Cisco cp express et vpn

mon pc est connecté au routeur via un commutateur.

alors où est le problème? tu pourras toujours y acceder depuis ton LAN et aussi avec le cable console.
Si tu veux configurer ça en CLI, utilise le cable console et un émulateur de terminal comme Putty par exemple

j'ai pensé à l'option du cable console mais j'ai un laptop HP 6730s ;donc il n'y pas le port COM. je veux comprendre le message qui a été affiché. pourquoi est ce qu'il est affiché? pourquoi est ce que je ne pourrai plus exécuter Cisco CP Express lorsque que le firewall sera activé à l'interface Fa0/4?

tu as mis un firewall et il ne permet en entrée sur le WAN que les réponses au traffic qui traverse le routeur donc CP express c'est foutu sur l'interface WAN
Si pas de cable console alors configure l'accès en ssh sur ta patte LAN depuis CP express puis
connecte toi en ssh avec Putty et tu pourras configurer ton VPN et voir ce qu'il a fait pour le firewall

je comprend ce tu dis. en fait je suis un stagiaire dans une entreprise et ce n'est pas moi qui ai configuré le routeur. et mon projet est de configurer un VPN entre ce routeur et les autres routeurs des agences de l'entreprise. et pour cela j'ai voulu voir d'abord la configuration actuelle du routeur. et lorsque j'ai lancé Cisco CP Express je me suis dis qu'il y aura un onglet pour la ligne de commandes mais hélas il n'y en avait pas. et lorsque j'ai voulu passer par le Firewall pour la configuration du VPN, ce message est apparu. soit! puis-je aussi utiliser Teraterm pour l'accès ? et pourquoi SSH pourquoi pas Telnet?

il faut jouer avec le MTU et le TCP MSS mais avant de faire ça essaye d'abord de maquetter un VPN site-site avec deux Cisco pour comprendre la syntaxe puis tu mettras ton firewall par dessus et enfin quand ce sera ok alors tu feras la même chose avec un mikrotik à l'autre bout et puis finalement on s'occupera de la fragmentation éventuelle.

problème de route statique sur les machines distantes ?

problème de firewall sur les postes ?
c'est difficile à dire comme ça, il faudrait plus d'info comme par exemple la config des deux routeurs. la config ip des machines qui vont bien et de celles où le ping ne fonctionne pas

voilà la config du routeur Cisco

#crypto isakmp policy 1
encr 3des hash md5 auth pre-share group 2

#crypto isakmp key "password" address @publikrouteurmikrotik

#ip access-list extended "DK-TRAFFIC"
permit ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255

#crypto ipsec transform-set "DK" esp-3des esp-md5-hmac

#crypto map DKMAP 10 ipsec-isakmp
set peer @publikrouteurmikrotik
set transform-set DK
match address DK-TRAFFIC
set pfs group2

#interface fa4
ip address @publikrouteurcisco mask
ip nat outside
ip virtual-reassembly
crypto map DKMAP

#interface vlan1
ip address @privéerouteurcisco mask
ip nat inside
ip virtual-reassembly

#access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
#access-list 101 permit ip 192.168.0.0 0.0.0.255 ANY

#ip nat inside source list 101 interface Fa4 overload

voilà celui de Mikrotik

>IP firewall nat add chain=srcnat src-address=192.168.4.0/24 dst-address=192.168.0.0/24 action=accept

>ip ipsec peer add address=@publikrouteurCisco secret="password" enc-algorithm=3des

>ip ipsec proposal set "IPSec" enc-algorithm=3des auth-algorithm=md5

>ip ipsec policy add src-address=192.168.4.0/24 Dst-address=192.168.0.0/24 action=encrypt tunnel=yes sa-src-address=@publikrouteurmikrotik sa-dst-address=@publikrouteurCisco proposal="IPSec"

UN détail:l'immeuble de la direction générale possède deux routeurs: un Cisco(où j'ai configuré le VPN ) pour la direction et un Mikrotik pour l'agence qui est directement en dessous. le mikrotik possède aussi une adresse publique comme le Cisco mais ils sont dans le meme LAN (la 192.168.0.0/24). la passerelle de la mikrotik est 192.168.0.3 alors que celle du Cisco est 192.168.0.4.
quand je suis à l'agence distante je ne peux pas pinguer les machines qui sont derrière la 192.168.0.3 mais je pingue les machines (routeur et serveur seulement ) qui sont derrière la 192.168.0.4 c'est à dire la 192.168.0.4 ET 192.168.0.1
ET quand je suis à la direction générale je ne pingue que le routeur et le serveur (les @ privées évidemment) de l'agence distante.
j'espère j'ai donné suffisamment de détails .

Attends,
tu as le même réseau ip des deux côtés ?
ça ne peut pas fonctionner.
Du moins pas en routage.

je ne vois pas de quoi tu parles. j'ai la 192.168.0.0/24 à la direction et la 192.168.4.0/24 à l'agence distante. ???????

Est ce que les machines distantes se pinguent entre elles ?