Torna all'inizio | Torna su

Cisco Crypto MAP IPSec Tunnels

Creare la policy per la Fase 1. In questo caso, in presenza di tipologie diverse di Tunnel IPSec occorre specificarle in modo sequenziale. Tanto lui le tenta tutte prima.

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2

Creare la Preshared Key per la fase 1, riferita al nostro Endpoint del tunnel

crypto isakmp key abcdefghi!111222! address x.y.z.a

Creare il Trasform Set e dargli un nome arbitrario. Per comodità, si preferisce chiamarlo con un nome che ricalchi il tipo di Encryption utilizzato. Nulla vieta, comunque, di chiamarlo “Pippo”.

crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac

Creare l'access list che servirà al Cisco per stabilire come “trasformare” i pacchetti verso il tunnel. 192.168.x.x rappresenta la rete locale, 192.168.y.y rappresenta la rete remota. La mask è al contrario.

ip access-list extended VPN-TO-DOVEVUOITU
 permit ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
 

All'access list che “fa la Nat” occorre specificare la stessa regola specificata sopra, in quanto occorre far si che i pacchetti verso la rete remota NON VENGANO NATTATI, ma fatti passare lo stesso, tanto vi sarà la Crypto MAP assegnata all'interfaccia (più avanti la assegneremo) che si occuperà di incapsularli.

ip access-list extended IP_NAT
 deny   ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
 permit ip 192.168.x.x 0.0.0.255 any

Creiamo la Crypto Map vera e propria (Fase 2)

crypto map CMAP-VPN-TO-DOVEVUOITU 10 ipsec-isakmp
 set peer x.y.z.a.
 set transform-set 3des-sha1
 set pfs group2
 match address VPN-TO-DOVEVUOITU

Chiaramente, questo è solo un esempio. Di solito quando si tirano su questo tipo di Tunnel ci si mette d'accordo sul tipo di encryption usare nella fase 1 e fase 2. Se l'altro sistemistico si mostra indeciso, usare questa che va più che bene.

Finalmente, all'interfaccia su cui viene fatto l'overload della Nat, andremo ad applicare la Crypto Map.

interface Dialer0
 crypto map CMAP-VPN-TO-DOVEVUOITU

ATTENZIONE: per effettuare le prove, di solito in locale sul router NON si riesce quasi mai a pingare. Occorre fare un ping esteso, specificando da quale interfaccia far partire il ping (tipicamente, l'interfaccia LAN della rete locale).