Privacy Policy

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 

Con la configurazione sotto possiamo attivare e instaurare un Tunnel GRE sfruttando la tecnologia DMVPN in modo da avere una VPN utilizzando un Router nella nostra rete locale che abbia il ruolo di Gateway verso le reti remote dietro a questo Tunnel.

Molto interessante e utile è l'utilizzo della crittografia IPSE che permette tramite il Traversal Nat di NON avere ip Pubblici sul router Spoke.

Di fatto configuriamo un Gateway all'interno della nostra lan, utilizzando un Router Cisco che apre un Tunnel Gre (DMVPN) senza avere ip pubblici disponili ma sfruttando la connettività esistente. Non è necessario neanche che la connettività dello spoke sia statica...!

Sotto la configurazione testata su Router cisco 2851 (spoke) e 1921 (hub).

Solo l'HUB mi aspetto che sia appoggiato su internet correttamente e che abbia un IP Statico pubblico disponibile.


SU TUTTI GLI APPARATI UGUALE:

——————
crypto isakmp policy 110
encr aes 256
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TUN-TRANSFORM esp-aes esp-sha-hmac
!
crypto ipsec profile TUN-PROFILE
set transform-set TUN-TRANSFORM
——————

HUB MASTER:

——————
interface Tunnel31
description DMVPN MASTER NODE (HUB)
ip address 172.18.20.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication CISCO123
ip nhrp map multicast dynamic
ip nhrp network-id 31
ip nhrp holdtime 30
ip tcp adjust-mss 1360
tunnel source 99.112.122.10 ——> Ip pubblico in ascolto del router
tunnel mode gre multipoint
tunnel key 31
tunnel protection ipsec profile TUN-PROFILE shared
——————

SPOKE01,02,03 ecc… (cambia solo l'ip address dello Spoke)

——————
interface Tunnel31
description TU + TNAT
ip address 172.18.20.2 255.255.255.0
ip mtu 1400
ip nhrp authentication CISCO123
ip nhrp map 172.18.20.1 99.112.122.10 ——> Ip pubblico HUB
ip nhrp map multicast 99.112.122.10 ——> Ip pubblico HUB
ip nhrp network-id 31
ip nhrp holdtime 450
ip nhrp nhs 172.18.20.1
ip nhrp cache non-authoritative
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0 ——> Ip locale del Router
tunnel destination 99.112.122.10 ——> Ip pubblico HUB
tunnel key 31
tunnel protection ipsec profile TUN-PROFILE
——————

Aggiungete le rotte statiche per le network dietro ai Tunnel e in alternativa usate OSPF o EIGRP o altri protocolli di routing dinamico a preferenza.


Ciao Luca

C e r t i f i c a z i o n i