cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Problema con VPN site to site

Hola buenas tardes

esperando se encuentres de lo mejor posible, les presento mi caso

estoy tratando de levantar una VPN Site to Site donde solamente tengo una ip Fija y la otra es Dinamica, ya habia levantado otras vpns pero entre dos direcciones de ip publicas fijas.

donde mis direcciones de cada subred son

Sucursal Remota:

192.168.230.0 /24

sitio cental:

192.168.220.0/24

esta es mi configuracion.

Del lado de la dinamico sucursal remota:

: Saved

:

ASA Version 8.2(1)

!

hostname 3mbremote

!

interface Ethernet0/0

nameif wan

security-level 0

ip address dhcp setroute

!

interface Ethernet0/1

nameif lan

security-level 100

ip address 192.168.230.1 255.255.255.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

duplex full

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0

management-only

!

ftp mode passive

clock timezone CST -6

clock summer-time CDT recurring 1 Sun Apr 2:00 last Sun Oct 2:00

dns domain-lookup lan

dns server-group DefaultDNS

name-server 208.67.222.222

name-server 8.8.8.8

object-group service DM_INLINE_SERVICE_1

service-object icmp

service-object icmp echo-reply

service-object icmp source-quench

service-object icmp time-exceeded

service-object icmp traceroute

service-object icmp unreachable

object-group icmp-type DM_INLINE_ICMP_1

icmp-object echo-reply

icmp-object information-request

icmp-object source-quench

icmp-object time-exceeded

icmp-object traceroute

access-list wan_access_in extended permit object-group DM_INLINE_SERVICE_1 any any

access-list ike extended permit udp any any eq isakmp

access-list lan_nat0_outbound extended permit ip 192.168.230.0 255.255.255.0 192.168.220.0 255.255.255.0

access-list wan_1_cryptomap extended permit icmp 192.168.230.0 255.255.255.0 192.168.220.0 255.255.255.0 object-group DM_INLINE_ICMP_1

pager lines 24

logging enable

logging asdm informational

mtu wan 1500

mtu lan 1500

mtu management 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-621.bin

no asdm history enable

arp timeout 14400

global (wan) 1 interface

global (lan) 1 interface

nat (lan) 0 access-list lan_nat0_outbound

nat (lan) 1 0.0.0.0 0.0.0.0

dynamic-access-policy-record DfltAccessPolicy

aaa authentication ssh console LOCAL

http server enable

http 192.168.1.0 255.255.255.0 management

http 192.168.230.0 255.255.255.0 lan

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac

crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map wan_map 1 match address wan_1_cryptomap

crypto map wan_map 1 set pfs group1

crypto map wan_map 1 set peer < ip fija sitio central >

crypto map wan_map 1 set transform-set ESP-3DES-SHA

crypto map wan_map interface wan

crypto isakmp enable wan

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

ssh 192.168.230.0 255.255.255.0 lan

ssh timeout 20

ssh version 1

console timeout 0

dhcp-client broadcast-flag

dhcp-client client-id interface wan

dhcpd dns 8.8.8.8 208.67.222.222

!

dhcpd address 192.168.230.100-192.168.230.200 lan

dhcpd dns 8.8.8.8 208.67.222.222 interface lan

dhcpd enable lan

!

dhcpd address 192.168.1.2-192.168.1.254 management

dhcpd enable management

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

tunnel-group DefaultL2LGroup ipsec-attributes

pre-shared-key *

tunnel-group <ip fija sitio central> type ipsec-l2l

tunnel-group <ip fija sitio central> ipsec-attributes

pre-shared-key *

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

  message-length maximum 512

policy-map global_policy

class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect rsh

  inspect rtsp

  inspect esmtp

  inspect sqlnet

  inspect skinny

  inspect sunrpc

  inspect xdmcp

  inspect sip

  inspect netbios

  inspect tftp

  inspect icmp

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:08429c0f3db97294b503a6682b558841

: end

y la configuracion sitio Central es casi lo mismo solo que cambia

access-list lan_nat0_outbound extended permit ip 192.168.220.0 255.255.255.0 192.168.230.0 255.255.255.0

access-list wan_1_cryptomap extended permit icmp 192.168.220.0  255.255.255.0 192.168.230.0 255.255.255.0

tunnel-group DefaultL2LGroup ipsec-attributes

pre-shared-key *

tunnel-group <ip sitio Remoto> type ipsec-l2l

tunnel-group <ip sitio Remoto> ipsec-attributes

pre-shared-key *

siguiendo los siguientes pasos:

isakmp policy 1 authentication pre

isakmp policy 1 authentication pre-share

isakmp policy 1 encryption 3des

isakmp policy 1 hash sha

isakmp policy 1 group 2

isakmp policy 1 lifetime 43200

isakmp enable wan

crypto ipsec transform-set vpn_3mb esp-3des esp-md5-hmac

host sitio Remoto

access-list Nombre_List extended permit ip 192.168.230.0 255.255.255.0 192.168.220.0 255.255.255.0

host sitio Central

access-list Nombre_List extended permit ip 192.168.220.0 255.255.255.0 192.168.230.0 255.255.255.0

tunnel-group <Ip fija sitio central> type ipsec-l2l

tunnel-group < ip fija sitio central> ipsec-attributes

pre-shared-key ********

crypto map Nombre_map 1 match address nombre_List

crypto map  Nombre_map 1 set peer < Ip fija sitio central>

crypto map Nombre_map 1 set transform-set Nombre_list

crypto map Nombre_map interface wan

y tambien lo inntente de manera con el Wizard pero no logro conectar la VPN.

espero me puedan ayudar. saludos.

Etiquetas (1)
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Re: Problema con VPN site to site

Buenas noches Oscar,

Como tu mencionas al tener un lado una IP dinamica la configuracion va a variar debido a que en un lado no sabes quien es el otro Peer.

La configuracion en el lado donde la IP es estatica es la que varia, Porque?

Porque el no sabe quien es el otro peer (se utiliza un dynamic crypto-map en vez de uno estatico)

Configuracion necesario en el sitio con la IP estatica (Central en tu caso)

crypto dynamic-map test 1 set transform-set 

vpn_3mb

crypto map 

Nombre_map_1 10 IPSec-isakmp dynamic test

crypto map Nombre_map_1 interface outside

tunnel-group DefaultL2LGroup ipsec-attributes

  pre-shared-key

Lo prometido es deuda:

http://www.laguiadelnetworking.com/vptre-un-asa-con-una-ip-estatica-y-un-router-con-una-ip-dinamica/

Recuerda dejar tu comentario

Saludos,


Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
8 RESPUESTAS

Re: Problema con VPN site to site

Buenas noches Oscar,

Como tu mencionas al tener un lado una IP dinamica la configuracion va a variar debido a que en un lado no sabes quien es el otro Peer.

La configuracion en el lado donde la IP es estatica es la que varia, Porque?

Porque el no sabe quien es el otro peer (se utiliza un dynamic crypto-map en vez de uno estatico)

Configuracion necesario en el sitio con la IP estatica (Central en tu caso)

crypto dynamic-map test 1 set transform-set 

vpn_3mb

crypto map 

Nombre_map_1 10 IPSec-isakmp dynamic test

crypto map Nombre_map_1 interface outside

tunnel-group DefaultL2LGroup ipsec-attributes

  pre-shared-key

Lo prometido es deuda:

http://www.laguiadelnetworking.com/vptre-un-asa-con-una-ip-estatica-y-un-router-con-una-ip-dinamica/

Recuerda dejar tu comentario

Saludos,


Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Re: Problema con VPN site to site

Muchas gracias, ahora en estos momento la levanto.

entonces como tu me indicas unico que se necesita del lado del sitio central donde se encuentra la ip fija es

hacer un crypto dynamic-map con lo que me dijiste.

en tu post en tu blog, dice que no se necesita realizar un ACL en mi caso tambien?

saludos.

Re: Problema con VPN site to site

Correcto,

No se requiere del lado donde esta la IP estatica,

Me cuentas como te va

For Networking Posts check my blog at http://www.laguiadelnetworking.com

Cheers,

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Re: Problema con VPN site to site

Ahorita ya no me dejaron probar, para realizar la VPN pero encuanto lo pueda hacer te lo are saber Julio muchas gracias.

por otro lado me surge una pregunta sobre la version 8.2, habra una manera para realizar una apertura de un rango de puertos por nat estatico?

lo ocupo para la VoiP RTP 10000-20000 UDP ya que no se escucha la voz del otro lado del telefono, pero ami si me escuchan.

tengo el access list

access-list 101 extended permit udp any interface wan range 10000 20000 , pero eso es para la entrada

y para la salida no me deja poner un rango especifico, tengo un object service telefonia udp 10000 20000

pero cuando intento hacer el nat estatico donde 192.168.230.121 es mi servidor de telefonia

static (lan,wan) udp interface telefonia 192.168.230.121 telefonia netmask 255.255.255.255

no me deja y asi eh intentado ponerlo manualmente los puertos y no me deja publicar ese servidor NAT por un rango de puertos.

eh leido que es por la version de firmware que tengo es la 8.2 y eso se puede realizar apartir de la 8.3 eso es cierto?.

saludos.

Re: Problema con VPN site to site

Oscar,

Muchas gracias por tu pregunta, te pedimos calificar la respuesta y dejarnos saber si la pregunta fue respondida, esto es para ayudar a Julio Carvajal en su rating.

Gracias de antemano.

Saludos cordiales.

Moderador CSCe.

New Member

Re: Problema con VPN site to site

NO le puedo dar correcta respuesta ya que no se ah solucionado mi primer problema y con respecto al segundo caso de que necesito nat un rango de puertos hacia un servidor host de telefonia que tengo dentro de mi red privada, sabes algo al respeto?

estoy siguiendo estos pasos:

object network elastix

host 192.168.230.5

object service RTPS

service udp source range 10000 40000

nat(lan,wan) source elastix interface udp service RTPS RTPS

y me marca ERROR: NAT unable to reserve ports

alguna idea del por que aparece esto??

saludos

Re: Problema con VPN site to site

Este post, es para el problema con VPN.

En el otro hablaremos acerca del NAT

Check my blog at http:laguiadelnetworking.com for further information.

Cheers,

Julio Carvajal Segura

Looking for some Networking Assistance? Contact me directly at jcarvaja@laguiadelnetworking.com I will fix your problem ASAP. Cheers, Julio Carvajal Segura http://laguiadelnetworking.com
New Member

Re: Problema con VPN site to site

perfecto

entonces nos pasamos al otro post. y sobre la VPN es levantarla cuando me den chansa.

muchas gracias Julio ya mire tmb el post que publicaste y de ahi me guiare.

saludos.

1179
Visitas
0
ÚTIL
8
Respuestas