Cisco cp express et vpn
sarusman
Messages postés
189
Statut
Membre
-
ciscowarrior Messages postés 810 Statut Membre -
ciscowarrior Messages postés 810 Statut Membre -
bonjour à tous!
j'ai un routeur Cisco 881 IOS version:15.1(1)T1. il utilise le logiciel de configuration graphique Cisco CP Express. j'aimerai configurer un VPN de site à site sur ce routeur le problème est que je suis en interface graphique et lorsque je clique sur l'onglet "FIREWALL" pour la configuration un message d'allerte s'affiche en disant:
you cannot launch Cisco CP Express from the following interfaces after enabling basic Firewall
fastEthernet 4
ce qui veut en francais:vous ne pouvez pas exécuter Cisco CP Express à partir des interfaces suivantes après l'activation du pare-feu de base
fastEthernet4
et fastEthernet4 est mon interface WAN.
je suis habitué au ligne de commandes. mais je n'arrive pas à y accéder car j'utilise Windows 7
je ne comprends pas bien ce message. donner moi l'impact que ça aura si j'accepte de faire la configuration du pare-feu
et dites moi svp comment procéder pour pouvoir accéder à l'étape de la configuration de mon vpn
cordialement
j'ai un routeur Cisco 881 IOS version:15.1(1)T1. il utilise le logiciel de configuration graphique Cisco CP Express. j'aimerai configurer un VPN de site à site sur ce routeur le problème est que je suis en interface graphique et lorsque je clique sur l'onglet "FIREWALL" pour la configuration un message d'allerte s'affiche en disant:
you cannot launch Cisco CP Express from the following interfaces after enabling basic Firewall
fastEthernet 4
ce qui veut en francais:vous ne pouvez pas exécuter Cisco CP Express à partir des interfaces suivantes après l'activation du pare-feu de base
fastEthernet4
et fastEthernet4 est mon interface WAN.
je suis habitué au ligne de commandes. mais je n'arrive pas à y accéder car j'utilise Windows 7
je ne comprends pas bien ce message. donner moi l'impact que ça aura si j'accepte de faire la configuration du pare-feu
et dites moi svp comment procéder pour pouvoir accéder à l'étape de la configuration de mon vpn
cordialement
A voir également:
- Cisco cp express et vpn
- Nero express - Télécharger - Gravure
- Express zip - Télécharger - Compression & Décompression
- Photo express - Télécharger - Retouche d'image
- Vpn comment ça marche - Guide
- Express burn - Télécharger - Gravure
4 réponses
bonjour,
tu as dit:"il faudra surtout essayer de ne pas fragmenter le trafic qui utilise ton tunnel IPSec" . A vrai dire je ne sais pas comment le faire,comment y procéder quoi. quelles commandes utilisées pour le faire. j'aimerai que tu m'aides un peu dans la syntaxe
merci bien
tu as dit:"il faudra surtout essayer de ne pas fragmenter le trafic qui utilise ton tunnel IPSec" . A vrai dire je ne sais pas comment le faire,comment y procéder quoi. quelles commandes utilisées pour le faire. j'aimerai que tu m'aides un peu dans la syntaxe
merci bien
il faut jouer avec le MTU et le TCP MSS mais avant de faire ça essaye d'abord de maquetter un VPN site-site avec deux Cisco pour comprendre la syntaxe puis tu mettras ton firewall par dessus et enfin quand ce sera ok alors tu feras la même chose avec un mikrotik à l'autre bout et puis finalement on s'occupera de la fragmentation éventuelle.
Je viens de terminer la configuration du VPN entre le Cisco et le Mikrotik. mais il ya un problème:
lorsque je fais le ping en étant sur mon poste (qui est à la direction générale) sur l'@ip privée du serveur distant et sur sa passerelle( qui sont respectivement 192.168.4.2 ET 192.168.4.1)ça passe mais lorsque je fais le ping sur l'@ip privée d'une machine quelconque de ce site ça ne passe pas. et le meme scénario se reproduit lorsque je suis sur ce site et que je fais le ping à la direction générale.
pour résumer il n'y a que les @ip privées des routeurs et des serveurs qui passent.
qu'est ce qui peut etre à l'origine de cela?
pourquoi les @privées des autres machines ne passent pas et pourtant dans les configurations je n'ai mis que les @ réseaux ?????????
lorsque je fais le ping en étant sur mon poste (qui est à la direction générale) sur l'@ip privée du serveur distant et sur sa passerelle( qui sont respectivement 192.168.4.2 ET 192.168.4.1)ça passe mais lorsque je fais le ping sur l'@ip privée d'une machine quelconque de ce site ça ne passe pas. et le meme scénario se reproduit lorsque je suis sur ce site et que je fais le ping à la direction générale.
pour résumer il n'y a que les @ip privées des routeurs et des serveurs qui passent.
qu'est ce qui peut etre à l'origine de cela?
pourquoi les @privées des autres machines ne passent pas et pourtant dans les configurations je n'ai mis que les @ réseaux ?????????
voilà la config du routeur Cisco
#crypto isakmp policy 1
encr 3des hash md5 auth pre-share group 2
#crypto isakmp key "password" address @publikrouteurmikrotik
#ip access-list extended "DK-TRAFFIC"
permit ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
#crypto ipsec transform-set "DK" esp-3des esp-md5-hmac
#crypto map DKMAP 10 ipsec-isakmp
set peer @publikrouteurmikrotik
set transform-set DK
match address DK-TRAFFIC
set pfs group2
#interface fa4
ip address @publikrouteurcisco mask
ip nat outside
ip virtual-reassembly
crypto map DKMAP
#interface vlan1
ip address @privéerouteurcisco mask
ip nat inside
ip virtual-reassembly
#access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
#access-list 101 permit ip 192.168.0.0 0.0.0.255 ANY
#ip nat inside source list 101 interface Fa4 overload
voilà celui de Mikrotik
>IP firewall nat add chain=srcnat src-address=192.168.4.0/24 dst-address=192.168.0.0/24 action=accept
>ip ipsec peer add address=@publikrouteurCisco secret="password" enc-algorithm=3des
>ip ipsec proposal set "IPSec" enc-algorithm=3des auth-algorithm=md5
>ip ipsec policy add src-address=192.168.4.0/24 Dst-address=192.168.0.0/24 action=encrypt tunnel=yes sa-src-address=@publikrouteurmikrotik sa-dst-address=@publikrouteurCisco proposal="IPSec"
UN détail:l'immeuble de la direction générale possède deux routeurs: un Cisco(où j'ai configuré le VPN ) pour la direction et un Mikrotik pour l'agence qui est directement en dessous. le mikrotik possède aussi une adresse publique comme le Cisco mais ils sont dans le meme LAN (la 192.168.0.0/24). la passerelle de la mikrotik est 192.168.0.3 alors que celle du Cisco est 192.168.0.4.
quand je suis à l'agence distante je ne peux pas pinguer les machines qui sont derrière la 192.168.0.3 mais je pingue les machines (routeur et serveur seulement ) qui sont derrière la 192.168.0.4 c'est à dire la 192.168.0.4 ET 192.168.0.1
ET quand je suis à la direction générale je ne pingue que le routeur et le serveur (les @ privées évidemment) de l'agence distante.
j'espère j'ai donné suffisamment de détails .
#crypto isakmp policy 1
encr 3des hash md5 auth pre-share group 2
#crypto isakmp key "password" address @publikrouteurmikrotik
#ip access-list extended "DK-TRAFFIC"
permit ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
#crypto ipsec transform-set "DK" esp-3des esp-md5-hmac
#crypto map DKMAP 10 ipsec-isakmp
set peer @publikrouteurmikrotik
set transform-set DK
match address DK-TRAFFIC
set pfs group2
#interface fa4
ip address @publikrouteurcisco mask
ip nat outside
ip virtual-reassembly
crypto map DKMAP
#interface vlan1
ip address @privéerouteurcisco mask
ip nat inside
ip virtual-reassembly
#access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
#access-list 101 permit ip 192.168.0.0 0.0.0.255 ANY
#ip nat inside source list 101 interface Fa4 overload
voilà celui de Mikrotik
>IP firewall nat add chain=srcnat src-address=192.168.4.0/24 dst-address=192.168.0.0/24 action=accept
>ip ipsec peer add address=@publikrouteurCisco secret="password" enc-algorithm=3des
>ip ipsec proposal set "IPSec" enc-algorithm=3des auth-algorithm=md5
>ip ipsec policy add src-address=192.168.4.0/24 Dst-address=192.168.0.0/24 action=encrypt tunnel=yes sa-src-address=@publikrouteurmikrotik sa-dst-address=@publikrouteurCisco proposal="IPSec"
UN détail:l'immeuble de la direction générale possède deux routeurs: un Cisco(où j'ai configuré le VPN ) pour la direction et un Mikrotik pour l'agence qui est directement en dessous. le mikrotik possède aussi une adresse publique comme le Cisco mais ils sont dans le meme LAN (la 192.168.0.0/24). la passerelle de la mikrotik est 192.168.0.3 alors que celle du Cisco est 192.168.0.4.
quand je suis à l'agence distante je ne peux pas pinguer les machines qui sont derrière la 192.168.0.3 mais je pingue les machines (routeur et serveur seulement ) qui sont derrière la 192.168.0.4 c'est à dire la 192.168.0.4 ET 192.168.0.1
ET quand je suis à la direction générale je ne pingue que le routeur et le serveur (les @ privées évidemment) de l'agence distante.
j'espère j'ai donné suffisamment de détails .
Si tu veux configurer ça en CLI, utilise le cable console et un émulateur de terminal comme Putty par exemple
Si pas de cable console alors configure l'accès en ssh sur ta patte LAN depuis CP express puis
connecte toi en ssh avec Putty et tu pourras configurer ton VPN et voir ce qu'il a fait pour le firewall