Param VPN Cisco chgt box =>plus de VPN !!?

Résolu/Fermé
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018 - 10 nov. 2015 à 18:43
 Christophe-Rouen - 13 nov. 2015 à 23:52
Bonjour,

Un client a changé son ancienne LiveBox contre une Pro V2. Je ne sais pas ce qu'était l'ancienne LiveBox. L'adresse IP a changé, par rapport à ce qu'on voit ici.
Le routeur Cisco faisait le pont entre leur réseau local (192.168.3.0 /24) et leur box, en 90.83.211.141
Bref, ils ont changé d'IP. C'est une nouvelle IP. Elle est fixe. Mais pourquoi ça ne marche plus le VPN? La box a la même IP qu'avant, bien sûr (192.168.3.1).
Que doit-ont changer au Cisco pour que ça refonctionne? Si je comprends bien d'ailleurs, n'est il pas vrai que la partie "paramétrage VPN" ne nécessite même pas qu'on mentionne d'adresses IP? C'est le cryptage le problème alors?
Merci de m'aider.
Voici ce qu'était leur paramétrage IOS (que j'ai tenté de changer, mais rien à faire)
Ah PS : ne soyez pas avares en explications, je ne sais pas vers qui ou quoi me tourner en fait..
Merci bcp pour votre aide.

hostname C871-TOTO
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $Blabliblobli/rapdanafichnouetc/
!
aaa new-model
!
!
aaa authentication login vpn_client local
aaa authorization network vpn_client local
!
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring
!
!
ip source-route
ip dhcp excluded-address 192.168.8.1 192.168.8.250
ip dhcp excluded-address 192.168.3.1 192.168.3.100
!
ip dhcp pool MonDHCP
import all
network 192.168.3.0 255.255.255.0
default-router 192.168.3.254
dns-server 192.168.3.50
lease 2
!
ip dhcp pool MonDPCH
!
!
ip cef
ip domain name toto.local
ip name-server 194.2.0.20
ip name-server 194.2.0.50
!
!
!
!
username lteAdmin privilege 15 password 0 lte94@TOTO
username TotoAdmin privilege 15 password 0 admin@toto
username lteclient password 0 lte94@toto
username j.tru password 0 jtru@toto
username p.letra password 0 pletra@toto
username j.letra password 0 jletra@toto
username v.funu password 0 vfunu@toto
username j.gnak password 0 jgnak@toto
username s.houhou password 0 shouhou@toto
username p.bibou password 0 pbibou@toto
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp fragmentation
!
crypto isakmp client configuration group vpn_client
key Toto@VpnCisco
dns 192.168.8.50 80.118.192.100
domain toto.local
pool vpn_pool
acl 120
include-local-lan
crypto isakmp profile VPNNomade
match identity group vpn_client
client authentication list vpn_client
isakmp authorization list vpn_client
client configuration address respond
!
!
crypto ipsec transform-set Strong esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile vpntunnel
set security-association lifetime seconds 120
set transform-set Strong
!
!
crypto dynamic-map dynmap 10
set transform-set Strong
set isakmp-profile VPNNomade
reverse-route
!
!
crypto map dynmap 2 ipsec-isakmp dynamic dynmap
!
archive
log config
hidekeys
!
!
ip ssh version 1
!
class-map match-all TSE
match access-group 150
!
!
policy-map TSE
class class-default
fair-queue
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description To Internet
ip address 90.83.211.141 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group 1
pppoe-client dial-pool-number 1
crypto map dynmap
service-policy output TSE
!
interface Vlan1
description to lan
ip address 192.168.3.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip local pool vpn_pool 192.168.200.1 192.168.200.50
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 90.83.211.142
no ip http server
no ip http secure-server
!
ip nat inside source list 110 interface FastEthernet4 overload
!
access-list 10 permit 192.168.3.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 permit ip 192.168.3.0 0.0.0.255 any
access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 150 permit tcp any eq 3389 any eq 3389


Voilà, merci infiniment à toute personne voulant bien m'aider...

9 réponses

brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022 13 645
10 nov. 2015 à 19:38
Salut,
nat, mode transport, es tu sûr que la box est bien configurée ?
avec vpn ipsec passthrough avant de bidouiller le routeur ?
PS,
la box doit être en bridge, vu que tu as un client pppoe sur le cisco.
0
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018
11 nov. 2015 à 17:09
Salut Brupala et merci beaucoup. Voilà déjà quelque chose qui va me faire avancer je pense. C'est super-sympa de me répondre aussi vite, j'ai essayé avec le smartphone hier soir de répondre, mais bon... euh pour mes premiers pas sur CCC je me suis dit que le sujet étant très précieux pour moi, j'aimerais être sûr que ce soit fait correctement. Je réponds donc maintenant avec l'ordi.
Mais je me pose des questions en lisant certains points de tes réponses. (je ne suis pas un crack du tout de Cisco, d'où le problème je pense. )
Si je comprends bien, tu penses en lisant cette config, que le client pppoe est dans le Cisco. Mais je ne vois nulle part, dans al config d'origine, mentionné de fti/etcetera avec mot de passe. Ai-je bien compris ce que tu veux dire par "le Cisco est le client pppoe", la LiveBox n'était que bridge" ?
La question que je me pose aussi est : "mais où dans une simple LiveBox, peut-on lui dire : LiveBox, petite LiveBox, tu seras vpn ipsec passthrough ?
Remarque si ça se trouve mes questionnements prouvent simplement que je suis à côté de la plaque, et que je n'ai pas su interpréter correctement tes réponses, par manque de culture "vpn" et d'absence de vraie culture "Cisco".
Toute réponse de ta part me sera très très précieuse. Si j'ai bien compris en tout cas, et qu'il faut bien que je passe ma LiveBox en vpn IPSec passthrough, c'est que cela doit se faire (vu que ça marchait avant), et bien entendu je vais chercher. Ai-je bien compris correctement à ton avis, au vu de ce que je te réponds?

En tout cas merci bcp déjà, ça rassure déjà de voir que quelqu'un me répond car je suis dans une situation difficile du point de vue de cette mission (non coutumière).

Salut, A+
0
brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022 13 645
Modifié par brupala le 11/11/2015 à 18:47
tu ne peux pas la mettre en bridge plutôt, si c'est possible ?
sinon, c'est vrai que dans la config cisco, il manque quelque chose comme interface dialer 1
0
Christophe-Rouen > brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022
11 nov. 2015 à 21:37
Salut;
Est-ce que tu veux dire que je suis obligé de tout changer? Pourquoi je ne garderais pas la même sorte de config, moi qui m'y connais si mal en IOS?
Si je cherche à tout révolutionner je suis dans la daube, c'est couru d'avance. Mais y suis-je obligé?
Merci pour ta réponse, Brupala.
0
brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022 13 645 > Christophe-Rouen
Modifié par brupala le 12/11/2015 à 00:08
je te parle de la box.
il faut absolument savoir comment fonctionnait l'autre avant.
Normalement, tu n'as rien à changer sur le routeur, pas de raison, du moins si l'adresse ip WAN ne change pas.
ou alors la box fait bridge pppoe, mais réalise la connexion ppp ....
0
Christophe-Rouen > brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022
12 nov. 2015 à 01:11
Oui, son ip wan a changé. New IP fixe... Et entrer dans l'autre je crois que ce n'est pas possible (oleane), pour tout arranger. Et je crois que c'est dans ces cas de figure qu'il jouxtait (mon collègue parti) une autre Ip wan dans le CISCO. (Un en 141 un autre en 142). Le vrai est je ne sais plus lequel des 2 je regarderai demain sur l'ancien PCF que j'ai gardé en backup, possiblr à reimporter pour voir. . Je te remercie du mal que tu te donnes je dois paraître un peu balourd je suis très mal àl'aise avec ces routeurs CISCO.
a demain pitêt ! ?
Je vais revérifier sis je peux entrer dans l'autre live box...
0
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018
12 nov. 2015 à 10:31
En fait voilà, je ne peux pas rentrer dans l'ancienne box : c'était une business...
J'appelle Orange pour voir s'ils peuvent me dire quelquechose..


Merci bcp

A+
0
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018
12 nov. 2015 à 10:54
Salut je n'arrive pas à les joindre pour le moment. (Orange)
Par contre les choses ont évolué.
Je me rends compte que si je mets "no ip address" sur FA4, j'ai au moins le dialogue d'authentification dans mon client VPN Cisco. J'entre un PWD, il met "securing communication channel", mais à la fin, damned : "déconnecté".

- Si je mets une IP juste voisine à celle réelle du Wan (masque 255.255.255.252), ça ne marche plus. C'était fait comme ça avant.

- Si je mets une IP locale correpondant au pool DHCP notifié (192.168.200.0/32), ça fait pareil...

Donc , je pense que c'est une affaire d'IP... qqn une idée ?
A voir...
0
brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022 13 645
12 nov. 2015 à 13:02
Tant que tu n'en sais pas plus sur la box ...
au fait, tu es sûr de son adresse ip, qui du coup, se retrouve dans la plage lan du cisco, c'est plutôt gênant si elle ne bridge pas.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018
12 nov. 2015 à 16:12
En fait, ils ne peuvent pas me répondre aujourd'hui.
A l'heure actuelle, la connexion n'est pas nulle dirais je.

- Si je n'entre pas le bon PWD, il me remet aussitôt le dial de login
- Il met Securing connection channel, deux ou trois passages "sablier"
- A la fin, il met "not connnected"

Par contre si je vais dans le Cisco, et que je demande
show crypto isakmp sa nat :



si je vais dans le Cisco, et que je demande
show crypto isakmp sa detail :



Ce qui veut dire que toutes mes tentatives, même si de mon côté j'ai status client : disconnected...


Cela te donne une idée ?

Pour mon FA4, j'ai mis 192.168.1.201 (je ne vois pas où ça joue dans la config IOS de toutes façons
ip route 0.0.0.0 0.0.0.0 192.168.3.1 (LAN LiveBox)
En mettant ça j'ai le dial de login depuis le client VPN. Si je ne mets pas ça : niet !
Une idée Brupala ?

Dis donc ça se bouscule pas niveau Cisco, mince alors ! :-)

Merci n'à toi

A+
0
brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022 13 645
12 nov. 2015 à 16:57
La livebox ne peut pas être sur le réseau 3.0, qui est le vlan 1 ...
0
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018
12 nov. 2015 à 17:13
J'étais en train d'appeler le client pour lui dire qu'il allait perdre l'internet (enfin lui demander l'autorisation).
C'est grâce à ta réponse précédente qui m'a mis sur la voie...
Depuis que le Cisco ne marche plus, j'avais fait un DHCP ==> passerelle=192.168.3.1
Et c'est ça mon erreur depuis le début !!!!
Et ensuite je reçois ton petit message au dessus pour le 3.0

Je suis à distance j'ai intérêt à surveiller ce que je fais.
J'ai validé l'accès à distance à la LiveBox. Je viens de la passer en 4.0.
Enfin un bout de lumière !! merci, merci bcp !
0
Christophe-Rouen Messages postés 15 Date d'inscription mardi 10 novembre 2015 Statut Membre Dernière intervention 10 mars 2018
12 nov. 2015 à 23:24
Brupala, je tenais à te remercier.
Toujours à distance, j'ai (enfin!!) capté l'idée que je ne devais pas être dans le même réseau IP sur la box et le VLAN. Je pense que ça va me resservir en plus. 3 jours de galère !
Donc
- le lan de l'entreprise est sur le 192.168.3.0
- la box est en 192.168.1.1
- le Vlan est en 192.168.3.254
- Fastethernet4 est en 192.168.1.254

Le seul truc qui me manque c'est la redirection NAT/PAT paramétrée dans la box : tous les ports en entrée vont sur 192.168.1.254.
Si je voulais être plus fin, je pense que je pourrais ne mettre QUE les ports utiles, mais dans le doute...
Pour finir, voilà la config qui permet que ça marche. (il peut y avoir des aberrations, mais les crypto et les routes, c'est correct.)
J'ai bien jonglé entre les changements d'IP de box, ses redémarrages, les changements sur le Cisco via le RDP, il faut rester cool...
Mais bon ça marche et je suis super content.
Merci beaucoup à toi.

Salut !

la conf :

sh conf
Using 2369 out of 262136 bytes, uncompressed size = 4176 bytes
Uncompressed configuration from 2369 bytes to 4176 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname C871-Toto
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $5$3€etsixCentimes/Roufougnou/
!
aaa new-model
!
!
aaa authentication login vpn_client local
aaa authorization network vpn_client local
!
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring
!
!
ip source-route
ip dhcp excluded-address 192.168.8.1 192.168.8.250
ip dhcp excluded-address 192.168.3.1 192.168.3.100
!
ip dhcp pool MonDHCP
import all
network 192.168.3.0 255.255.255.0
default-router 192.168.3.254
dns-server 192.168.3.50
lease 2
!
ip dhcp pool MonDPCH
!
!
ip cef
ip domain name Toto.local
ip name-server 80.10.246.129
ip name-server 80.10.246.2
ip name-server 192.168.3.50
!
!
!
!
username lteAdmin privilege 15 password 0 lte94@Toto
username TotoAdmin privilege 15 password 0 admin@Toto
username lteclient password 0 lte94@Toto
username j.bibi password 0 jacques@Toto
username p.gnouk password 0 philippe@Toto
username j.gnouk password 0 joelle@Toto
username v.tutu password 0 virginie@Toto
username j.hou-hou password 0 joel@Toto
username s.loulali password 0 sebastien@Toto
username p.akestion password 0 pak@Toto
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp fragmentation
!
crypto isakmp client configuration group vpn_client
key Toto@VpnCisco
dns 192.168.8.50 80.118.192.100
domain Toto.local
pool vpn_pool
acl 120
include-local-lan
crypto isakmp profile VPNNomade
match identity group vpn_client
client authentication list vpn_client
isakmp authorization list vpn_client
client configuration address respond
!
!
crypto ipsec transform-set Strong esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile vpntunnel
set security-association lifetime seconds 120
set transform-set Strong
!
!
crypto dynamic-map dynmap 10
set transform-set Strong
set isakmp-profile VPNNomade
reverse-route
!
!
crypto map dynmap 2 ipsec-isakmp dynamic dynmap
!
archive
log config
hidekeys
!
!
ip ssh version 1
!
class-map match-all TSE
match access-group 150
!
!
policy-map TSE
class class-default
fair-queue
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description To Internet
ip address 192.168.1.254 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group 1
pppoe-client dial-pool-number 1
crypto map dynmap
service-policy output TSE
!
interface Vlan1
description to lan
ip address 192.168.3.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip local pool vpn_pool 192.168.200.1 192.168.200.50
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.1
no ip http server
no ip http secure-server
!
ip nat inside source list 110 interface FastEthernet4 overload
!
access-list 10 permit 192.168.3.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 permit ip 192.168.3.0 0.0.0.255 any
access-list 120 permit ip 192.168.3.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 150 permit tcp any eq 3389 any eq 3389
!
control-plane
!
banner exec ^CCCCC
-------------------------------------------------
Routeur cisco 871
0
brupala Messages postés 104815 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 29 septembre 2022 13 645
Modifié par brupala le 13/11/2015 à 00:35
Tout ça à distance , sans casser l'accès,
Félicitations :-)

et ... Voili Voilou Voila !
0
Christophe-Rouen
13 nov. 2015 à 23:52
Je te remercie beaucoup Brupala. J' ai vu que d'autres sujets étaient lancés sur Cisco, en fait. Moralité heureusement que tu passais par là.
Ca marche trè bien, now. Grosse frayeur ce matin : j'ai dit à la personne qui manipule de débrancher le pont entre Lan et Cisco via la box. Plus rien n'a marché. Il s'est dit qu'il fallait peut être rebooter le Cisco. Bon. Mais il a fait tomber le Cisco et il n' avait plus qu'un câble qui restait sur les 2 : celui entre la box et Cisco. Plus rien entre Cisco et LAN. Total : pas fait autre chose que ça, pas déjeuné, voiture jusque là-bas, en me demandant ce qui pouvait clocher (Vlan : protocol down et encore et toujours). Ce n'est qu'une heure après que je suis descendu voir les connexions. Bon .. j'ai tout remis comme souhaité, sans le pont.. mais en refaisant un peu tout... un reboot en bonne et due forme aurait semble t-il, fait l'affaire... Je ne te dis pas arriver ches le client sous une haie d'honneur de sourires un peu narquois "il nous fait bien galérer le Christophe, hein" .. il m'a fait le coup du câble 3 fois dans cette aventure. Pour un gars comme moi pas sur de lui sur le diossier Cisco, un cauchemar! !!!
enfin, toute expérience est une ex périence donc du positif! :-)
ciao!
Et voilàvoilivoilou... ! ?
0