Voilà j'essaie de configurer un tunnel VPN site à site entre un cisco 877 et et ASA 5510 mais je rencontre quelque difficulté.
voici l'architecture mise en place :
(vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8)
J'ai utilisé l'interface SDM pour la configuration à la fin de la configuration des 2 parties j'ai utilisé le "Test Tunnel" du routeur 877 mais le statut de la connexion VPN reste "Down" mais le reste semble fonctionner :
Checking the tunnel status ... Down <<<<<<====== c'est le problème :/
Checking interface status ... successful
Checking configuration ...successful
Checking Routing ...successful
Checking peer connectivity ...successful
Checking NAT ...successful
Checking firewall ...successful
j'ai vérifier que les algo de crypto était bien les mêmes des 2 coté les règle IPsec pareille.
Dans les logs ci-dessous je ne vois pas du tout ce que représente "tunnel gourp" pour le 877, sur l'ASA c'est claire mais la correspondance dans le 877 est flou pour moi.
J'ai aussi relevé quelque logs du coté ASA lors du "Test Tunnel" du 877 :
4|Jun 29 2009 01:13:14|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:13:04|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:12:54|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Error: Unable to remove PeerTblEntry
3|Jun 29 2009 01:12:44|713902: Group = 10.10.10.1, IP = 10.10.10.1, Removing peer from peer table failed, no match!
4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Can't find a valid tunnel group, aborting...!
6|Jun 29 2009 01:12:44|302015: Built inbound UDP connection 6197 for SDSL:10.10.10.1/500 (10.10.10.1/500) to NP Identity Ifc:82.65.65.65/500 (82.65.65.65/500)
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
Voila si vous avez besoin d'autre infos n'hésitez pas
Déjà, ton IP publique du coté du Cisco est invalide ! Tout simplement parce que les adresses en 10.X.X.X sont des adresses privées et donc non routables sur le réseau internet.
Donc as tu un modem-routeur entre ton Cisco et internet ?
Salut
Se sont de fausses adresses IP public, désolé j'aurais dut le spécifié avant, j'avoue j'aurais put faire plus cohérent,
et mon boitier routeur cisco 877 est directement sur internet via une connexion PPPoE
Je ne crois pas que l'article convienne à mon cas, l'article que tu m'as indiqué il parle d'accès distant (Remote Access) mais mon architecture c'est du site à site ou LAN to LAN (L2L).
qui indique qu'il faut désactiver le NAT sur le réseau privé du routeur :
!--- Except the private network from the NAT process:
ip nat inside source route-map nonat pool branch overload
mais je ne sais pas du tout comment procéder avec le CLI de cisco pour déactiver le NAT sur le réseau privé parce que dans la configuration du routeur moi j' ai ça :
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
Avec IOS, il est possible de configurer le NAT sur un routeur.
IOS : commande NAT principale : ip nat
· Etape 1 : créer un pool d’adresses externes
Commande >>> ip nat pool nom start-ip end-ip netmask lemasque
Exemple : ip nat pool mapoule 128.25.56.1 128.25.56.1 netmask 255.255.0.0
Ou encore : ip nat pool mapoule 128.25.56.1 128.25.56.1 prefix-length 16
Signification : Création du pool d’adresses mapoule,
une seule adresse = 128.25.56.1
· Etape 2 : créer une liste d’accès
Commande >>> access-list numlist permit source
Exemple : access-list 1 permit 192.168.2.0 0.0.0.255
Signification : Création la liste 1 de toutes les machines du réseau 192.168.2.0
· Etape 3 : Associer le pool externe à la liste interne
Commande >>> ip nat inside source list numaccesslist pool nompool
[overload]
Exemple : ip nat inside source list 1 pool mapoule overload
Signification : Associer la liste 1 au pool mapoule
On utilise overload car dans ce cas on utilise une seule adresse externe
Dans le cas où mapoule aurait plusieurs adresses externes, on n’utiliserait pas l’option overload.
· Etape 4 : Optionnel : Autoriser la traduction statique d’une adresse externe
Commande : >>> ip nat outside source static globalip localip
C'est pas mal du tout, merci de t'ête donne autant de mal pour trouver ces infos.
Donc si j'interprète bien ce que tu me dis là, les ligne de configuration telles que celles-ci :
ip nat inside source route-map nonat pool branch overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.17.63.225
no ip http server
sont en fait des commande qu'on peut utiliser dans la CLI ... mort de rire si c'est bien ça :D en tout sa va me simplifier la vie.
J'essaierai tout cela demain de bon matin et de bonne humeur ^^
Bon je suis enfin parvenu à ce que mon tunnel soit établie entre mon routeur et l'ASA, après de multiple ligne de commande et du voisinage de logs intensif, j'ai put trouver la source du problème le NAT ...
En fait j'avais activé le nat transversal du coté ASA mais pas du coté routeur, donc j'ai viré le NAT-Transversal et retesté le tunnel et par magie il était devenu "up"
Mais j'avais d'autres soucie de NAT sur mon réseau privé, parce qu'il faut désactiver le NAT sur le réseau privé et l'interface SDM n'aide pas beaucoup pour le faire. Pour rectifier la chose j'ai appliqué la configuration du lien que j'avais donné précédemment :
Voila maintenant j'ai un autre problème je ne vois pas comment accéder a mon réseau privé qui se trouve derrière l'ASA depuis l'autre réseau privé en passant par le VPN.
Une idée ?
je rappel ma conf :
(vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8)
Bonjour bon mes problème ne sont toujours pas finit sinon se serai pas drôle xD (je juste un poil découragent), bref ...
Quand je ping depuis mon réseau 192.168.1.0 je suis arrêté par l'ASA qui me dit dans les logs :
j'ai essayer de voir si c'était parce qu'il bloquait par default les paquet ICMP je suis tombé sur cette page
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml
j'ai entré les ligne de commande correspondante pour Inbound/Outbound en adaptant à ma config
De ce que j'ai comprit (peut etre pas grand chose ...) il ne faut pas que le trafic dans le tunnel soit NATé donc dans leur exemple de 10.1.1.0 à 10.2.2.0 mais l'ACL "nonat" le permet justement ...
C'est moi qui ne pas avoir tout comprit parce que c'est pas la première fois que je vois cette ACL dans des config similaire.
Si quelqu'un peut m'expliquer je suis tout ouïe.
Quelqu'un a t-il une idée je commence à sécher sérieusement
Je poste les configuration de l'asa et du routeur (j'aurais surement du commencer par là) :
Le routeur :
Building configuration...
Current configuration : 6515 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
!
!
crypto pki trustpoint TP-self-signed-3881351686
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3881351686
revocation-check none
rsakeypair TP-self-signed-3881351686
!
!
crypto pki certificate chain TP-self-signed-3881351686
certificate self-signed 01
quit
dot11 syslog
no ip source-route
ip cef
!
!
ip dhcp pool sdm-pool1
import all
network 192.xx.xx.0 255.255.255.0
dns-server xx.xx.xx.xx
default-router 192.xx.xx.xx
!
!
no ip bootp server
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vdb18 address 92.xx.xx.xx
!
!
crypto ipsec transform-set esp_md5_3des esp-3des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 92.xx.xx.xx
set peer 92.xx.xx.xx
set transform-set esp_md5_3des
set pfs group2
match address 120
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
ip unnumbered ATM0.1
tunnel mode ipsec ipv4
!
interface Virtual-Template2 type tunnel
ip unnumbered ATM0.1
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.xx.xx.xx 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
dialer pool 1
dialer-group 1
no cdp enable
crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool branch 80.xx.xx.xx 80.xx.xx.xx netmask 255.255.255.240
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip nat inside source route-map nonat pool branch overload
!
logging trap debugging
access-list 120 permit ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 deny ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 permit ip 192.xx.xx.0 0.0.0.255 any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map nonat permit 10
match ip address 130
!
!
control-plane
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
!-- ACL permettant d'autoriser le ping
access-list 111 extended permit icmp any host 172.xx.xx.xx echo
access-list 111 extended permit icmp any any echo-reply
access-list 111 extended permit icmp any any source-quench
access-list 111 extended permit icmp any any unreachable
access-list 111 extended permit icmp any any time-exceeded
Salut GiLe46 ta configuration ressemble beaucoup à la mienne ?
Parce que mon problème est a 90% résolue, maintenant faut que je trouve une manière d'autoriser le traffic sur le tunnel surement un problème de droit :s (ACL ...)
Donc si c'est pour la configuration du tunnel ( si il est "down") je peux peut etre t'aider
Mon tunnel est UP. Mais je l'arrive pas à faire communiquer les postes de bout en bout du VPN L2L.
J'ai des routes statiques. Etant dans un univers de test j'ai completement ouvert les acl : "permit ip any any" mais je pense plutot que c'est au niveau du nat que j'ai mon soucis.
Je souhaite en finalité naté les postes du petit réseau distant avec des adresses du réseau local. Du nat statique ou en d'autres mots nat 1 pour 1.
Mais je garde la conviction que nos problèmes sont étroitement liés étant au même point : VPN site à site ok mais pas de communication de bout en bout...
Je ne pense pas que se soit un problème de taille de segment TCP, mais merci d'avoir proposé une idée.
Sinon la commande n'existe pas dans l'IOS de l'ASA 5.0(8) mais elle existe sous une autre forme dans celui du routeur : sans le adjust et en précisant la taille du segment voulu "ip tcp mss 100".
Les problèmes que je rencontre se situe plus au niveau de l'ASA car quand j'essaie d'accéder aux serveur derrière l'ASA en HTTP depuis un navigateur ou quand j'essaie de le "pinguer" tout cela avec un ordinateur dans le réseau privé du routeur, l'ASA reçois bien les demandes mais il les interceptes :s.
Pourtant j'ai autorisé tout le trafic TCP/IP entrant et sortant venant de mes réseau privé sur l'ASA
Pour ce qui est des règles IPSEC j'en est mis qu'une parce que dans tout les tutoriels que j'ai pu voir ils n'en mettait qu'une (logique) :/ sinon je ne vois pas lesquelles ajouter.
Voici ce que me log mon cher ASA quand il me bloque les demandes de ping et connections TCP:
3|Jul 06 2009 23:44:05|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
3|Jul 06 2009 23:43:59|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
3|Jul 06 2009 23:43:54|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
2|Jul 06 2009 23:43:41|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:35|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:32|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:20|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:14|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:11|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN on interface SDSL
%PIX|ASA-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num} gaddr {gaddr | cmp_type} laddr laddr
An ICMP session was removed in fast-path when stateful ICMP is enabled using the fixup protocol icmp command.
Quel version de ASDM as tu ? Moi je ne peut pas créer d'ACL en live avec mes log, j'ai le choix entre "live log" ou "log buffer" et cela avec un "logging level" que me permet de selectionner ce que je vois, genre "Debugging" tu vois tout ce qui se passe (c'est avec ce mode la que sont tiré mes logs).
salut,
pour moi le problème a été résolu après la manip suivante:
Au niveau de la config du "tunnel group", il y a le message "For site-to-site connections with pre-shared key authentication, the tunnel group name must be the same as either the peer IP address or the peer hostname..."
J'ai donc mis l'adresse IP du peer distant comme nom de groupe, et le tunnel est monté.
