nocoz
Messages postés7Date d'inscriptionmardi 7 août 2012StatutMembreDernière intervention10 août 2012
-
Modifié par nocoz le 7/08/2012 à 18:17
nocoz
Messages postés7Date d'inscriptionmardi 7 août 2012StatutMembreDernière intervention10 août 2012
-
9 août 2012 à 16:17
Bonjour,
Je me tourne vers vous car je suis désespéré... Débutant dans la configuration de routeurs, j'ai récemment configuré un tunnel VPN entre deux sites (A et B) au moyen de routeurs modem Cisco SR520-ADSL-K9. Il ya quelques jours, le routeur du site B (site secondaire) est tombé en "panne" : plus aucune diode des ports Ethernet 0,1,2 et 3 ne s'allumait, sauf lors du démarrage de l'appareil, puis soudainement plus rien alors que la connexion ADSL semblait opérer correctement.
J'ai donc rammener le routeur chez moi pour effectuer des tests : j'ai commencé par réinitialiser le routeur en suivant les instructions fournis par Cisco ici https://www.cisco.com/c/en/us/obsolete/routers/cisco-sr-500-series-secure-routers.html la réinitialisation semblait avoir fonctionner, les ports ethernet fonctionnent mais impossible d'utiliser le logiciel CCA (Cisco Configuration Assistant) pour reparamétrer l'appareil (en me connectant sur l'adresse par défaut 192.168.75.1 et en ayant défini l'adresse IP de ma machine sur 192.168.75.50).
Autant vous le dire par avance, je ne suis pas très au point sur l'utilisation des commandes ios (d'où l'utilisation de CCA qui me convenait amplement).
Je peux toutefois me connecter sur le routeur avec un terminal série. Il me donne les infos suivantes pour lorsque je fais un show startup-config :
Router#show startup-config
Using 4812 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SR520
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$05di$y2ycn34NGfsSTR1kwa2GO0
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2778606820
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2778606820
revocation-check none
rsakeypair TP-self-signed-2778606820
!
!
crypto pki certificate chain TP-self-signed-2778606820
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.75.1 192.168.75.10
!
ip dhcp pool inside
import all
network 192.168.75.0 255.255.255.0
default-router 192.168.75.1
!
!
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$BowA$Cv/en/m3ERL4MhaSCO6Ba/
!
!
!
archive
log config
hidekeys
!
!
!
class-map type inspect match-any SDM-Voice-permit
match protocol h323
match protocol skinny
match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-protocol-http
match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-cls-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect sdm-cls-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect SDM-Voice-permit
pass
class class-default
pass
policy-map type inspect sdm-inspect-voip-in
class type inspect SDM-Voice-permit
pass
class class-default
drop
policy-map type inspect sdm-permit
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
zone-pair security sdm-zp-out-in source out-zone destination in-zone
service-policy type inspect sdm-inspect-voip-in
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description WAN via ADSL
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
switchport access vlan 75
!
interface FastEthernet1
switchport access vlan 75
!
interface FastEthernet2
switchport access vlan 75
!
interface FastEthernet3
switchport access vlan 75
!
interface Vlan1
no ip address
shutdown
!
interface Vlan75
description $FW_INSIDE$
ip address 192.168.75.1 255.255.255.0
ip nat inside
ip virtual-reassembly
zone-member security in-zone
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip nat outside
ip virtual-reassembly
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname cisco
ppp chap password 0 cisco
ppp pap sent-username cisco password 0 cisco
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.75.2 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.75.2 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.75.2 1720 interface Dialer0 1720
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.75.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 10.1.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
!
!
!
!
!
control-plane
!
banner login ^CSR520 Base Config - MFG 1.0 ^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
-------------------------------------------------------------------------------------------------
Puis les infos suivantes lorsque je fais un "show running-config"
Router#show running-config
Building configuration...
Current configuration : 814 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
no ip address
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login
!
scheduler max-task-time 5000
end
-------------------------------------------------------------------------------------------------
Vous trouverez également ci-après ce que je vois lorsque je fais un "show configuration"
Router#show configuration
Using 4812 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SR520
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$05di$y2ycn34NGfsSTR1kwa2GO0
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2778606820
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2778606820
revocation-check none
rsakeypair TP-self-signed-2778606820
!
!
crypto pki certificate chain TP-self-signed-2778606820
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.75.1 192.168.75.10
!
ip dhcp pool inside
import all
network 192.168.75.0 255.255.255.0
default-router 192.168.75.1
!
!
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$BowA$Cv/en/m3ERL4MhaSCO6Ba/
!
!
!
archive
log config
hidekeys
!
!
!
class-map type inspect match-any SDM-Voice-permit
match protocol h323
match protocol skinny
match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-protocol-http
match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-cls-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect sdm-cls-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect SDM-Voice-permit
pass
class class-default
pass
policy-map type inspect sdm-inspect-voip-in
class type inspect SDM-Voice-permit
pass
class class-default
drop
policy-map type inspect sdm-permit
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
zone-pair security sdm-zp-out-in source out-zone destination in-zone
service-policy type inspect sdm-inspect-voip-in
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description WAN via ADSL
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
switchport access vlan 75
!
interface FastEthernet1
switchport access vlan 75
!
interface FastEthernet2
switchport access vlan 75
!
interface FastEthernet3
switchport access vlan 75
!
interface Vlan1
no ip address
shutdown
!
interface Vlan75
description $FW_INSIDE$
ip address 192.168.75.1 255.255.255.0
ip nat inside
ip virtual-reassembly
zone-member security in-zone
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip nat outside
ip virtual-reassembly
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname cisco
ppp chap password 0 cisco
ppp pap sent-username cisco password 0 cisco
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.75.2 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.75.2 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.75.2 1720 interface Dialer0 1720
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.75.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 10.1.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
!
!
!
!
!
control-plane
!
banner login ^CSR520 Base Config - MFG 1.0 ^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
L'idée serait donc (mais je me trompe peut-être) de faire en sorte que la config de démarrage soit la config de fonctionnement ? autrement dit de copier le startup-config vers le running-config afin que je puisse utiliser le CCA ?
Auriez-vous une suggestion ? Vous remerciant par avance, car je suis vraiment dans la panade... le site de production B n'ayant plus aucune liaison avec le site A
nocoz
Messages postés7Date d'inscriptionmardi 7 août 2012StatutMembreDernière intervention10 août 2012 7 août 2012 à 18:55
Je viens de tester la commande copy startup-config running-config
en faisant cela, j'ai pu avoir une config accessible via 192.168.1.75 et le logiciel CCA.
Mais dès que je redémarre le routeur, je perds tout. Y'a t'il un moyen de le faire garder sa conf ?
brupala
Messages postés109448Date d'inscriptionlundi 16 juillet 2001StatutMembreDernière intervention25 avril 202413 620 Modifié par brupala le 7/08/2012 à 19:34
Salut,
je pense que tu as oublié de remettre le config-register à sa bonne valeur qu'il est à ignore nvram config
essaie de le remettre à 0x2102, ça devrait le faire ou 0x0 ?
vérifie avant quelle est la valeur par défaut sur le routeur qui fonctionne.
Tu peux voir la valeur par un show ver(sion)
nocoz
Messages postés7Date d'inscriptionmardi 7 août 2012StatutMembreDernière intervention10 août 2012 9 août 2012 à 15:58
Tout simplement ... et moi qui cherchait plus loin ^^
Pour le SR520 c'est 0x2102 et ça à marcher impeccable, reste que j'ai maintenant un soucis sur ma liaison VPN (j'ai l'accès à internet, je pense avoir bien configurer la partie EZ VPN mais impossible de joindre une machine du site A à partir du site B.
En tout cas, un grand grand merci à toi d'avoir pris le temps de me répondre !!
Je vais faire un post dédié
brupala
Messages postés109448Date d'inscriptionlundi 16 juillet 2001StatutMembreDernière intervention25 avril 202413 620 9 août 2012 à 16:08
Problème de routage statique sans doute, oui, merci de poser la question une nouvelle, je mets celle ci en résolu.
nocoz
Messages postés7Date d'inscriptionmardi 7 août 2012StatutMembreDernière intervention10 août 2012 9 août 2012 à 16:17