Sujet Précédent Sujet Suivant

Explication d'une configuration du VPN

Fermé
rothen - 2 août 2012 à 16:54
brupala Messages postés 109456 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 - 3 août 2012 à 00:24
Bonjour, j'aimerais avoir les explications des differentes lignes de cette configuration...

ROUTER#show running-config
Building configuration...

Current configuration : 4312 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN_CONCENTRATOR
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$XDZg$GcQP/WZFhphovEO8uyZu10
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network RANTANPLAN local
!
aaa session-id common
ip cef
!
!
!
!
ip domain name explication.ci
ip name-server 40.xxx.xxx.xxx
ip name-server 40.xxx.xxx.xxx
!
!
crypto pki trustpoint TP-self-signed-2601485973
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2601485973
revocation-check none
rsakeypair TP-self-signed-2601485973
!
!
crypto pki certificate chain TP-self-signed-2601485973
certificate self-signed 01
3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 xxxxxxxx
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D xxxxxxxx
69666963 6174652D 32363031 34383539 3733301E 170D3132 30323137 xxxxxxxx
35325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 xxxxxxxx
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 xxxxxxxx
38353937 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 xxxxxxxx
8100A5FB 7BC24387 692A018E A567DDB3 42462651 D260692F 8FB6529F xxxxxxxx
8D942A63 28CA92B4 234E0907 59CAA393 A4D871D1 859645E2 D180DE70 xxxxxxxx
17CFE7E4 B6D17615 53D19767 DF926328 545BB5D1 6A53827F D43CA6B3 xxxxxxxx
6AB2BD20 558A034C 05D64E2D 55B42E23 CFEC0CE3 7030A64B C36CEB03 xxxxxxxx
F7B30203 010001A3 76307430 0F060355 1D130101 FF040530 030101FF xxxxxxxx
551D1104 1A301882 16554E49 5741585F 524F5554 45522E61 6C696E6B xxxxxxxx
1F060355 1D230418 30168014 D97DCE17 44D21060 E42901B3 C74D2635 xxxxxxxx
301D0603 551D0E04 160414D9 7DCE1744 D21060E4 2901B3C7 4D263558 xxxxxxxx
0D06092A 864886F7 0D010104 05000381 81006F9F 8B733004 BA70005F xxxxxxxx
A6EE810D 60BFE042 759914A2 E962D5E1 EA668B36 26744CF1 E4531790 xxxxxxxx
9585FBF5 BB52A8B8 3159BCF1 268F0297 2824EE28 8F92560F 11C93F19 xxxxxxxx
E681CFCD 4F2DBBC8 B1C51B47 2E212855 506BB35D E13A113E 26B8BA1B xxxxxxxx
FCA69CC4 BAFFA1E9 2882BBE4 8CB07C69 AA1B
quit


username Dupont password 0 James/Bond-007
archive
log config
hidekeys
!
!
!
!
crypto isakmp policy 1 choix des paramètres de cryptographie ISAKMP
encr 3des
authentication pre-share choix des paramétres d'authentification
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 90

!
crypto isakmp client configuration group jupiter
key xxxxxxxx
acl 110
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map jupiter-users 1
set transform-set transform-1
reverse-route
!
!
crypto map jupiter-users client authentication list userlist
crypto map jupiter-users isakmp authorization list jupiter
crypto map jupiter-users client configuration address respond
crypto map jupiter-users 1 ipsec-isakmp dynamic jupiter-users
!
!
!
interface Loopback0
ip address 41.xxx.xxx.XXX 255.255.255.xxx
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/0
description VERS FIREWALL ASTARO
ip address 192.xxx.xxx.xxx 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description VERS INTERNET explication CI
ip address 41.xxx.xxx.XXX 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map jupiter-users
!
ip local pool dynpool 192.xxx.xxx.xxx 192.xxx.xxx.xxx
ip route 0.0.0.0 0.0.0.0 41.xxx.xxx.xxx
ip route 41.xxx.xxx.xxx 255.255.255.252 192.168.100.2
ip route 192.xxx.xxx.xxx 255.255.255.0 192.xxx.xxx.xxx

!
no ip http server
ip http secure-server
ip nat inside source static 192.xxx.xxx.xxx 41.xxx.xxx.xxx
!
access-list 110 permit ip 192.xxx.xxx.xxx 0.0.0.255 any
access-list 110 permit ip any 192.xxx.xxx.xxx 0.0.0.255
snmp-server community uniwax RO
no cdp run
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
transport input all
!
scheduler allocate 20000 1000
end
A voir également:

1 réponse

Réponse 1 / 1
brupala Messages postés 109456 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
Modifié par brupala le 2/08/2012 à 18:17
Salut,
je ne vois pas de vpn de configuré là dedans...
si tu pouvais te limiter à deux ou trois lignes, ce serait plus sympa, sinon on va te demander d'aller t'incrire à un cours cisco ou bien d'aller étudier ça toi même ici:
https://www.cisco.com/c/en/us/obsolete/ios-nx-os-software/cisco-ios-software-releases-12-4-mainline.html
et ... Voili Voilou Voila !
0
Shaktale
2 août 2012 à 18:47
Si, il y a de l'IPSEC de configuré dessus. Il existe une crypto isakmp policy (Phase1 ou Main Mode) qui est incluse dans une crypto-map (phase2 ou Quick Mode) qui est elle même associé à une interface physique, en l'occurrence Internet.

Je dirais que c'est un VPN pour des accès nomade et non pour du Site-to-Site avec une authentification en local, ce qui n'est pas tip-top.
0
brupala Messages postés 109456 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
Modifié par brupala le 2/08/2012 à 20:06
de l'ipsec oui, mais ce n'est pas que ça qui fait un vpn,
ça permettrait ce crypter une connexion, mais aucune n'est définie il me semble.,
ah si pardon,
le groupe jupiter et l' access-list 110 avec des adresses ip privées, je suppose,
un vpn local quoi.
un road warrior à la façon de ceci
j'avais pensé à un vrai avec des tunnels.
une chose zarebi aussi:
un nat outside sur la loopback 0 ?
0
Shaktale
2 août 2012 à 21:32
Si l'IPSEC n'est pas suffisant pour mériter la dénomination VPN c'est que j'ai raté quelques trucs ces 10 dernières années. Comme je l'ai dit, ça ressemble à une config pour des accès nomades.

Par contre tu as raison pour la loopback, "ip nat outside" ne sert strictement à rien. D'ailleurs avoir une LoopBack en IP Publique n'est pas logique (c'est malin de dissimuler le masque d'une loopback ;-)) dans ce type de configuration et surtout ça ne sert à rien mis à part gaspiller une IP.
0
brupala Messages postés 109456 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
3 août 2012 à 00:24
Comme je l'ai dit, ça ressemble à une config pour des accès nomades.

oui tout à fait tu l'as vu bien mieux que moi, je ne suis pas habitué autour de moi aux accès nomades sur un routeur,
mais par contre on peut avoir de l'ipsec dans le principe sans vpn, juste une connexion ip cryptée, dans le principe, ce n'est pas tout à fait un vpn, vu que le n indique network pas connexion, mais il est vrai que relier 2 machines, c'est déjà un réseau.
Effectivement,
il faut être très riche pour mettre une adresse ip publique sur une loopback alors que l'on a des ip privées quasiment partout ailleurs.
PS,
pour les autres: le masque d'une loopback est toujours /32 (255.255.255.255), sauf à vouloir vraiment gaspiller des adresses.
0

Discussions similaires

fin du film chambre 1408
el-emixam -
Chref -

72 réponses
Paris multiple : explications de 2/3, 3/4, 2/4, 2/5, etc.
florent.c -
Aide -

85 réponses
question sur the descent part 2
totomann -
Dejahabillais -

7 réponses
Terminer configuration compte sur Play store
Gaelle62 -
jag72 -

1 réponse