Routage aux sorties d'un VPN/IPSec

Fermé

woodba - 6 mai 2008 à 10:33
woodba - 13 mai 2008 à 09:10

Bonjour,

J'ai actuellement un VPN de monter entre 2 routeurs 800 Series.

Les 2 routeurs arrivent à pinguer leurs parties local LAN et la port coté WAN du routeur d'en face.
Par contre, ils n'arrivent pas à pinguer le port LAN du routeur d'en face.
En gros ils n'arrivent pas à accéder à la partie LAN de l'autre coté du VPN.

Je pense que ca doit venir :
- de mes access-list
ou/et
- de mes tables de routages

Je vous donne un shema (ne faite pas attention aux 2 téléphones branché sur le routeur de droite, c'est un problème que je vais résoudre plus tard ).
http://www.monsterup.com/image.php?url=upload/1209370206.jpg

ainsi que mes configurations que j'ai mise:

routeur 1 :
ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)
ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.1 host 217.1.1.2 (autorisation pour mon VPN)
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)

routeur 2 :
ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)
ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.2 host 217.1.1.1 (autorisation pour mon VPN)
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)

Normalement il y a tout pour que le transfert se fasse. Cependant j'ai du oublié quelque chose.
Si vous trouvez la réponse à ma question je vous en remercie d'avance !

A voir également:

Routage aux sorties d'un VPN/IPSec
Vpn gratuit - Accueil - Guide VPN
Vpn comment ça marche - Guide
Hola vpn chrome - Guide
Bright vpn - Télécharger - Confidentialité
Tuxler vpn - Télécharger - Confidentialité

1 réponse

Réponse 1 / 1

Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266
6 mai 2008 à 23:19

Bonjour,

Je vais peut être poser une question idiote mais où se trouve l'aspect vpn de cette config ?

Outre le fait que je n'y vois en rien un vpn, il y a manifestement soucis de routage :

-> R1 ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)

si j'ai tout compris au but recherché, je pense qu'il vaudrait mieux mettre la .2 en next-hop

-> R1 ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )

pas d'interet à mon sens

-> R2 ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)

idem que R1 : je mettrais la .1 dans ce cas ...

-> R2 ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )

Pas d'interet.

Maintenant, si les stations ont bien la bonne GW du 800 ...

woodba
7 mai 2008 à 09:38

Vous avez raison d'après mes explications cela n'est pas correct.
Heureusement ma config est mieux que cela !!
Pour plus d'explication je vais mettre toute ma config avec un schéma plus représentateur :

le schéma :
http://www.monsterup.com/image.php?url=upload/1210145754.jpg

les configs :

Routeur 1:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routeur1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1122177087
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1122177087
 revocation-check none
 rsakeypair TP-self-signed-1122177087
!
!
crypto pki certificate chain TP-self-signed-1122177087
 certificate self-signed 01 nvram:IOS-Self-Sig#3703.cer
username admin privilege 15 secret 5 ***
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key *** address 217.1.1.4
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto map MAP 1 ipsec-isakmp 
 description Tunnel 
 set peer 217.1.1.4
 set transform-set ESP-3DES-SHA 
 match address 100
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $INTF-INF-FE 4$$ETH-WAN$
 ip address 217.1.1.1 255.255.255.252
 ip flow ingress
 ip flow egress
 duplex auto
 speed auto
 crypto map MAP
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-VLAN 1$$ETH-LAN$
 ip address 130.1.1.31 255.255.0.0
 ip broadcast-address 0.0.0.0
 ip flow ingress
 ip flow egress
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.1.1.2
ip route 130.1.0.0 255.255.0.0 FastEthernet0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 3600 requests 1000
!
!
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
no cdp run
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end

Routeur2:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routeur 2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1577902959
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1577902959
 revocation-check none
 rsakeypair TP-self-signed-1577902959
!
!
crypto pki certificate chain TP-self-signed-1577902959
 certificate self-signed 01 nvram:IOS-Self-Sig#3902.cer
username admin privilege 15 secret 5 ***
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key *** address 217.1.1.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto map MAP 1 ipsec-isakmp 
 description Tunnel
 set peer 217.1.1.1
 set transform-set ESP-3DES-SHA 
 match address 100
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $INTF-INF-FE 4$$ETH-WAN$
 ip address 217.1.1.4 255.255.255.252
 ip flow ingress
 ip flow egress
 duplex auto
 speed auto
 crypto map MAP
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 172.16.13.2 255.255.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.1.1.3
ip route 172.16.0.0 255.255.0.0 FastEthernet0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255
access-list 100 permit ip host 217.1.1.4 host 217.1.1.1
no cdp run
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end

Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266 > woodba
7 mai 2008 à 13:52

ok, donc il y a bien notion ipsec !

En regardant rapidement, la conf ipsec semble bonne sauf que l'adresse peer en .4 m'étonne un peu : vous êtes sur un /30 ici ? 217.1.1.0/30 ? donc les 2 adresses à utiliser sont 1 & 2 ? : pourquoi je vois du .3 & .4 ????

Apres, il faudrait passer qques show pour valider que le tunnel ipsec est bien en place et qu'il fait bien son travail !

sh crypto isakmp policy
sh crypto ipsec transform-set
sh crypto ipsec sa
sh CRypto MAp

woodba > Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016
7 mai 2008 à 14:19

j'ai fait de nouveau test et mon vpn fonctionne bien. Je ping des machines sur le réseau.
J'ai remplacé mon acl :
access-list 100 permit 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
par :
access-list 100 permit any any

J'ai testé plusieur fois et le blocage vient bien de cette acl.

Reste maintenant à savoir pourquoi elle fonctionnai pas avt !?!

Sinon pour les adresses que j'ai mise sur mon schéma se sont des adresses fausses.
J'ai bien mes adresse ip publique qui se suivent. ;)

Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266 > woodba
8 mai 2008 à 11:56

Si tout est ok en any any, alors c'est probablement que l'acl d'origine ne couvre pas les adresses testées ?

woodba > Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016
13 mai 2008 à 09:10

oui, j'en ai conclu la meme chose. En mettant any any tout fonctionne. Mon problème est donc résolu.
Il me reste juste à mettre la bonne acl ^^

Discussions similaires

torrent sans VPN

Pb association vpn et abonnement iptv

Répartiteur data 2 sorties coaxiales

Utilisation de 4G avec un VPN

VPN avec serveurs en Outremer