ARGOMENTO:

Ciao Virgilio,

per la serie dalla teoria alla pratica ho provato a replicare quello da te esposto nel seminario di giovedì su degli apparati reali collegati internet.

Gli apparati sono quelli in oggetto, il Cisco 870 è configurato con lo switch integrato che gestisce più VLAN a seconda della porta fisica connessa. A me al momento interessa parlare di VLAN1.

Premetto che ho provato a spengere tutte le ACL configurate per non avere effetti collaterali indesiderati. Ebbene quello che mi succede è la seguente cosa il Tunnel si stabilisce (FASE1 e FASE2) correttamente ma il traffico dati non viene instradato su di esso. Questo lo capisco perché il tunnel IPSEC viene su solo se forzo la chiamata da USG200 (probabilmente anche da Cisco ma non saprei come fare ), se provo a far passare traffico interessante dal tunnel da ambo gli endpoint questo non sale.

Quello che mi manca secondo me è come dire al Cisco di andarsi a cercare la LAN remota (192.168.0.x/24) sul tunnel VPN (cosa che faccio nello Zywall con le policy route). Avrei pensato con una rotta statica, ma come si fa a settare come next hop il tunnel VPN?

Ti allego configurazione del mio router, in modo che tu possa capire un po meglio la topologia.

grazie in anticipo

Emanuele

Intanto i miei complimenti sinceri per aver provato subito a mettere in pratica quanto presentato, perchè non è banale e credo tu sia molto vicino alla soluzione.
Il problema non è quello dell'istradamento, con le crypto map la cosa è molto semplice, finisce nel tunnel il traffico che
1. Viene istradato sulla interfaccia dove hai applicato la crypto map
2. Che è intercettato dalla crypto acl

In realtà hai una default sulla dialer, quindi il routing dovrebbe essere ok.
Credo invece che la fase due non sia realmente risolta, quando guardi il comando

Show crypto ipsec sa

controlla che veramente siano presenti le sa, qualcosa come le righe riportate in neretto, che secondo me tu non hai.
La mia ipotesi è invece che la tua crypto acl precisa icmp, e questo la rende incompatibile con Zyxel che di fatto non consente di precisare il protocollo. Quindi scrivi solamente ACL ip.

Tienimi aggiornato perchè quando ce la farai, e sei vicino, mi darai veramente una soddisfazione!

In realtà vedo questo:

interface: Dialer0
Crypto map tag: MAYMAP, local addr 94.34.248.82

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.5.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
current_peer 62.48.47.177 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 94.34.248.82, remote crypto endpt.: 62.48.47.177
path mtu 1500, ip mtu 1500, ip mtu idb Dialer0
current outbound spi: 0x1580DA61(360766049)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0x447F1231(1149178417)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 11, flow_id: Onboard VPN:11, sibling_flags 80000046, crypto map: MAYMAP
sa timing: remaining key lifetime (k/sec): (4584957/3379)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x1580DA61(360766049)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 12, flow_id: Onboard VPN:12, sibling_flags 80000046, crypto map: MAYMAP
sa timing: remaining key lifetime (k/sec): (4584957/3379)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

interface: Virtual-Access2
Crypto map tag: MAYMAP, local addr 0.0.0.0

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.5.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
current_peer 62.48.47.177 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 0.0.0.0, remote crypto endpt.: 62.48.47.177
path mtu 1500, ip mtu 1500, ip mtu idb Virtual-Access2
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:


La dialer sembra a posto, cosa è questa interfaccia virtual-access2 sembra si sia creata in modo automatico..

No non direi che si tratti di un problema della virtual access. Come stai generando il traffico interessante?

Ci sono il problema era più fine di quanto entrambi ipotizzassimo ed era nel NAT!!

Mi sono accorto nel troubleshooting che togliendo l' ip nat inside da vlan1 il traffico cominciava a fluire nella vpn ma naturalmente perdevo connettività con internet.

Allora mi sono detto cambiamo l'ACL che regola il NAT da numbered a named e diciamo di tradurre tutto il traffico ad eccezione di quello ip e icmp che dalla 192.168.5.x va verso la 192.168.0.x e applichiamola a vlan1. Quindi l'ACL è cambiata da:

access-list 1 permit 192.168.5.0 0.0.0.255

a:

ip access-list extended NAT_VLAN1
deny icmp 192.168.5.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 192.168.5.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip any any


E così facendo riesco sia a navigare che a raggiungere le risorse della lan remota tramite tunnel ipsec. Forse esisterà un sistema migliore per dire al traffico interessante della vpn di non essere nattato ma io arrangiandomi ho trovato questa soluzione, se hai suggerimenti migliori sono ben accetti.

Assolutamente corretto. Nei processi verso la dialer l'ordine è
1 routing
2 nat
3 crypto
Tecnicamente funzionerebbe anche se cambiassi la crypto acl consentendo gli indirizzi pubblici verso la lan remota ma sarebbe una soluzione sporca.

La soluzione che hai adottato rispetta le best practice.

Ad ogni modo ribadisco che quando hai una acl con zyxel non devi specificare il protocollo perchè questo può portare a asimmetrie problematiche.

Detto questo bella prova!

Perfetto, due ultime domandine al volo:

1)La serie Zywall USG permette la funzionalità NAILED (sempre up) del tunnel IPSEC. Esiste un comando anche in CLI Cisco per abilitare la cosa?

2) La serie Zywall USG permette che il peer remoto possa essere un host (anche dyndns o myip),la cosa è possibile anche su apparati CISCO?

ciao e veramente grazie per il sempre pronto supporto!!