Pb acl sur routeur
lablem
-
brupala Messages postés 115336 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 115336 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
j'ai un petit soucis avec un tunnel Ipsec, il fonctionne trés bien mais je voudrais maintenant faire du filtrage sur les accés, le tunnel est ouvert entre les 2 hosts:
Host dans le vlan1 10.1.x & host 10.55.X.X distant,
si quelqu'un peut m'aider merci
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
!
crypto isakmp key ************** address 90.83.***.**
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto map valreas 10 ipsec-isakmp
set peer 90.83.***.**
set transform-set ESP-3DES-MD5
match address VPN_VALREAS
!
interface Vlan77
ip address 82.113.**.** 255.255.255.252
crypto map valreas
!
ip route 10.55.*.*** 255.255.255.255 90.83.***.**
ip route 90.83.***.** 255.255.255.255 82.113.**.**
!
ip access-list extended VPN_VALREAS
permit ip host 10.1.*.** host 10.55.*.***
j'ai un petit soucis avec un tunnel Ipsec, il fonctionne trés bien mais je voudrais maintenant faire du filtrage sur les accés, le tunnel est ouvert entre les 2 hosts:
Host dans le vlan1 10.1.x & host 10.55.X.X distant,
si quelqu'un peut m'aider merci
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
!
crypto isakmp key ************** address 90.83.***.**
!
!
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto map valreas 10 ipsec-isakmp
set peer 90.83.***.**
set transform-set ESP-3DES-MD5
match address VPN_VALREAS
!
interface Vlan77
ip address 82.113.**.** 255.255.255.252
crypto map valreas
!
ip route 10.55.*.*** 255.255.255.255 90.83.***.**
ip route 90.83.***.** 255.255.255.255 82.113.**.**
!
ip access-list extended VPN_VALREAS
permit ip host 10.1.*.** host 10.55.*.***
A voir également:
- Pb acl sur routeur
- Bouton du routeur sur pc - Guide
- Routeur alljoyn - Guide
- Routeur - Astuces et Solutions
- Routeur ryoko avis ✓ - Forum Opérateurs & Réseaux mobiles
- Remplacer bbox par routeur ✓ - Forum Réseau
3 réponses
En fait ton problème c'est que le reste du traffic en les deux réseau passe, mais en non crypté parceque la règle ipsec ne crypte que le traffic entre les deux serveurs.
il faudrait peut-tre que tu passes par une vraie interface tunnel où tu pourrais filtrer le plus finement le traffic:
https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html
ensuite tu mets ton access-list autorisant uniquement tes deux serveurs sur l'interface tunnel en out.
il faudrait peut-tre que tu passes par une vraie interface tunnel où tu pourrais filtrer le plus finement le traffic:
https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html
ensuite tu mets ton access-list autorisant uniquement tes deux serveurs sur l'interface tunnel en out.
permit tcp host 10.55.*.* host 10.1.*.* established
permit icmp host 10.55.*.* host 10.1.*.* echo-reply
A mettre en in de l'interface de 10.1.0.0
J'ai écrit les acl comme sur cisco y'a peut être des modifs a faire
Toute les connexion tcp initialisé par 10.1.*.* passerons pas celle initialisé par 10.55
Le permit icmp est pour le ping.
Si t'as besoin d'ouvrir des ports udp:
permit udp host 10.55.*.* host 10.1.*.* eq "numéro du port sur le serveur 10.1.*.*"
Pour l'interface du réseau 10.55.*.*
permit ip host 10.1.*.* host 10.55.*.*
permit icmp host 10.55.*.* host 10.1.*.* echo-reply
A mettre en in de l'interface de 10.1.0.0
J'ai écrit les acl comme sur cisco y'a peut être des modifs a faire
Toute les connexion tcp initialisé par 10.1.*.* passerons pas celle initialisé par 10.55
Le permit icmp est pour le ping.
Si t'as besoin d'ouvrir des ports udp:
permit udp host 10.55.*.* host 10.1.*.* eq "numéro du port sur le serveur 10.1.*.*"
Pour l'interface du réseau 10.55.*.*
permit ip host 10.1.*.* host 10.55.*.*
sachant que 10.1.X doit avoir accés à tout 10.55.X et que 10.55.X doit pouvoir pinguer et faire du SSH sur 10.1.X
cdlt
permit ip host 10.1.*.** host 10.55.*.***
pourquoi permit ip host bidule ?
pourquoi pas tout le subnet 10.1.0.0/16 vers 10.55.0.0/16 ?