0.0.0.255 200.228.200.0 0.0.0.255
estava assim a acl, mas já mudei, agora está assim:
access-list 112 permit ip 172.25.28.192 0.0.0.15 200.228.200.0 0.0.0.255

e Nat como que ficou?

» Problemas para configurar o cisco 1841 para mpls telefonica
» IOS SMI para EMI
» Passar IP para tras
» NAT de IP Interno para IP Valido
» Oportunidade para Uberaba