VPN Cisco to Fortigate

Kinnan Messages postés 9 Statut Membre -  
plebras Messages postés 452 Statut Membre -
Bonjour,
Voila mon problème:

Aujourd'hui la connexion VPN entre mon Cisco et le Fortigate est monté sans problème les connexions rdp ftp etc.. fonctionne a travers le VPN.

Mais je n'arrive pas à faire passer le flux internet dans le tunnel (pour que le site distant cisco sorte sur internet avec la connexion Forigate)ma question coule donc de source:
Je voudrais savoir comment faire passer le trafic internet dans le tunnel VPN ?

Je connais très bien les produits fortinet et tres mal les produits cisco
Je possède sur mon Cisco l'interface graphique SDM

16 réponses

  1. plebras Messages postés 452 Statut Membre 121
     
    Au niveau du cisco, tu peut déclarer le réseau cible du tunnel Vpn comme étant 0.0.0.0 donc tout va passer dans le tunnel. Tu laisses au niveau du fortigate le réseau cible cisco tel qu'il est. Donc il faut que rien ne soit nater par le cisco en sortie (pas de nat)
    Mais je pense que le nat + le retour peut poser un problème au niveau du fortigate - il faut que que le fortigate puisse nater en sortie les réseaux 192.168.1.0 et les remettre ensuite dans le tunnel Mais je ne connais pas le fortigate. Cependant celà pourrait être de base sans rien modifier si le tunnel est monté

    Une autre solution plus simple
    Mettre en place un Proxy sur le réseau du Fortigate. Attaquer le proxy en paramétrant les explorateurs des postes du réseau CISCO
    1
  2. plebras Messages postés 452 Statut Membre 121
     
    Merci de préciser
    1) Le modèle CISCO (ASA ? PIX ? Routeur Avec Firewall)
    2) La version d'OS
    3) Si j'ai bien compris les gens derrière le CISCO doit passer par le tunnel pour sortir sur INTERNET
    4) Merci de donner les IP internes et Externes pour que l'on comprennent mieux
    0
  3. Kinnan Messages postés 9 Statut Membre
     
    Bonjour,

    1/le cisco est un 800 Series

    2/l'Os est :12.4(15)T4
    SDM version 2.5

    3/Oui tout à fait le réseau cisco doit passer par le tunnel pour utiliser la connexion internet attaché au fortiGate.

    4/Cisco: interne 192.168.1.0/24
    externe 85.208.67.250

    Fortigate interne 192.168.10.0/24
    externe 85.208.67.251

    Le tunnel est monté et toute les connexion sont établie (RDP FTP ping etc..)
    ce qu'il me manque je pense c'est la règle qui dit au dit Cisco pour joindre le 0.0.0.0 utilise le tunnel .
    hier j'ai essayer de modifier un peu les ACl et les firewall policy aucun résultat!

    Merci
    Bonne Journée
    0
  4. Kinnan Messages postés 9 Statut Membre
     
    Bonjour,

    J'ai déjà voulu essayer de paramétrer le réseau distant du tunnel en 0.0.0.0 seulement le Cisco n'accepte pas un masque en 0.0.0.0 il demande au minima un /8 soit 255.0.0.0

    toutefois je n'ai pas essayer ce paramétrage la en ligne de commande si quelqu'un connais la syntaxe exact je suis preneur

    Merci
    Bonne journée
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. plebras Messages postés 452 Statut Membre 121
     
    Re

    Au niveau de l'interface graphique, essaye de voir si tu peux directement au niveau de l'access-list mettre le mot clé any (au lieu de mettre 0.0.0.0)

    Sinon effectivement au niveau de l'access-list générée tu pourrais avoir quelque chose comme
    crypto map xxxxx 101 ipsec-isakmp
    ..
    ..
    ..
    match address 101
    access-list 101 permit ip 192.168.1.0 0.0.0.255 any

    Par contre, il faut que la route globale au niveau du cisco soit néanmoins défini par qq chose comme
    ip route 0.0.0.0 0.0.0.0 x.x.x.x
    0
  7. Kinnan Messages postés 9 Statut Membre
     
    Re

    Même avec les changement que tu me propose cela ne fonctionne pas

    J'avais déjà essayer de modifier les ACL etc. sans réel réussite , un indice peut être lors d'un changement des ACL je perdait le net "impossible de joindre l'hôte distant"

    j'ai lu sur le net la possibilité de splitter le tunnel VPN est ce une solution envisageable si oui comment procéder?

    D'avance merci
    Bonne journée
    0
  8. plebras Messages postés 452 Statut Membre 121
     
    Re

    petite question par rapport aux adresses externes et à la configuration générale
    Le Cisco et le Fortigate sont sur le même réseau ou sur des sites distants, j'ai un peu de mal à comprendre (notamment par rapport aux IP externes)

    A ce niveau on devrait avoir CISCO <-> Routeur ou Modem Provider <-> Internet <-> Routeur ou modem provider <-> Fortigate. Est ce le cas ou autre config ?

    Merci de poster ta configuration cisco

    Par rapport au commandes split-tunnel celà concerne les clients VPN pas directement un Vpn site à site et ce serait si les clients VPN monte un tunnel vers le Cisco et ensuite passe par le Cisco pour atteindre Internet au leiu d'accéder directement depuis leur PC : on a dans ce cas

    PC (avec client VPN Cisco) ->Tunnel vers CISCO -> Internet depuis le CISCO
    0
  9. Kinnan Messages postés 9 Statut Membre
     
    Re

    La configuration Était comme cela:

    Cisco-->routeur--->Fortigate

    les deux boitier était l'un sur l'autre dans un labo afin de réaliser des tests justement, mais depuis ce matin la configuration à changer, j'ai bien maintenant:

    Cisco-->routeur--->internet--->routeur--->fortigate

    donc une ligne en PPPoE sur le forti et depuis la fin de mâtiné le VPN ne Monte plus alors que des 2 coté j'accède a Internet le cisco me dit lors du test vpn que cela vient de la route qui n'est pas bonne.

    Merci
    Bonne Journée
    0
  10. plebras Messages postés 452 Statut Membre 121
     
    Re
    peut tu poster la conf du cisco (show run)

    merci
    0
  11. Kinnan Messages postés 9 Statut Membre
     
    yourname#show run
    Building configuration...

    Current configuration : 6162 bytes
    !
    version 12.4
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname yourname
    !
    boot-start-marker
    boot-end-marker
    !
    logging buffered 51200 warnings
    !
    no aaa new-model
    !
    crypto pki trustpoint TP-self-signed-3265758045
    enrollment selfsigned
    subject-name cn=IOS-Self-Signed-Certificate-3265758045
    revocation-check none
    rsakeypair TP-self-signed-3265758045
    !
    !
    crypto pki certificate chain TP-self-signed-3265758045
    certificate self-signed 01
    3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
    31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
    69666963 6174652D 33323635 37353830 3435301E 170D3032 30333031 30323437
    31345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
    4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32363537
    35383034 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
    8100B0C3 5FCF50AA 3E3E443F 7B372025 8B65ACF0 52F76686 59561C9F 1E1EDF81
    012EB734 44F6BE8E F10508D5 6C0BD62C 39DF2ED2 5C584A58 8DECC2BA 91952B83
    69D721E6 4BEC9BEE 29BE9C1C 7CB6D675 DCDD0DC5 251B225F CC30F23C 2ADF317A
    6E540C74 E14ADCBC 06CFE4F8 D99C5FD3 33A95393 6C3037AD 6134AB92 4A54FD89
    19770203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
    551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
    301F0603 551D2304 18301680 145A7D38 A02D5774 51D38717 0010D90C 6A5F2808
    74301D06 03551D0E 04160414 5A7D38A0 2D577451 D3871700 10D90C6A 5F280874
    300D0609 2A864886 F70D0101 04050003 8181005D E6CD3555 42E95422 93DC49B2
    7DF4C7D7 EC12974E FB1C147F E84E16F5 A6B727F5 D359AFB0 2E4A841C 39AF2BC3
    300F5E58 F94BFB67 24294493 7206C632 9810DE2B DD4D7A12 6C9547BD 935C9394
    E5B611D3 D4CC931D 22194D13 FCD0FFF0 7C1DACAD 55926EFA 430128A4 5858CBE2
    CF456592 A11B9BE4 ACAB5FD3 1503F091 58B145
    quit
    dot11 syslog
    ip cef
    !
    !
    no ip dhcp use vrf connected
    ip dhcp excluded-address 10.10.10.1
    ip dhcp excluded-address 192.168.1.1
    ip dhcp excluded-address 192.168.1.251 192.168.1.254
    !
    ip dhcp pool sdm-pool
    import all
    network 10.10.10.0 255.255.255.248
    default-router 10.10.10.1
    lease 0 2
    !
    ip dhcp pool sdm-pool1
    network 192.168.1.0 255.255.255.0
    dns-server 80.10.246.2 80.10.246.129
    default-router 192.168.1.1
    !
    !
    no ip domain lookup
    ip domain name yourdomain.com
    !
    multilink bundle-name authenticated
    !
    !
    username admin privilege 15 secret 5 $1$y9cc$zDS99mPOV8EGAgdU9nnNw.
    !
    !
    crypto isakmp policy 1
    encr 3des
    authentication pre-share
    group 2
    !
    crypto isakmp policy 2
    group 2
    crypto isakmp key 0123456789 address 86.216.71.24
    !
    !
    crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
    crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
    !
    crypto map SDM_CMAP_1 1 ipsec-isakmp
    description Tunnel
    set peer 86.216.71.24
    set security-association lifetime seconds 86400
    set transform-set ESP-3DES-SHA1
    set pfs group2
    match address 100
    reverse-route
    !
    archive
    log config
    hidekeys
    !
    !
    !
    class-map type inspect match-any SDM_SSH
    match access-group name SDM_SSH
    class-map type inspect match-any SDM_HTTPS
    match access-group name SDM_HTTPS
    class-map type inspect match-any SDM_SHELL
    match access-group name SDM_SHELL
    !
    !
    !
    !
    interface FastEthernet0
    !
    interface FastEthernet1
    switchport access vlan 2
    !
    interface FastEthernet2
    switchport access vlan 2
    !
    interface FastEthernet3
    switchport access vlan 2
    !
    interface FastEthernet4
    description $ETH-LAN$$FW_OUTSIDE$
    ip address 83.206.64.250 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface Vlan1
    description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
    ip address 10.10.10.1 255.255.255.248
    ip nat inside
    ip virtual-reassembly
    ip tcp adjust-mss 1452
    !
    interface Vlan2
    description $FW_INSIDE$
    ip address 192.168.1.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    crypto map SDM_CMAP_1
    !
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 83.206.64.192 permanent
    !
    !
    ip http server
    ip http access-class 23
    ip http authentication local
    ip http secure-server
    ip http timeout-policy idle 60 life 86400 requests 10000
    ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
    !
    ip access-list extended SDM_HTTPS
    remark SDM_ACL Category=1
    permit tcp any any eq 443
    ip access-list extended SDM_SHELL
    remark SDM_ACL Category=1
    permit tcp any any eq cmd
    ip access-list extended SDM_SSH
    remark SDM_ACL Category=1
    permit tcp any any eq 22
    !
    access-list 1 remark SDM_ACL Category=2
    access-list 1 permit 10.10.10.0 0.0.0.7
    access-list 1 permit 192.168.1.0 0.0.0.255
    access-list 100 remark SDM_ACL Category=4
    access-list 100 remark IPSec Rule
    access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
    access-list 101 remark SDM_ACL Category=2
    access-list 101 permit ip 192.168.1.0 0.0.0.255 any
    access-list 101 permit ip 10.10.10.0 0.0.0.7 any
    access-list 102 remark SDM_ACL Category=4
    access-list 102 remark IPSec Rule
    access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
    no cdp run
    !
    !
    !
    route-map SDM_RMAP_1 permit 1
    match ip address 101
    !
    !
    control-plane
    !
    banner login
    !
    line con 0
    login local
    no modem enable
    line aux 0
    line vty 0 4
    privilege level 15
    login local
    transport input telnet ssh
    !
    scheduler max-task-time 5000
    end
    0
  12. plebras Messages postés 452 Statut Membre 121
     
    Re

    Tu peux valider tes besoins :

    le réseau 192.168.1.0 doit accéder à Internet via le Fortigate et donc le tunnel. Donc j'en conclus que ce réseau ne doit sortir que par le tunnel OUI/NON ? ou doit il quand même sortir sur internet (sur des ports particuliers éventuellement)

    Que fait le réseau 10.10.10 ???? dans l'histoire c'est pareil que le 192.168 ou pas
    Doit il sortir en direct, il y a t'il des serveurs ou postes internes devant être atteints depuis Internet (en direct type serveur web ou mail)?

    Nota quelque soient les réponses il y a des erreurs au niveau de la config mais c'est pour préciser exactement
    0
  13. Kinnan Messages postés 9 Statut Membre
     
    Bonjour,

    oui le réseau cisco doit sortir uniquement par le tunnel pour n'importe quel type de connexion que se soit, tout doit passer par le fortigate (internet FTP RDP etc etc..)

    Pardon pour le réseau 10.10.10.X c'est le VLAN par défaut du cisco je n'ai pas pris la peine de le supprimer

    Merci
    Bonne journée
    0
  14. Kinnan Messages postés 9 Statut Membre
     
    Re Bonjour,

    Voici le Fichier de config modifier et avec lequel le tunnel VPN monte:
    !This is the running config of the router: 192.168.1.1
    !----------------------------------------------------------------------------
    !version 12.4
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname yourname
    !
    boot-start-marker
    boot-end-marker
    !
    logging buffered 51200
    !
    no aaa new-model
    !
    crypto pki trustpoint TP-self-signed-3265758045
    enrollment selfsigned
    subject-name cn=IOS-Self-Signed-Certificate-3265758045
    revocation-check none
    rsakeypair TP-self-signed-3265758045
    !
    !
    crypto pki certificate chain TP-self-signed-3265758045
    certificate self-signed 01
    3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
    31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
    69666963 6174652D 33323635 37353830 3435301E 170D3032 30333031 30323437
    31345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
    4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32363537
    35383034 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
    8100B0C3 5FCF50AA 3E3E443F 7B372025 8B65ACF0 52F76686 59561C9F 1E1EDF81
    012EB734 44F6BE8E F10508D5 6C0BD62C 39DF2ED2 5C584A58 8DECC2BA 91952B83
    69D721E6 4BEC9BEE 29BE9C1C 7CB6D675 DCDD0DC5 251B225F CC30F23C 2ADF317A
    6E540C74 E14ADCBC 06CFE4F8 D99C5FD3 33A95393 6C3037AD 6134AB92 4A54FD89
    19770203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
    551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
    301F0603 551D2304 18301680 145A7D38 A02D5774 51D38717 0010D90C 6A5F2808
    74301D06 03551D0E 04160414 5A7D38A0 2D577451 D3871700 10D90C6A 5F280874
    300D0609 2A864886 F70D0101 04050003 8181005D E6CD3555 42E95422 93DC49B2
    7DF4C7D7 EC12974E FB1C147F E84E16F5 A6B727F5 D359AFB0 2E4A841C 39AF2BC3
    300F5E58 F94BFB67 24294493 7206C632 9810DE2B DD4D7A12 6C9547BD 935C9394
    E5B611D3 D4CC931D 22194D13 FCD0FFF0 7C1DACAD 55926EFA 430128A4 5858CBE2
    CF456592 A11B9BE4 ACAB5FD3 1503F091 58B145
    quit
    dot11 syslog
    ip cef
    !
    !
    no ip dhcp use vrf connected
    ip dhcp excluded-address 10.10.10.1
    ip dhcp excluded-address 192.168.1.251 192.168.1.254
    !
    ip dhcp pool sdm-pool
    import all
    network 10.10.10.0 255.255.255.248
    default-router 10.10.10.1
    lease 0 2
    !
    ip dhcp pool sdm-pool1
    network 192.168.1.0 255.255.255.0
    dns-server 8.8.8.8 8.8.4.4
    default-router 192.168.1.1
    !
    !
    no ip domain lookup
    ip domain name yourdomain.com
    !
    multilink bundle-name authenticated
    !
    !
    username admin privilege 15 secret 5 $1$y9cc$zDS99mPOV8EGAgdU9nnNw.
    !
    !
    crypto isakmp policy 1
    encr 3des
    authentication pre-share
    group 2
    crypto isakmp key 0123456789 address 0.0.0.0 0.0.0.0
    !
    !
    crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
    !
    crypto dynamic-map SDM_DYNMAP_1 1
    set transform-set ESP-3DES-SHA
    match address 100
    !
    !
    crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
    !
    archive
    log config
    hidekeys
    !
    !
    !
    class-map type inspect match-any SDM_SSH
    match access-group name SDM_SSH
    class-map type inspect match-any SDM_HTTPS
    match access-group name SDM_HTTPS
    class-map type inspect match-any SDM_SHELL
    match access-group name SDM_SHELL
    !
    !
    !
    !
    interface FastEthernet0
    !
    interface FastEthernet1
    switchport access vlan 2
    !
    interface FastEthernet2
    switchport access vlan 2
    !
    interface FastEthernet3
    switchport access vlan 2
    !
    interface FastEthernet4
    description $FW_OUTSIDE$$ETH-LAN$
    ip address 83.206.64.250 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    crypto map SDM_CMAP_1
    !
    interface Vlan1
    description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
    ip address 10.10.10.1 255.255.255.248
    ip virtual-reassembly
    ip tcp adjust-mss 1452
    !
    interface Vlan2
    description $FW_INSIDE$
    ip address 192.168.1.1 255.255.255.0
    ip nbar protocol-discovery
    ip nat inside
    ip virtual-reassembly
    !
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 83.206.64.192 permanent
    !
    !
    ip http server
    ip http access-class 23
    ip http authentication local
    ip http secure-server
    ip http timeout-policy idle 60 life 86400 requests 10000
    ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload
    !
    ip access-list extended SDM_HTTPS
    remark SDM_ACL Category=1
    permit tcp any any eq 443
    ip access-list extended SDM_SHELL
    remark SDM_ACL Category=1
    permit tcp any any eq cmd
    ip access-list extended SDM_SSH
    remark SDM_ACL Category=1
    permit tcp any any eq 22
    !
    logging trap debugging
    access-list 1 remark SDM_ACL Category=2
    access-list 1 permit 10.10.10.0 0.0.0.7
    access-list 1 permit 192.168.1.0 0.0.0.255
    access-list 2 remark SDM_ACL Category=2
    access-list 2 permit 192.168.1.0 0.0.0.255
    access-list 100 remark SDM_ACL Category=4
    access-list 100 remark IPSec Rule
    access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
    access-list 101 remark SDM_ACL Category=2
    access-list 101 permit ip 192.168.1.0 0.0.0.255 any
    access-list 101 permit ip 10.10.10.0 0.0.0.7 any
    access-list 102 remark SDM_ACL Category=2
    access-list 102 remark IPSec Rule
    access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
    access-list 102 permit ip 192.168.1.0 0.0.0.255 any
    no cdp run
    !
    !
    !
    route-map SDM_RMAP_1 permit 1
    match ip address 101
    !
    route-map SDM_RMAP_2 permit 1
    match ip address 102
    !
    !
    control-plane
    !
    banner login ^C
    -----------------------------------------------------------------------
    Cisco Router and Security Device Manager (SDM) is installed on this device.
    This feature requires the one-time use of the username "cisco"
    with the password "cisco". The default username and password have a privilege level of 15.

    Please change these publicly known initial credentials using SDM or the IOS CLI.
    Here are the Cisco IOS commands.

    username <myuser> privilege 15 secret 0 <mypassword>
    no username cisco

    Replace <myuser> and <mypassword> with the username and password you want to use.

    For more information about SDM please follow the instructions in the QUICK START
    GUIDE for your router or go to https://www.cisco.com/c/en/us/products/cloud-systems-management/managed-services-accelerator/index.html
    -----------------------------------------------------------------------
    ^C
    !
    line con 0
    login local
    no modem enable
    line aux 0
    line vty 0 4
    privilege level 15
    login local
    transport input telnet ssh
    !
    scheduler max-task-time 5000
    end
    0
  15. plebras Messages postés 452 Statut Membre 121
     
    Bonjour

    1)

    On fait le ménage. Je pars du principe que tout passe par le tunnel, qu'il n'y a pas de sorties autres, pas de réseau 10 et pas de vlan 1 et pas de DHCP (tu pourras le remettre après)

    Donc en mode caractère (enable)
    conf t

    no ip dhcp pool sdm-pool
    no ip dhcp pool sdm-pool1
    no crypto isakmp policy 1
    no crypto isakmp key 0123456789 address 0.0.0.0 0.0.0.0
    no crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
    no crypto dynamic-map SDM_DYNMAP_1 1
    no crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

    interface FastEthernet4
    no ip nat outside

    no crypto map SDM_CMAP_1
    no int Vlan1

    interface Vlan2
    no ip nat inside

    no ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload

    no class-map type inspect match-any SDM_SSH

    no class-map type inspect match-any SDM_HTTPS

    no class-map type inspect match-any SDM_SHELL

    no ip access-list extended SDM_HTTPS
    no ip access-list extended SDM_SHELL
    no ip access-list extended SDM_SSH

    no access-list 1
    no access-list 2
    no access-list 100
    no access-list 101
    no access-list 102

    no route-map SDM_RMAP_1 permit 1

    no route-map SDM_RMAP_2 permit 1

    en espérant que j'ai mis les commandes de suppression dans l'ordre (sinon, tu ajustes en passant une commande avant l'autre. je n'ai pas mis non plus les exit quand on se trouve dans une arboresence (ex:Router(config-if)). téhoriquement, il n'y en a pas besoins mais je n'ai pas de modèle 800

    show run pour vérifier

    2)
    Construction
    a) on vire les résidus de tunnel
    Router# clear crypto isakmp
    Router# clear crypto sa

    Nota il peut être nécessaire de faire tomber également le tunnel au niveau du Fortigate

    b)
    On reconstruit
    Router(config)# crypto isakmp policy 1
    Router(config-isakmp)# encryption 3des
    Router(config-isakmp)# group 2
    Router(config-isakmp)# hash sha
    Router(config-isakmp)# lifetime 28800
    Router(config-isakmp)# authentication pre-share
    Router(config)# crypto isakmp key 0123456789 address 86.216.71.24
    addresse externe du fortigate

    Router(config)# crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
    Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any
    Router(config)# ip route 0.0.0.0 0.0.0.0 83.206.64.192
    Router(config)# crypto map MAP_TUNNEL 10 ipsec-isakmp
    Router(config-crypto-map)# set security-association life seconds 3600
    Router(config-crypto-map)# set transform-set ESP-3DES-SHA
    Router(config-crypto-map)# set pfs group2
    Router(config-crypto-map)# set peer 86.216.71.24
    Router(config-crypto-map)# match address 101
    Router(config-crypto-map)# exit
    Router(config)# interface FastEthernet4
    Router(config-if)# crypto map MAP_TUNNEL

    Nota :

    pour un tunnel site à site la crypto map ne peut être dynamic (c'est pour les clients vpn)
    il ne doit pas avoir dans ton cas de nat inside ou outside. Le réseau 192.168.1 doit être vu comme tel au niveau du fortigate pour que lui puisse ensuite rediriger vers Internet ou transmettre au réseau local

    Il faut que les mettre IPSEC et ISAKMP soient conformes au paramétrage du fortigate

    Router# Ping
    Répondre en pingant 192.168.10.x depuis interface Vlan2 ou depuis un poste local

    3) verif

    Router# show ip int brief
    Router# show crypto isakmp sa
    Router# show crypto ipsec sa

    Debug :

    Router# debug crypto verbose
    Router# debug crypto isakmp
    Router# term monitor

    celà permet souvent de voir les erreurs pour parametres différents notamment

    Arrêter le debug

    Router# nodebug all (ou undebug all)
    Router# term no monitor

    Router# write mem pour sauvegarder (ou copy run start)
    Router# sh run pour voir config

    J'espère que je n'ai rien oublié, mais au moins la config sera plus simple

    Au besoin, tu repostes la conf si tu n'y arrives pas. mais essaye les debug
    d'abord et le ping, le tunnel doit monter. Ensuite aller sur Internet c'est peut-être un autre problème au travers du fortigate
    0
  16. Kinnan Messages postés 9 Statut Membre
     
    Bonjour,

    Aujourd'hui le VPN est de-nouveau monté j'avais fait une erreur sur les adresses IP.

    Dans ce que tu m'indique de faire je voit que tu préfère detruire le tunnel et le remonter est ce vraiment nécessaire étant donnée que le tunnel aujourd'hui actif fonctionne bien

    seconde question afin de mieux comprendre :
    quelle son les lignes de commande que tu as indiqué au dessus qui permettent ou du moin obligent le réseau cisco a se connecter a l'internet du fortinet

    Merci beaucoup

    Bonne Journée
    0
  17. plebras Messages postés 452 Statut Membre 121
     
    Bonjour,

    Je t'ai indiqué les commandes et supprimer le tunnel c'est pour simplifier et ensuite récréer la configuration et ne pas avoir d'anciennes lignes qui trainent. Un ping suffit à le remonter. La configuration est la configuration standard pour monter un tunnel site à site. Il ne faut pas de nat dans le tunnel - sauf cas particuliers- (et pas de map dynamiques et il faut une authentification sur la cible pour la sécurité - set peer - sinon n'importe quel firewall peut se connecter à ton cisco)

    L'access-list 101 permet de dire que tout ce qui vient 192.168.1 va dans le tunnel quel que soit la destination. Il n'y a pas d'exception ou d'autres access-list.

    Au niveau de ton Fortigate, il faudra ensuite qu'il puisse rerouter les demandes du réseau 192.168.1 vers Internet ou le réseau local distant 192.168.10.0 . Au niveau du réseau local distant celà va être de base par le tunnel VPN. Il faudra à mon avis, juste autoriser le réseau 192.168.1 (comme le réseau 192.168.10.0 ) à sortir sur Internet et également si besoin prévoir donc du nat en sortie pour ce réseau 192.168.1.0 mais sur le Fortigate (et pas en sortie du Cisco)
    0