VPN IPSec sur routeur Cisco SA520 Fermé

Question

Bonjour,
 
J'aimerais mettre en place un vpn afin de permettre aux collaborateurs nomad de ce connecter à notre réseau depuis l'exterieur.
 
Notre routeur est un cisco SA520
 
J'ai éssayé différentes configurations sans succès...
 
Voici la configuration VPN actuelle :

https://community.cisco.com/t5/technology-and-support/ct-p/technology-support

https://community.cisco.com/t5/technology-and-support/ct-p/technology-support

https://community.cisco.com/t5/technology-and-support/ct-p/technology-support

J'ai créé mes utilisateurs IPSec, j'arrive à me connecter à distance, mais je n'ai pas accès au réseau...

https://community.cisco.com/t5/technology-and-support/ct-p/technology-support

Impossible d'accèder aux partages réseaux, impossible de pinger.
 
Quelqu'un a une idée?
 
Merci bien.

xingxung · Answer

tu veux  avoir un VPN client-to-site ou site-to-site ?

d'après ce que tu dis tu cherches à avoir un vpn client-to-site puisque tu parles d'utilisateur nomade qui peut se trouver n'importe ou,dans ce cas il te faut configurer ipsec dans le routeur,et avoir  le logiciel VPNCLIENT chez l'utilisateur qui veut se connecter au routeur via le VPN .(à vérifier).

dans le cas du VPN site-to-site tu configures les passerelles , et les utilisateurs ne "sentent" pas la présence du VPN puisque se sont les routeurs qui font le travail.

Geofruit · Answer

Oui, je veux créer un VPN client-to-site, j'ai essayer plusieurs configurations avec differents clients VPN (QuickVPN, Shrew Soft VPN et Cisco VPN Client qui est fourni avec le routeur)...

Toujours impossible de se connecter, pourtant je ping bien mon routeur depuis l'extérieur

Voici la configuration actuelle : 

http://hpics.li/778c46a

Les logs coté routeur : 


Mon May 06 16:35:56 2013 (GMT +0200): [Cisco] [IKE] ERROR:  Could not find configuration for ***.***.***.***[62108]
Mon May 06 16:36:01 2013 (GMT +0200): [Cisco] [IKE] ERROR:  Could not find configuration for ***.***.***.***[62108]
Mon May 06 16:36:06 2013 (GMT +0200): [Cisco] [IKE] ERROR:  Could not find configuration for ***.***.***.***[62108]
Mon May 06 16:36:11 2013 (GMT +0200): [Cisco] [IKE] ERROR:  Could not find configuration for ***.***.***.***[62108]



Les logs coté client :


Cisco Systems VPN Client Version 5.0.07.0290
Copyright (C) 1998-2010 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 6.1.7601 Service Pack 1

1      16:35:56.857  05/06/13  Sev=Info/4	CM/0x63100002
Begin connection process

2      16:35:56.861  05/06/13  Sev=Info/4	CM/0x63100004
Establish secure connection

3      16:35:56.861  05/06/13  Sev=Info/4	CM/0x63100024
Attempt connection with server "vpn.ma_boite.fr"

4      16:35:56.863  05/06/13  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with ***.***.***.***.

5      16:35:56.865  05/06/13  Sev=Info/4	IKE/0x63000001
Starting IKE Phase 1 Negotiation

6      16:35:56.867  05/06/13  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to ***.***.***.***

7      16:35:57.009  05/06/13  Sev=Info/4	IPSEC/0x63700008
IPSec driver successfully started

8      16:35:57.009  05/06/13  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

9      16:36:02.080  05/06/13  Sev=Info/4	IKE/0x63000021
Retransmitting last packet!

10     16:36:02.080  05/06/13  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG (Retransmission) to ***.***.***.***

11     16:36:07.149  05/06/13  Sev=Info/4	IKE/0x63000021
Retransmitting last packet!

12     16:36:07.149  05/06/13  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG (Retransmission) to ***.***.***.***

13     16:36:12.219  05/06/13  Sev=Info/4	IKE/0x63000021
Retransmitting last packet!

14     16:36:12.219  05/06/13  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG (Retransmission) to ***.***.***.***

15     16:36:17.291  05/06/13  Sev=Info/4	IKE/0x63000017
Marking IKE SA for deletion  (I_Cookie=74241EED94EF7949 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

16     16:36:17.805  05/06/13  Sev=Info/4	IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=74241EED94EF7949 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

17     16:36:17.805  05/06/13  Sev=Info/4	CM/0x63100014
Unable to establish Phase 1 SA with server "vpn.pharmafield.fr" because of "DEL_REASON_PEER_NOT_RESPONDING"

18     16:36:17.805  05/06/13  Sev=Info/5	CM/0x63100025
Initializing CVPNDrv

19     16:36:17.808  05/06/13  Sev=Info/6	CM/0x63100046
Set tunnel established flag in registry to 0.

20     16:36:17.808  05/06/13  Sev=Info/4	IKE/0x63000001
IKE received signal to terminate VPN connection

21     16:36:18.306  05/06/13  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

22     16:36:18.306  05/06/13  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

23     16:36:18.306  05/06/13  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

24     16:36:18.306  05/06/13  Sev=Info/4	IPSEC/0x6370000A
IPSec driver successfully stopped



J'ai volontairement cacher les adresses ip et nom de domaine.

Si quelqu'un a une idée, je suis preneur... 

Merci bien

Shaktale · Answer

Bonjour,

Ci-joint un extrait de tes logs client : 

17     16:36:17.805  05/06/13  Sev=Info/4	CM/0x63100014
Unable to establish Phase 1 SA with server "vpn.pharmafield.fr" because of "DEL_REASON_PEER_NOT_RESPONDING"

Si un DNS request sur pharmafield.fr répond bien, ce n'est pas le cas de vpn.pharmafield.fr, ton client n'arrive pas à atteindre ta passerelle IPSEC d'où le message "DEL_REASON : Peer non responding". Dans ton architecture actuelle il faudrait que tu publies dans ton DNS l'entrée en question où que tu configures sur le client VPN Cisco l'@IP de concentrateur. 

Par ailleurs dans la configuration de la phase 1 (IKE, image1) les identifiants distants sont de type FQDN. Or les postes nomades de tes utilisateurs distants n'ont pas de FQDN. Essaies de modifier ce paramètre qui sert; en partie, à authentifier l'identité d'un tiers.

Abdelilah · Answer

Est ce que tu as configuré IPsec sur le routeur au quel tu veux te connecter ?

Geofruit · Answer

Merci pour vos réponses, Shaktale, j'ai bien modifier la règle IKE: Local Identifier Type: Local WAN IP Remote Identifier Type: Remote WAN IP J'ai également créé un nouvel utilisateur en sélectionnant "Cisco QuickVPN" dans "Remote Peer Type" j'arrive à me connecter avec l'application Cisco QuickVPN, mais impossible d'accéder aux ressources du réseaux distant (même les ping ne passent pas) Logs coté routeur : Mon May 13 11:27:49 2013 (GMT +0200): [Cisco] [IKE] INFO: Adding IPSec configuration with identifier "myuser1" Mon May 13 11:27:49 2013 (GMT +0200): [Cisco] [IKE] INFO: Adding IKE configuration with identifier "myuser1" Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Configuration found for 82.128.228.158[500]. Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received request for new phase 1 negotiation: 192.168.1.64[500]<=>82.128.228.158[500] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Beginning Identity Protection mode. Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received Vendor ID: MS NT5 ISAKMPOAKLEY Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received Vendor ID: RFC 3947 Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received unknown Vendor ID Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received unknown Vendor ID Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received unknown Vendor ID Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Received unknown Vendor ID Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: For 82.128.228.158[500], Selected NAT-T version: RFC 3947 Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: NAT-D payload does not match for 192.168.1.64[500] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: NAT-D payload does not match for 82.128.228.158[500] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: NAT detected: ME PEER Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Floating ports for NAT-T with peer 82.128.228.158[4500] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: KA list add: 192.168.1.64[4500]->82.128.228.158[4500] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: ISAKMP-SA established for 192.168.1.64[4500]-82.128.228.158[4500] with spi:ba01a05151a31c0b:00e2bc88b6877cc7 Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Responding to new phase 2 negotiation: 192.168.1.64[0]<=>82.128.228.158[0] Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: FOUND Mon May 13 11:28:01 2013 (GMT +0200): [Cisco] [IKE] INFO: Using IPsec SA configuration: 192.168.20.0/24<->192.168.16.3/32 Mon May 13 11:28:02 2013 (GMT +0200): [Cisco] [IKE] INFO: Adjusting peer's encmode 3(3)->Tunnel(1) Mon May 13 11:28:02 2013 (GMT +0200): [Cisco] [IKE] INFO: IPsec-SA established[UDP encap 4500->4500]: ESP/Tunnel 82.128.228.158->192.168.1.64 with spi=115335830(0x6dfe296) Mon May 13 11:28:02 2013 (GMT +0200): [Cisco] [IKE] INFO: IPsec-SA established[UDP encap 4500->4500]: ESP/Tunnel 192.168.1.64->82.128.228.158 with spi=3066710378(0xb6ca496a) Un ipconfig /all coté client donne : Carte Ethernet Connexion au réseau local : Suffixe DNS propre à la connexion. . . : Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller Adresse physique . . . . . . . . . . . : 1C-6F-65-80-A3-79 DHCP activé. . . . . . . . . . . . . . : Non Configuration automatique activée. . . : Oui Adresse IPv4. . . . . . . . . . . . . .: 192.168.16.3(préféré) Masque de sous-réseau. . . . . . . . . : 255.255.255.0 Passerelle par défaut. . . . . . . . . : 192.168.16.1 Serveurs DNS. . . . . . . . . . . . . : 192.168.20.100 192.168.16.1 NetBIOS sur Tcpip. . . . . . . . . . . : Activé On voit que le serveur DNS primaire à été remplacé par celui du réseau distant (192.168.20.100) mais celui-ci ne réponds pas au ping et donc pas au nslookup... si quelqu'un a une idée... merci bien

VPN IPSec sur routeur Cisco SA520

5 réponses

Discussions similaires