Cisco e tunnel: help

[CH1CC0]

Ciao a tutti, ho configurato un tunnel ip/ip tra 2 cisco (un 827 ed un 1720)
raggiungo senza problemi i 2 router, però non riesco a raggiungere gli apparati che si trovano all'interno dell'altra rete.

Queste sono le config:

Sede A (1720):
...
interface Tunnel0
ip unnumbered Dialer0
keepalive 10 3
tunnel source Dialer0
tunnel destination ip_pubblico_sede_b
tunnel mode ipip
tunnel key ***********
tunnel checksum
...
interface Dialer0
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp chap hostname *******
ppp chap password *******
ppp pap sent-username ******* password ******
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route network_sede_b subnet_sede_b Tunnel0

ip nat inside source list 1 interface Dialer0 overload

Sede B (827):
...
interface Tunnel0
ip unnumbered Dialer0
keepalive 10 3
tunnel source Dialer0
tunnel destination ip_pubblico_sede_a
tunnel mode ipip
tunnel key *********
tunnel checksum
...
interface Dialer0
ip address negotiated
ip accounting output-packets
ip nat outside
ip virtual-reassembly
encapsulation ppp
load-interval 30
dialer pool 1
no cdp enable
ppp chap hostname ******
ppp chap password ******
ppp pap sent-username ***** password *****
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route network_sede_a subnet_sede_a Tunnel0

ip nat inside source list 1 interface Dialer0 overload


Come dicevo, tramite ping raggiungo i 2 router da tutte le macchine, però sia da router che dalle macchine internet alla rete, non riesco a raggiungere neanche via ping le macchine interne all'altra rete.

Qualche idea?
Qualche consiglio?

[Rottweiler]

prova a cambiare la seconda route così:
ip route network_sede_a subnet_sede_a [ip_pubblico_sede_a]

un trace route dal router che cosa ti dice? dove si ferma?

[Rottweiler]

ma forse quello che dovresti controllare è che la rete della sede remota sia esclusa dal nat..

[CH1CC0]

ho provato anche a modificare le acl creandone 1 estesa su ogni router così:
access-list 100 deny any network_altra_sede
access-list 100 permit any any

ma non è cambiato nulla...
e cmq, l'acl non dovrebbe essere presa in considerazione perché il NAT si attiva quando i dati entrano nell'interfaccia "IP NAT INSIDE" ed escono da quella "IP NAT OUTSIDE" e non è questo il caso.

[Rottweiler]

se invece di questo:
ip unnumbered Dialer0

nella int Tunnel0

ci metti:
ip address x.y.k.z 255.255.255.252 ip mtu 1500

stessa cosa dall'altra parte con un sunbet diversa..

funziona?

[Rottweiler]

scusami, non con una subnet diversa..

[Rottweiler]

se non va proverei a cambiare la route così:

ip route ip_reteremota subnet_remota ip_next_hop

[CH1CC0]

Quote:

Originariamente inviato da Rottweiler

se invece di questo:
ip unnumbered Dialer0

nella int Tunnel0

ci metti:
ip address x.y.k.z 255.255.255.252 ip mtu 1500

stessa cosa dall'altra parte con un sunbet diversa..

funziona?

avevo già provato a mettere 2 ip privati invece dell'unnumbered ma non andava più nulla, inoltre, nella interfaccia tunnel non è possibile cambiare l'mtu (il comando c'è, ma quando provi ad usarlo, esce il messaggio di errore)

[riaw]

uno show ip route si può avere?

[Rottweiler]

ho visto in rete che consigliano di mettere nell'access list dell' ATM/Dialer (anche se hai un permit any) :
permit ipinip host Y.Y.Y.Y host Z.Z.Z.Z

dove y è la destinazione e z la source

comunque non capisco come mai il tunnel non funziona se gli assegni un indirizzo.

Correggimi se sbaglio ma se gli dai l'ip unnumbered, il tunnel dovrebbe prendere l'indirizzo della Dialer, in questo caso però il nat non sarebbe attivo per il traffico sul tunnel?

ti posto una delle config di un tunnel ipsec (solo da una parte, dall'altra ho un firewall bsd), in questo caso se non metto l'acl il tunnel si stabilisce ma non permette il traffico:

Quote:

no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname *********************
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 *****************************
!
username +++++++ privilege 15 secret 5 *****************************************
username +++++++ privilege 15 secret 5 ***********************************
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
no aaa new-model
ip subnet-zero
no ip source-route
ip dhcp excluded-address 192.168.13.51 192.168.13.254
ip dhcp excluded-address 192.168.13.1 192.168.13.9
!
ip dhcp pool Luca-pool1
import all
network 192.168.13.0 255.255.255.0
default-router 192.168.13.99
dns-server ********************
!
!
ip cef
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip domain name **********************
ip name-server *****************
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
password encryption aes
!
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 6 ********************** address ip_sede_remota no-xauth
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map Luca_CMAP_1 1 ipsec-isakmp
description Tunnel tosede_remota
set peer ip_pubblico_sede_remota
set transform-set ESP-3DES-SHA
set pfs group1
match address 100
!
bridge irb
!
!
interface Null0
no ip unreachables
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode ansi-dmt
!
interface ATM0.1 point-to-point
ip address x.x.x.x y.y.y.y
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
pvc 8/35
protocol ip x.x.x.254 broadcast
encapsulation aal5snap
!
crypto map Luca_CMAP_1
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
ip address 192.168.13.99 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source route-map Luca_RMAP_1 interface ATM0.1 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark Luca_ACL Category=2
access-list 1 permit 192.168.13.0 0.0.0.255
access-list 100 remark Luca_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.13.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 remark Luca_ACL Category=2
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.13.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 101 permit ip 192.168.13.0 0.0.0.255 any
access-list 102 remark Luca_ACL Category=1
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 permit ip any any
no cdp run
route-map Luca_RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
.............

[CH1CC0]

... incredibile... quando si parla di prosciutto sugli occhi...

da un lato avevo il kerio, il firewall che uso sui pc, che mi "rimbalzava" i pacchetti.
dall'altro avevo l'access point col filtro sui mac-address che non mi accettava i pacchetti che arrivavano dal router dell'altra sede (che non "conosce").



beh, a mia discolpa, ammetto di aver pensato:
se fosse colpa del firewall, l'access point mi risponderebbe comunque...


grazie