VPN Cisco to Fortigate
Fermé
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
-
17 juin 2010 à 15:50
plebras Messages postés 422 Date d'inscription mercredi 30 septembre 2009 Statut Membre Dernière intervention 3 juillet 2019 - 23 juin 2010 à 11:25
plebras Messages postés 422 Date d'inscription mercredi 30 septembre 2009 Statut Membre Dernière intervention 3 juillet 2019 - 23 juin 2010 à 11:25
A voir également:
- VPN Cisco to Fortigate
- Vpn gratuit - Accueil - Guide VPN
- Vpn comment ça marche - Guide
- Qwerty to azerty - Guide
- Press esc in 1 seconds to skip startup.nsh any other key to continue ✓ - Forum Windows 10
- Welcome to nginx! ✓ - Forum Applis & Sites
16 réponses
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
20 juin 2010 à 21:14
20 juin 2010 à 21:14
Au niveau du cisco, tu peut déclarer le réseau cible du tunnel Vpn comme étant 0.0.0.0 donc tout va passer dans le tunnel. Tu laisses au niveau du fortigate le réseau cible cisco tel qu'il est. Donc il faut que rien ne soit nater par le cisco en sortie (pas de nat)
Mais je pense que le nat + le retour peut poser un problème au niveau du fortigate - il faut que que le fortigate puisse nater en sortie les réseaux 192.168.1.0 et les remettre ensuite dans le tunnel Mais je ne connais pas le fortigate. Cependant celà pourrait être de base sans rien modifier si le tunnel est monté
Une autre solution plus simple
Mettre en place un Proxy sur le réseau du Fortigate. Attaquer le proxy en paramétrant les explorateurs des postes du réseau CISCO
Mais je pense que le nat + le retour peut poser un problème au niveau du fortigate - il faut que que le fortigate puisse nater en sortie les réseaux 192.168.1.0 et les remettre ensuite dans le tunnel Mais je ne connais pas le fortigate. Cependant celà pourrait être de base sans rien modifier si le tunnel est monté
Une autre solution plus simple
Mettre en place un Proxy sur le réseau du Fortigate. Attaquer le proxy en paramétrant les explorateurs des postes du réseau CISCO
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
17 juin 2010 à 22:51
17 juin 2010 à 22:51
Merci de préciser
1) Le modèle CISCO (ASA ? PIX ? Routeur Avec Firewall)
2) La version d'OS
3) Si j'ai bien compris les gens derrière le CISCO doit passer par le tunnel pour sortir sur INTERNET
4) Merci de donner les IP internes et Externes pour que l'on comprennent mieux
1) Le modèle CISCO (ASA ? PIX ? Routeur Avec Firewall)
2) La version d'OS
3) Si j'ai bien compris les gens derrière le CISCO doit passer par le tunnel pour sortir sur INTERNET
4) Merci de donner les IP internes et Externes pour que l'on comprennent mieux
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
Modifié par Kinnan le 18/06/2010 à 12:53
Modifié par Kinnan le 18/06/2010 à 12:53
Bonjour,
1/le cisco est un 800 Series
2/l'Os est :12.4(15)T4
SDM version 2.5
3/Oui tout à fait le réseau cisco doit passer par le tunnel pour utiliser la connexion internet attaché au fortiGate.
4/Cisco: interne 192.168.1.0/24
externe 85.208.67.250
Fortigate interne 192.168.10.0/24
externe 85.208.67.251
Le tunnel est monté et toute les connexion sont établie (RDP FTP ping etc..)
ce qu'il me manque je pense c'est la règle qui dit au dit Cisco pour joindre le 0.0.0.0 utilise le tunnel .
hier j'ai essayer de modifier un peu les ACl et les firewall policy aucun résultat!
Merci
Bonne Journée
1/le cisco est un 800 Series
2/l'Os est :12.4(15)T4
SDM version 2.5
3/Oui tout à fait le réseau cisco doit passer par le tunnel pour utiliser la connexion internet attaché au fortiGate.
4/Cisco: interne 192.168.1.0/24
externe 85.208.67.250
Fortigate interne 192.168.10.0/24
externe 85.208.67.251
Le tunnel est monté et toute les connexion sont établie (RDP FTP ping etc..)
ce qu'il me manque je pense c'est la règle qui dit au dit Cisco pour joindre le 0.0.0.0 utilise le tunnel .
hier j'ai essayer de modifier un peu les ACl et les firewall policy aucun résultat!
Merci
Bonne Journée
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
21 juin 2010 à 10:13
21 juin 2010 à 10:13
Bonjour,
J'ai déjà voulu essayer de paramétrer le réseau distant du tunnel en 0.0.0.0 seulement le Cisco n'accepte pas un masque en 0.0.0.0 il demande au minima un /8 soit 255.0.0.0
toutefois je n'ai pas essayer ce paramétrage la en ligne de commande si quelqu'un connais la syntaxe exact je suis preneur
Merci
Bonne journée
J'ai déjà voulu essayer de paramétrer le réseau distant du tunnel en 0.0.0.0 seulement le Cisco n'accepte pas un masque en 0.0.0.0 il demande au minima un /8 soit 255.0.0.0
toutefois je n'ai pas essayer ce paramétrage la en ligne de commande si quelqu'un connais la syntaxe exact je suis preneur
Merci
Bonne journée
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
21 juin 2010 à 11:26
21 juin 2010 à 11:26
Re
Au niveau de l'interface graphique, essaye de voir si tu peux directement au niveau de l'access-list mettre le mot clé any (au lieu de mettre 0.0.0.0)
Sinon effectivement au niveau de l'access-list générée tu pourrais avoir quelque chose comme
crypto map xxxxx 101 ipsec-isakmp
..
..
..
match address 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Par contre, il faut que la route globale au niveau du cisco soit néanmoins défini par qq chose comme
ip route 0.0.0.0 0.0.0.0 x.x.x.x
Au niveau de l'interface graphique, essaye de voir si tu peux directement au niveau de l'access-list mettre le mot clé any (au lieu de mettre 0.0.0.0)
Sinon effectivement au niveau de l'access-list générée tu pourrais avoir quelque chose comme
crypto map xxxxx 101 ipsec-isakmp
..
..
..
match address 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Par contre, il faut que la route globale au niveau du cisco soit néanmoins défini par qq chose comme
ip route 0.0.0.0 0.0.0.0 x.x.x.x
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
21 juin 2010 à 12:10
21 juin 2010 à 12:10
Re
Même avec les changement que tu me propose cela ne fonctionne pas
J'avais déjà essayer de modifier les ACL etc. sans réel réussite , un indice peut être lors d'un changement des ACL je perdait le net "impossible de joindre l'hôte distant"
j'ai lu sur le net la possibilité de splitter le tunnel VPN est ce une solution envisageable si oui comment procéder?
D'avance merci
Bonne journée
Même avec les changement que tu me propose cela ne fonctionne pas
J'avais déjà essayer de modifier les ACL etc. sans réel réussite , un indice peut être lors d'un changement des ACL je perdait le net "impossible de joindre l'hôte distant"
j'ai lu sur le net la possibilité de splitter le tunnel VPN est ce une solution envisageable si oui comment procéder?
D'avance merci
Bonne journée
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
21 juin 2010 à 13:51
21 juin 2010 à 13:51
Re
petite question par rapport aux adresses externes et à la configuration générale
Le Cisco et le Fortigate sont sur le même réseau ou sur des sites distants, j'ai un peu de mal à comprendre (notamment par rapport aux IP externes)
A ce niveau on devrait avoir CISCO <-> Routeur ou Modem Provider <-> Internet <-> Routeur ou modem provider <-> Fortigate. Est ce le cas ou autre config ?
Merci de poster ta configuration cisco
Par rapport au commandes split-tunnel celà concerne les clients VPN pas directement un Vpn site à site et ce serait si les clients VPN monte un tunnel vers le Cisco et ensuite passe par le Cisco pour atteindre Internet au leiu d'accéder directement depuis leur PC : on a dans ce cas
PC (avec client VPN Cisco) ->Tunnel vers CISCO -> Internet depuis le CISCO
petite question par rapport aux adresses externes et à la configuration générale
Le Cisco et le Fortigate sont sur le même réseau ou sur des sites distants, j'ai un peu de mal à comprendre (notamment par rapport aux IP externes)
A ce niveau on devrait avoir CISCO <-> Routeur ou Modem Provider <-> Internet <-> Routeur ou modem provider <-> Fortigate. Est ce le cas ou autre config ?
Merci de poster ta configuration cisco
Par rapport au commandes split-tunnel celà concerne les clients VPN pas directement un Vpn site à site et ce serait si les clients VPN monte un tunnel vers le Cisco et ensuite passe par le Cisco pour atteindre Internet au leiu d'accéder directement depuis leur PC : on a dans ce cas
PC (avec client VPN Cisco) ->Tunnel vers CISCO -> Internet depuis le CISCO
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
21 juin 2010 à 15:14
21 juin 2010 à 15:14
Re
La configuration Était comme cela:
Cisco-->routeur--->Fortigate
les deux boitier était l'un sur l'autre dans un labo afin de réaliser des tests justement, mais depuis ce matin la configuration à changer, j'ai bien maintenant:
Cisco-->routeur--->internet--->routeur--->fortigate
donc une ligne en PPPoE sur le forti et depuis la fin de mâtiné le VPN ne Monte plus alors que des 2 coté j'accède a Internet le cisco me dit lors du test vpn que cela vient de la route qui n'est pas bonne.
Merci
Bonne Journée
La configuration Était comme cela:
Cisco-->routeur--->Fortigate
les deux boitier était l'un sur l'autre dans un labo afin de réaliser des tests justement, mais depuis ce matin la configuration à changer, j'ai bien maintenant:
Cisco-->routeur--->internet--->routeur--->fortigate
donc une ligne en PPPoE sur le forti et depuis la fin de mâtiné le VPN ne Monte plus alors que des 2 coté j'accède a Internet le cisco me dit lors du test vpn que cela vient de la route qui n'est pas bonne.
Merci
Bonne Journée
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
21 juin 2010 à 16:40
21 juin 2010 à 16:40
Re
peut tu poster la conf du cisco (show run)
merci
peut tu poster la conf du cisco (show run)
merci
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
Modifié par Kinnan le 21/06/2010 à 16:49
Modifié par Kinnan le 21/06/2010 à 16:49
yourname#show run
Building configuration...
Current configuration : 6162 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3265758045
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265758045
revocation-check none
rsakeypair TP-self-signed-3265758045
!
!
crypto pki certificate chain TP-self-signed-3265758045
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33323635 37353830 3435301E 170D3032 30333031 30323437
31345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32363537
35383034 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B0C3 5FCF50AA 3E3E443F 7B372025 8B65ACF0 52F76686 59561C9F 1E1EDF81
012EB734 44F6BE8E F10508D5 6C0BD62C 39DF2ED2 5C584A58 8DECC2BA 91952B83
69D721E6 4BEC9BEE 29BE9C1C 7CB6D675 DCDD0DC5 251B225F CC30F23C 2ADF317A
6E540C74 E14ADCBC 06CFE4F8 D99C5FD3 33A95393 6C3037AD 6134AB92 4A54FD89
19770203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 145A7D38 A02D5774 51D38717 0010D90C 6A5F2808
74301D06 03551D0E 04160414 5A7D38A0 2D577451 D3871700 10D90C6A 5F280874
300D0609 2A864886 F70D0101 04050003 8181005D E6CD3555 42E95422 93DC49B2
7DF4C7D7 EC12974E FB1C147F E84E16F5 A6B727F5 D359AFB0 2E4A841C 39AF2BC3
300F5E58 F94BFB67 24294493 7206C632 9810DE2B DD4D7A12 6C9547BD 935C9394
E5B611D3 D4CC931D 22194D13 FCD0FFF0 7C1DACAD 55926EFA 430128A4 5858CBE2
CF456592 A11B9BE4 ACAB5FD3 1503F091 58B145
quit
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.251 192.168.1.254
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
ip dhcp pool sdm-pool1
network 192.168.1.0 255.255.255.0
dns-server 80.10.246.2 80.10.246.129
default-router 192.168.1.1
!
!
no ip domain lookup
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$y9cc$zDS99mPOV8EGAgdU9nnNw.
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
group 2
crypto isakmp key 0123456789 address 86.216.71.24
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel
set peer 86.216.71.24
set security-association lifetime seconds 86400
set transform-set ESP-3DES-SHA1
set pfs group2
match address 100
reverse-route
!
archive
log config
hidekeys
!
!
!
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
description $ETH-LAN$$FW_OUTSIDE$
ip address 83.206.64.250 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
description $FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 83.206.64.192 permanent
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTPS
remark SDM_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_SHELL
remark SDM_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark SDM_ACL Category=1
permit tcp any any eq 22
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 remark SDM_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
banner login
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Building configuration...
Current configuration : 6162 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3265758045
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265758045
revocation-check none
rsakeypair TP-self-signed-3265758045
!
!
crypto pki certificate chain TP-self-signed-3265758045
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33323635 37353830 3435301E 170D3032 30333031 30323437
31345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32363537
35383034 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B0C3 5FCF50AA 3E3E443F 7B372025 8B65ACF0 52F76686 59561C9F 1E1EDF81
012EB734 44F6BE8E F10508D5 6C0BD62C 39DF2ED2 5C584A58 8DECC2BA 91952B83
69D721E6 4BEC9BEE 29BE9C1C 7CB6D675 DCDD0DC5 251B225F CC30F23C 2ADF317A
6E540C74 E14ADCBC 06CFE4F8 D99C5FD3 33A95393 6C3037AD 6134AB92 4A54FD89
19770203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 145A7D38 A02D5774 51D38717 0010D90C 6A5F2808
74301D06 03551D0E 04160414 5A7D38A0 2D577451 D3871700 10D90C6A 5F280874
300D0609 2A864886 F70D0101 04050003 8181005D E6CD3555 42E95422 93DC49B2
7DF4C7D7 EC12974E FB1C147F E84E16F5 A6B727F5 D359AFB0 2E4A841C 39AF2BC3
300F5E58 F94BFB67 24294493 7206C632 9810DE2B DD4D7A12 6C9547BD 935C9394
E5B611D3 D4CC931D 22194D13 FCD0FFF0 7C1DACAD 55926EFA 430128A4 5858CBE2
CF456592 A11B9BE4 ACAB5FD3 1503F091 58B145
quit
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.251 192.168.1.254
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
ip dhcp pool sdm-pool1
network 192.168.1.0 255.255.255.0
dns-server 80.10.246.2 80.10.246.129
default-router 192.168.1.1
!
!
no ip domain lookup
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$y9cc$zDS99mPOV8EGAgdU9nnNw.
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
group 2
crypto isakmp key 0123456789 address 86.216.71.24
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel
set peer 86.216.71.24
set security-association lifetime seconds 86400
set transform-set ESP-3DES-SHA1
set pfs group2
match address 100
reverse-route
!
archive
log config
hidekeys
!
!
!
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
description $ETH-LAN$$FW_OUTSIDE$
ip address 83.206.64.250 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
description $FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 83.206.64.192 permanent
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTPS
remark SDM_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_SHELL
remark SDM_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark SDM_ACL Category=1
permit tcp any any eq 22
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 remark SDM_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
banner login
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
Modifié par plebras le 21/06/2010 à 18:07
Modifié par plebras le 21/06/2010 à 18:07
Re
Tu peux valider tes besoins :
le réseau 192.168.1.0 doit accéder à Internet via le Fortigate et donc le tunnel. Donc j'en conclus que ce réseau ne doit sortir que par le tunnel OUI/NON ? ou doit il quand même sortir sur internet (sur des ports particuliers éventuellement)
Que fait le réseau 10.10.10 ???? dans l'histoire c'est pareil que le 192.168 ou pas
Doit il sortir en direct, il y a t'il des serveurs ou postes internes devant être atteints depuis Internet (en direct type serveur web ou mail)?
Nota quelque soient les réponses il y a des erreurs au niveau de la config mais c'est pour préciser exactement
Tu peux valider tes besoins :
le réseau 192.168.1.0 doit accéder à Internet via le Fortigate et donc le tunnel. Donc j'en conclus que ce réseau ne doit sortir que par le tunnel OUI/NON ? ou doit il quand même sortir sur internet (sur des ports particuliers éventuellement)
Que fait le réseau 10.10.10 ???? dans l'histoire c'est pareil que le 192.168 ou pas
Doit il sortir en direct, il y a t'il des serveurs ou postes internes devant être atteints depuis Internet (en direct type serveur web ou mail)?
Nota quelque soient les réponses il y a des erreurs au niveau de la config mais c'est pour préciser exactement
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
22 juin 2010 à 09:32
22 juin 2010 à 09:32
Bonjour,
oui le réseau cisco doit sortir uniquement par le tunnel pour n'importe quel type de connexion que se soit, tout doit passer par le fortigate (internet FTP RDP etc etc..)
Pardon pour le réseau 10.10.10.X c'est le VLAN par défaut du cisco je n'ai pas pris la peine de le supprimer
Merci
Bonne journée
oui le réseau cisco doit sortir uniquement par le tunnel pour n'importe quel type de connexion que se soit, tout doit passer par le fortigate (internet FTP RDP etc etc..)
Pardon pour le réseau 10.10.10.X c'est le VLAN par défaut du cisco je n'ai pas pris la peine de le supprimer
Merci
Bonne journée
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
22 juin 2010 à 11:53
22 juin 2010 à 11:53
Re Bonjour,
Voici le Fichier de config modifier et avec lequel le tunnel VPN monte:
!This is the running config of the router: 192.168.1.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3265758045
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265758045
revocation-check none
rsakeypair TP-self-signed-3265758045
!
!
crypto pki certificate chain TP-self-signed-3265758045
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33323635 37353830 3435301E 170D3032 30333031 30323437
31345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32363537
35383034 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B0C3 5FCF50AA 3E3E443F 7B372025 8B65ACF0 52F76686 59561C9F 1E1EDF81
012EB734 44F6BE8E F10508D5 6C0BD62C 39DF2ED2 5C584A58 8DECC2BA 91952B83
69D721E6 4BEC9BEE 29BE9C1C 7CB6D675 DCDD0DC5 251B225F CC30F23C 2ADF317A
6E540C74 E14ADCBC 06CFE4F8 D99C5FD3 33A95393 6C3037AD 6134AB92 4A54FD89
19770203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 145A7D38 A02D5774 51D38717 0010D90C 6A5F2808
74301D06 03551D0E 04160414 5A7D38A0 2D577451 D3871700 10D90C6A 5F280874
300D0609 2A864886 F70D0101 04050003 8181005D E6CD3555 42E95422 93DC49B2
7DF4C7D7 EC12974E FB1C147F E84E16F5 A6B727F5 D359AFB0 2E4A841C 39AF2BC3
300F5E58 F94BFB67 24294493 7206C632 9810DE2B DD4D7A12 6C9547BD 935C9394
E5B611D3 D4CC931D 22194D13 FCD0FFF0 7C1DACAD 55926EFA 430128A4 5858CBE2
CF456592 A11B9BE4 ACAB5FD3 1503F091 58B145
quit
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.1.251 192.168.1.254
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
ip dhcp pool sdm-pool1
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8 8.8.4.4
default-router 192.168.1.1
!
!
no ip domain lookup
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$y9cc$zDS99mPOV8EGAgdU9nnNw.
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 0123456789 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
match address 100
!
!
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
archive
log config
hidekeys
!
!
!
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
description $FW_OUTSIDE$$ETH-LAN$
ip address 83.206.64.250 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.248
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
description $FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip nbar protocol-discovery
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 83.206.64.192 permanent
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTPS
remark SDM_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_SHELL
remark SDM_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark SDM_ACL Category=1
permit tcp any any eq 22
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 101
!
route-map SDM_RMAP_2 permit 1
match ip address 102
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege level of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to https://www.cisco.com/c/en/us/products/cloud-systems-management/managed-services-accelerator/index.html
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Voici le Fichier de config modifier et avec lequel le tunnel VPN monte:
!This is the running config of the router: 192.168.1.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3265758045
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265758045
revocation-check none
rsakeypair TP-self-signed-3265758045
!
!
crypto pki certificate chain TP-self-signed-3265758045
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33323635 37353830 3435301E 170D3032 30333031 30323437
31345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32363537
35383034 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B0C3 5FCF50AA 3E3E443F 7B372025 8B65ACF0 52F76686 59561C9F 1E1EDF81
012EB734 44F6BE8E F10508D5 6C0BD62C 39DF2ED2 5C584A58 8DECC2BA 91952B83
69D721E6 4BEC9BEE 29BE9C1C 7CB6D675 DCDD0DC5 251B225F CC30F23C 2ADF317A
6E540C74 E14ADCBC 06CFE4F8 D99C5FD3 33A95393 6C3037AD 6134AB92 4A54FD89
19770203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603
551D1104 1B301982 17796F75 726E616D 652E796F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 145A7D38 A02D5774 51D38717 0010D90C 6A5F2808
74301D06 03551D0E 04160414 5A7D38A0 2D577451 D3871700 10D90C6A 5F280874
300D0609 2A864886 F70D0101 04050003 8181005D E6CD3555 42E95422 93DC49B2
7DF4C7D7 EC12974E FB1C147F E84E16F5 A6B727F5 D359AFB0 2E4A841C 39AF2BC3
300F5E58 F94BFB67 24294493 7206C632 9810DE2B DD4D7A12 6C9547BD 935C9394
E5B611D3 D4CC931D 22194D13 FCD0FFF0 7C1DACAD 55926EFA 430128A4 5858CBE2
CF456592 A11B9BE4 ACAB5FD3 1503F091 58B145
quit
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.1.251 192.168.1.254
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
ip dhcp pool sdm-pool1
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8 8.8.4.4
default-router 192.168.1.1
!
!
no ip domain lookup
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$y9cc$zDS99mPOV8EGAgdU9nnNw.
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 0123456789 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
match address 100
!
!
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
archive
log config
hidekeys
!
!
!
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
description $FW_OUTSIDE$$ETH-LAN$
ip address 83.206.64.250 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.248
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
description $FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip nbar protocol-discovery
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 83.206.64.192 permanent
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTPS
remark SDM_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_SHELL
remark SDM_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark SDM_ACL Category=1
permit tcp any any eq 22
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 remark SDM_ACL Category=2
access-list 102 remark IPSec Rule
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 101
!
route-map SDM_RMAP_2 permit 1
match ip address 102
!
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege level of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to https://www.cisco.com/c/en/us/products/cloud-systems-management/managed-services-accelerator/index.html
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
Modifié par plebras le 22/06/2010 à 16:08
Modifié par plebras le 22/06/2010 à 16:08
Bonjour
1)
On fait le ménage. Je pars du principe que tout passe par le tunnel, qu'il n'y a pas de sorties autres, pas de réseau 10 et pas de vlan 1 et pas de DHCP (tu pourras le remettre après)
Donc en mode caractère (enable)
conf t
no ip dhcp pool sdm-pool
no ip dhcp pool sdm-pool1
no crypto isakmp policy 1
no crypto isakmp key 0123456789 address 0.0.0.0 0.0.0.0
no crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
no crypto dynamic-map SDM_DYNMAP_1 1
no crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
interface FastEthernet4
no ip nat outside
no crypto map SDM_CMAP_1
no int Vlan1
interface Vlan2
no ip nat inside
no ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload
no class-map type inspect match-any SDM_SSH
no class-map type inspect match-any SDM_HTTPS
no class-map type inspect match-any SDM_SHELL
no ip access-list extended SDM_HTTPS
no ip access-list extended SDM_SHELL
no ip access-list extended SDM_SSH
no access-list 1
no access-list 2
no access-list 100
no access-list 101
no access-list 102
no route-map SDM_RMAP_1 permit 1
no route-map SDM_RMAP_2 permit 1
en espérant que j'ai mis les commandes de suppression dans l'ordre (sinon, tu ajustes en passant une commande avant l'autre. je n'ai pas mis non plus les exit quand on se trouve dans une arboresence (ex:Router(config-if)). téhoriquement, il n'y en a pas besoins mais je n'ai pas de modèle 800
show run pour vérifier
2)
Construction
a) on vire les résidus de tunnel
Router# clear crypto isakmp
Router# clear crypto sa
Nota il peut être nécessaire de faire tomber également le tunnel au niveau du Fortigate
b)
On reconstruit
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# lifetime 28800
Router(config-isakmp)# authentication pre-share
Router(config)# crypto isakmp key 0123456789 address 86.216.71.24
addresse externe du fortigate
Router(config)# crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# ip route 0.0.0.0 0.0.0.0 83.206.64.192
Router(config)# crypto map MAP_TUNNEL 10 ipsec-isakmp
Router(config-crypto-map)# set security-association life seconds 3600
Router(config-crypto-map)# set transform-set ESP-3DES-SHA
Router(config-crypto-map)# set pfs group2
Router(config-crypto-map)# set peer 86.216.71.24
Router(config-crypto-map)# match address 101
Router(config-crypto-map)# exit
Router(config)# interface FastEthernet4
Router(config-if)# crypto map MAP_TUNNEL
Nota :
pour un tunnel site à site la crypto map ne peut être dynamic (c'est pour les clients vpn)
il ne doit pas avoir dans ton cas de nat inside ou outside. Le réseau 192.168.1 doit être vu comme tel au niveau du fortigate pour que lui puisse ensuite rediriger vers Internet ou transmettre au réseau local
Il faut que les mettre IPSEC et ISAKMP soient conformes au paramétrage du fortigate
Router# Ping
Répondre en pingant 192.168.10.x depuis interface Vlan2 ou depuis un poste local
3) verif
Router# show ip int brief
Router# show crypto isakmp sa
Router# show crypto ipsec sa
Debug :
Router# debug crypto verbose
Router# debug crypto isakmp
Router# term monitor
celà permet souvent de voir les erreurs pour parametres différents notamment
Arrêter le debug
Router# nodebug all (ou undebug all)
Router# term no monitor
Router# write mem pour sauvegarder (ou copy run start)
Router# sh run pour voir config
J'espère que je n'ai rien oublié, mais au moins la config sera plus simple
Au besoin, tu repostes la conf si tu n'y arrives pas. mais essaye les debug
d'abord et le ping, le tunnel doit monter. Ensuite aller sur Internet c'est peut-être un autre problème au travers du fortigate
1)
On fait le ménage. Je pars du principe que tout passe par le tunnel, qu'il n'y a pas de sorties autres, pas de réseau 10 et pas de vlan 1 et pas de DHCP (tu pourras le remettre après)
Donc en mode caractère (enable)
conf t
no ip dhcp pool sdm-pool
no ip dhcp pool sdm-pool1
no crypto isakmp policy 1
no crypto isakmp key 0123456789 address 0.0.0.0 0.0.0.0
no crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
no crypto dynamic-map SDM_DYNMAP_1 1
no crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
interface FastEthernet4
no ip nat outside
no crypto map SDM_CMAP_1
no int Vlan1
interface Vlan2
no ip nat inside
no ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload
no class-map type inspect match-any SDM_SSH
no class-map type inspect match-any SDM_HTTPS
no class-map type inspect match-any SDM_SHELL
no ip access-list extended SDM_HTTPS
no ip access-list extended SDM_SHELL
no ip access-list extended SDM_SSH
no access-list 1
no access-list 2
no access-list 100
no access-list 101
no access-list 102
no route-map SDM_RMAP_1 permit 1
no route-map SDM_RMAP_2 permit 1
en espérant que j'ai mis les commandes de suppression dans l'ordre (sinon, tu ajustes en passant une commande avant l'autre. je n'ai pas mis non plus les exit quand on se trouve dans une arboresence (ex:Router(config-if)). téhoriquement, il n'y en a pas besoins mais je n'ai pas de modèle 800
show run pour vérifier
2)
Construction
a) on vire les résidus de tunnel
Router# clear crypto isakmp
Router# clear crypto sa
Nota il peut être nécessaire de faire tomber également le tunnel au niveau du Fortigate
b)
On reconstruit
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# lifetime 28800
Router(config-isakmp)# authentication pre-share
Router(config)# crypto isakmp key 0123456789 address 86.216.71.24
addresse externe du fortigate
Router(config)# crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# ip route 0.0.0.0 0.0.0.0 83.206.64.192
Router(config)# crypto map MAP_TUNNEL 10 ipsec-isakmp
Router(config-crypto-map)# set security-association life seconds 3600
Router(config-crypto-map)# set transform-set ESP-3DES-SHA
Router(config-crypto-map)# set pfs group2
Router(config-crypto-map)# set peer 86.216.71.24
Router(config-crypto-map)# match address 101
Router(config-crypto-map)# exit
Router(config)# interface FastEthernet4
Router(config-if)# crypto map MAP_TUNNEL
Nota :
pour un tunnel site à site la crypto map ne peut être dynamic (c'est pour les clients vpn)
il ne doit pas avoir dans ton cas de nat inside ou outside. Le réseau 192.168.1 doit être vu comme tel au niveau du fortigate pour que lui puisse ensuite rediriger vers Internet ou transmettre au réseau local
Il faut que les mettre IPSEC et ISAKMP soient conformes au paramétrage du fortigate
Router# Ping
Répondre en pingant 192.168.10.x depuis interface Vlan2 ou depuis un poste local
3) verif
Router# show ip int brief
Router# show crypto isakmp sa
Router# show crypto ipsec sa
Debug :
Router# debug crypto verbose
Router# debug crypto isakmp
Router# term monitor
celà permet souvent de voir les erreurs pour parametres différents notamment
Arrêter le debug
Router# nodebug all (ou undebug all)
Router# term no monitor
Router# write mem pour sauvegarder (ou copy run start)
Router# sh run pour voir config
J'espère que je n'ai rien oublié, mais au moins la config sera plus simple
Au besoin, tu repostes la conf si tu n'y arrives pas. mais essaye les debug
d'abord et le ping, le tunnel doit monter. Ensuite aller sur Internet c'est peut-être un autre problème au travers du fortigate
Kinnan
Messages postés
9
Date d'inscription
jeudi 17 juin 2010
Statut
Membre
Dernière intervention
23 juin 2010
23 juin 2010 à 09:34
23 juin 2010 à 09:34
Bonjour,
Aujourd'hui le VPN est de-nouveau monté j'avais fait une erreur sur les adresses IP.
Dans ce que tu m'indique de faire je voit que tu préfère detruire le tunnel et le remonter est ce vraiment nécessaire étant donnée que le tunnel aujourd'hui actif fonctionne bien
seconde question afin de mieux comprendre :
quelle son les lignes de commande que tu as indiqué au dessus qui permettent ou du moin obligent le réseau cisco a se connecter a l'internet du fortinet
Merci beaucoup
Bonne Journée
Aujourd'hui le VPN est de-nouveau monté j'avais fait une erreur sur les adresses IP.
Dans ce que tu m'indique de faire je voit que tu préfère detruire le tunnel et le remonter est ce vraiment nécessaire étant donnée que le tunnel aujourd'hui actif fonctionne bien
seconde question afin de mieux comprendre :
quelle son les lignes de commande que tu as indiqué au dessus qui permettent ou du moin obligent le réseau cisco a se connecter a l'internet du fortinet
Merci beaucoup
Bonne Journée
plebras
Messages postés
422
Date d'inscription
mercredi 30 septembre 2009
Statut
Membre
Dernière intervention
3 juillet 2019
121
23 juin 2010 à 11:25
23 juin 2010 à 11:25
Bonjour,
Je t'ai indiqué les commandes et supprimer le tunnel c'est pour simplifier et ensuite récréer la configuration et ne pas avoir d'anciennes lignes qui trainent. Un ping suffit à le remonter. La configuration est la configuration standard pour monter un tunnel site à site. Il ne faut pas de nat dans le tunnel - sauf cas particuliers- (et pas de map dynamiques et il faut une authentification sur la cible pour la sécurité - set peer - sinon n'importe quel firewall peut se connecter à ton cisco)
L'access-list 101 permet de dire que tout ce qui vient 192.168.1 va dans le tunnel quel que soit la destination. Il n'y a pas d'exception ou d'autres access-list.
Au niveau de ton Fortigate, il faudra ensuite qu'il puisse rerouter les demandes du réseau 192.168.1 vers Internet ou le réseau local distant 192.168.10.0 . Au niveau du réseau local distant celà va être de base par le tunnel VPN. Il faudra à mon avis, juste autoriser le réseau 192.168.1 (comme le réseau 192.168.10.0 ) à sortir sur Internet et également si besoin prévoir donc du nat en sortie pour ce réseau 192.168.1.0 mais sur le Fortigate (et pas en sortie du Cisco)
Je t'ai indiqué les commandes et supprimer le tunnel c'est pour simplifier et ensuite récréer la configuration et ne pas avoir d'anciennes lignes qui trainent. Un ping suffit à le remonter. La configuration est la configuration standard pour monter un tunnel site à site. Il ne faut pas de nat dans le tunnel - sauf cas particuliers- (et pas de map dynamiques et il faut une authentification sur la cible pour la sécurité - set peer - sinon n'importe quel firewall peut se connecter à ton cisco)
L'access-list 101 permet de dire que tout ce qui vient 192.168.1 va dans le tunnel quel que soit la destination. Il n'y a pas d'exception ou d'autres access-list.
Au niveau de ton Fortigate, il faudra ensuite qu'il puisse rerouter les demandes du réseau 192.168.1 vers Internet ou le réseau local distant 192.168.10.0 . Au niveau du réseau local distant celà va être de base par le tunnel VPN. Il faudra à mon avis, juste autoriser le réseau 192.168.1 (comme le réseau 192.168.10.0 ) à sortir sur Internet et également si besoin prévoir donc du nat en sortie pour ce réseau 192.168.1.0 mais sur le Fortigate (et pas en sortie du Cisco)
