Routage aux sorties d'un VPN/IPSec

woodba -  
 woodba -
Bonjour,

J'ai actuellement un VPN de monter entre 2 routeurs 800 Series.

Les 2 routeurs arrivent à pinguer leurs parties local LAN et la port coté WAN du routeur d'en face.
Par contre, ils n'arrivent pas à pinguer le port LAN du routeur d'en face.
En gros ils n'arrivent pas à accéder à la partie LAN de l'autre coté du VPN.

Je pense que ca doit venir :
- de mes access-list
ou/et
- de mes tables de routages

Je vous donne un shema (ne faite pas attention aux 2 téléphones branché sur le routeur de droite, c'est un problème que je vais résoudre plus tard ).
http://www.monsterup.com/image.php?url=upload/1209370206.jpg

ainsi que mes configurations que j'ai mise:

routeur 1 :
ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)
ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.1 host 217.1.1.2 (autorisation pour mon VPN)
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)

routeur 2 :
ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)
ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.2 host 217.1.1.1 (autorisation pour mon VPN)
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)

Normalement il y a tout pour que le transfert se fasse. Cependant j'ai du oublié quelque chose.
Si vous trouvez la réponse à ma question je vous en remercie d'avance !

1 réponse

  1. Nico le Vosgien Messages postés 1580 Statut Contributeur 266
     
    Bonjour,

    Je vais peut être poser une question idiote mais où se trouve l'aspect vpn de cette config ?

    Outre le fait que je n'y vois en rien un vpn, il y a manifestement soucis de routage :

    -> R1 ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)

    si j'ai tout compris au but recherché, je pense qu'il vaudrait mieux mettre la .2 en next-hop

    -> R1 ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )

    pas d'interet à mon sens

    -> R2 ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)

    idem que R1 : je mettrais la .1 dans ce cas ...

    -> R2 ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )

    Pas d'interet.

    Maintenant, si les stations ont bien la bonne GW du 800 ...
    0
    1. woodba
       
      Vous avez raison d'après mes explications cela n'est pas correct.
      Heureusement ma config est mieux que cela !!
      Pour plus d'explication je vais mettre toute ma config avec un schéma plus représentateur :

      le schéma :
      http://www.monsterup.com/image.php?url=upload/1210145754.jpg

      les configs :

      Routeur 1:
      version 12.4
      no service pad
      service timestamps debug datetime msec
      service timestamps log datetime msec
      no service password-encryption
      !
      hostname routeur1
      !
      boot-start-marker
      boot-end-marker
      !
      logging buffered 51200 warnings
      !
      no aaa new-model
      !
      resource policy
      !
      ip subnet-zero
      ip cef
      !
      !
      ip domain name yourdomain.com
      !
      !
      crypto pki trustpoint TP-self-signed-1122177087
       enrollment selfsigned
       subject-name cn=IOS-Self-Signed-Certificate-1122177087
       revocation-check none
       rsakeypair TP-self-signed-1122177087
      !
      !
      crypto pki certificate chain TP-self-signed-1122177087
       certificate self-signed 01 nvram:IOS-Self-Sig#3703.cer
      username admin privilege 15 secret 5 ***
      !
      ! 
      !
      crypto isakmp policy 1
       encr 3des
       hash md5
       authentication pre-share
       group 2
      crypto isakmp key *** address 217.1.1.4
      !
      !
      crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
      !
      crypto map MAP 1 ipsec-isakmp 
       description Tunnel 
       set peer 217.1.1.4
       set transform-set ESP-3DES-SHA 
       match address 100
      !
      !
      !
      interface FastEthernet0
      !
      interface FastEthernet1
      !
      interface FastEthernet2
      !
      interface FastEthernet3
      !
      interface FastEthernet4
       description $INTF-INF-FE 4$$ETH-WAN$
       ip address 217.1.1.1 255.255.255.252
       ip flow ingress
       ip flow egress
       duplex auto
       speed auto
       crypto map MAP
      !
      interface Vlan1
       description $ETH-SW-LAUNCH$$INTF-INFO-VLAN 1$$ETH-LAN$
       ip address 130.1.1.31 255.255.0.0
       ip broadcast-address 0.0.0.0
       ip flow ingress
       ip flow egress
      !
      ip classless
      ip route 0.0.0.0 0.0.0.0 217.1.1.2
      ip route 130.1.0.0 255.255.0.0 FastEthernet0
      !
      ip http server
      ip http access-class 23
      ip http authentication local
      ip http secure-server
      ip http timeout-policy idle 60 life 3600 requests 1000
      !
      !
      access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
      access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
      no cdp run
      !
      control-plane
      !
      !
      line con 0
       login local
       no modem enable
      line aux 0
      line vty 0 4
       access-class 23 in
       privilege level 15
       login local
       transport input telnet ssh
      !
      scheduler max-task-time 5000
      scheduler allocate 20000 1000
      end
      


      Routeur2:
      version 12.4
      no service pad
      service timestamps debug datetime msec
      service timestamps log datetime msec
      no service password-encryption
      !
      hostname routeur 2
      !
      boot-start-marker
      boot-end-marker
      !
      logging buffered 51200 warnings
      !
      no aaa new-model
      !
      resource policy
      !
      ip subnet-zero
      ip cef
      !
      !
      ip domain name yourdomain.com
      !
      !
      crypto pki trustpoint TP-self-signed-1577902959
       enrollment selfsigned
       subject-name cn=IOS-Self-Signed-Certificate-1577902959
       revocation-check none
       rsakeypair TP-self-signed-1577902959
      !
      !
      crypto pki certificate chain TP-self-signed-1577902959
       certificate self-signed 01 nvram:IOS-Self-Sig#3902.cer
      username admin privilege 15 secret 5 ***
      !
      ! 
      !
      crypto isakmp policy 1
       encr 3des
       hash md5
       authentication pre-share
       group 2
      crypto isakmp key *** address 217.1.1.1
      !
      !
      crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
      !
      crypto map MAP 1 ipsec-isakmp 
       description Tunnel
       set peer 217.1.1.1
       set transform-set ESP-3DES-SHA 
       match address 100
      !
      !
      !
      interface FastEthernet0
      !
      interface FastEthernet1
      !
      interface FastEthernet2
      !
      interface FastEthernet3
      !
      interface FastEthernet4
       description $INTF-INF-FE 4$$ETH-WAN$
       ip address 217.1.1.4 255.255.255.252
       ip flow ingress
       ip flow egress
       duplex auto
       speed auto
       crypto map MAP
      !
      interface Vlan1
       description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
       ip address 172.16.13.2 255.255.0.0
      !
      ip classless
      ip route 0.0.0.0 0.0.0.0 217.1.1.3
      ip route 172.16.0.0 255.255.0.0 FastEthernet0
      !
      ip http server
      ip http access-class 23
      ip http authentication local
      ip http secure-server
      ip http timeout-policy idle 60 life 86400 requests 10000
      !
      access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255
      access-list 100 permit ip host 217.1.1.4 host 217.1.1.1
      no cdp run
      !
      control-plane
      !
      !
      line con 0
       login local
       no modem enable
      line aux 0
      line vty 0 4
       privilege level 15
       login local
       transport input telnet ssh
      !
      scheduler max-task-time 5000
      scheduler allocate 20000 1000
      end
      
      0
      1. Nico le Vosgien Messages postés 1580 Statut Contributeur 266 > woodba
         
        ok, donc il y a bien notion ipsec !

        En regardant rapidement, la conf ipsec semble bonne sauf que l'adresse peer en .4 m'étonne un peu : vous êtes sur un /30 ici ? 217.1.1.0/30 ? donc les 2 adresses à utiliser sont 1 & 2 ? : pourquoi je vois du .3 & .4 ????

        Apres, il faudrait passer qques show pour valider que le tunnel ipsec est bien en place et qu'il fait bien son travail !

        sh crypto isakmp policy
        sh crypto ipsec transform-set
        sh crypto ipsec sa
        sh CRypto MAp
        0
      2. woodba > Nico le Vosgien Messages postés 1580 Statut Contributeur
         
        j'ai fait de nouveau test et mon vpn fonctionne bien. Je ping des machines sur le réseau.
        J'ai remplacé mon acl :
        access-list 100 permit 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
        par :
        access-list 100 permit any any

        J'ai testé plusieur fois et le blocage vient bien de cette acl.

        Reste maintenant à savoir pourquoi elle fonctionnai pas avt !?!

        Sinon pour les adresses que j'ai mise sur mon schéma se sont des adresses fausses.
        J'ai bien mes adresse ip publique qui se suivent. ;)
        0
      3. Nico le Vosgien Messages postés 1580 Statut Contributeur 266 > woodba
         
        Si tout est ok en any any, alors c'est probablement que l'acl d'origine ne couvre pas les adresses testées ?
        0
      4. woodba > Nico le Vosgien Messages postés 1580 Statut Contributeur
         
        oui, j'en ai conclu la meme chose. En mettant any any tout fonctionne. Mon problème est donc résolu.
        Il me reste juste à mettre la bonne acl ^^
        0