Sto cercando di tirare su una VPN con un router cisco 1710 e un notebook con il software cisco vpn client. Seguendo questa guida
http://www.cisco.com/warp/public/732/Tech/security/ipsec/docs/clientserver.pdf

Riesco ad aprir il tunnel dal notebook, ed a pingare gli host nella rete con i loro indirizzi privati, ma non posso fare altro.. devo crare un access list ed applicarla a qualche interfaccia?

Grazie in anticipo!

prova a postare la configurazione.

ai client vpn dai un indirizzo della rete locale? oppure hai creato una subnet apposta?

Se riesci a pingarli probabilmente c'è già un ACL applicata che permetta l'icmp ma magari non il tcp/ip

version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service internal
!
hostname Paolino
!
!
enable secret 5 $1$1/12$N2TXfPhdQrkfwLEOBgD05/
enable password 7 1405171C1D0D253E3621233A28150C12100D
!
aaa new-model
!
!
aaa authorization network username@vpnclient local
!
aaa session-id common
memory-size iomem 15
no ip source-route
ip cef
!
!
!
!
ip domain name asasasdsdaasdasdasd
ip name-server 213.205.32.70
ip name-server 213.205.36.70
ip ssh time-out 60
ip ssh authentication-retries 2
ip ddns update method daadsasddasasd
HTTP
add http://asdasdasdasdadsasdasdasd
interval maximum 29 0 0 0
interval minimum 28 0 0 0
!
!
!
!
!
username adsasdasdasd password 7 asdasdasdasdasd
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group username@vpnclient
key password
dns 213.205.32.70 213.205.36.70
domain tyuytytiu
pool dynpool
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap isakmp authorization list username@vpnclient
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
interface Ethernet0
ip ddns update hostname ertfgy
ip ddns update uhyjik
ip address dhcp
ip nat outside
ip virtual-reassembly
full-duplex
no cdp enable
crypto map dynmap
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed 100
full-duplex
!
ip local pool dynpool 192.168.0.200 192.168.0.210
ip route 0.0.0.0 0.0.0.0 Ethernet0
!
no ip http server
no ip http secure-server
ip nat translation timeout 60
ip nat translation icmp-timeout 1
ip nat translation max-entries 1000
ip nat translation max-entries host 192.168.0.105 30
ip nat translation max-entries host 192.168.0.110 1000
ip nat pool SERVER 192.168.0.110 192.168.0.110 netmask 255.255.255.0 type rotary
ip nat inside source list 100 interface Ethernet0 overload
ip nat inside destination list 110 pool SERVER
!
access-list 100 permit ip any any
access-list 110 permit udp any any eq 4672
access-list 110 permit udp any any eq 4665
access-list 110 permit tcp any any eq 4662
access-list 110 permit tcp any any eq www
access-list 110 permit tcp any any range ftp-data ftp
access-list 110 permit tcp any any range 60000 60500
access-list 110 deny ip any any
no cdp run
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 7 sertfuhjnimk,l
transport input ssh
!
end


non riesco proprio a venirn a capo..

up?

ho fatto un altro paio di prove.. sembrerebbe che se ad esempio cerco di aprire un telnet verso una macchina nella LAN dal client vpn la richiesta arrivi, ma ci siano problemi solo in seguito..

help!

help!

non conosco bene cisco, ma dai problemi che dici mi fa' pensare ad un problema di nat, dopotutto non puoi fare un tunnel vpn criptata con nat

Perché non puoi fare "una vpn criptata" con nat?

Piuttosto, sembra dalla tua config che usi un altro router che assegna un'indirizzo alla tua "outside" via dhcp, ma non penso sia questo il problema.

Prova ad aggiungere alla 110 "permit gre any any"

Intanto dovrei avere un router di quelli in giro che ha il nat e la vpn con il client..
Appena recupero la config te la mando