Routage aux sorties d'un VPN/IPSec
woodba
-
woodba -
woodba -
Bonjour,
J'ai actuellement un VPN de monter entre 2 routeurs 800 Series.
Les 2 routeurs arrivent à pinguer leurs parties local LAN et la port coté WAN du routeur d'en face.
Par contre, ils n'arrivent pas à pinguer le port LAN du routeur d'en face.
En gros ils n'arrivent pas à accéder à la partie LAN de l'autre coté du VPN.
Je pense que ca doit venir :
- de mes access-list
ou/et
- de mes tables de routages
Je vous donne un shema (ne faite pas attention aux 2 téléphones branché sur le routeur de droite, c'est un problème que je vais résoudre plus tard ).
http://www.monsterup.com/image.php?url=upload/1209370206.jpg
ainsi que mes configurations que j'ai mise:
routeur 1 :
ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)
ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.1 host 217.1.1.2 (autorisation pour mon VPN)
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)
routeur 2 :
ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)
ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.2 host 217.1.1.1 (autorisation pour mon VPN)
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)
Normalement il y a tout pour que le transfert se fasse. Cependant j'ai du oublié quelque chose.
Si vous trouvez la réponse à ma question je vous en remercie d'avance !
J'ai actuellement un VPN de monter entre 2 routeurs 800 Series.
Les 2 routeurs arrivent à pinguer leurs parties local LAN et la port coté WAN du routeur d'en face.
Par contre, ils n'arrivent pas à pinguer le port LAN du routeur d'en face.
En gros ils n'arrivent pas à accéder à la partie LAN de l'autre coté du VPN.
Je pense que ca doit venir :
- de mes access-list
ou/et
- de mes tables de routages
Je vous donne un shema (ne faite pas attention aux 2 téléphones branché sur le routeur de droite, c'est un problème que je vais résoudre plus tard ).
http://www.monsterup.com/image.php?url=upload/1209370206.jpg
ainsi que mes configurations que j'ai mise:
routeur 1 :
ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)
ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.1 host 217.1.1.2 (autorisation pour mon VPN)
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)
routeur 2 :
ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)
ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.2 host 217.1.1.1 (autorisation pour mon VPN)
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)
Normalement il y a tout pour que le transfert se fasse. Cependant j'ai du oublié quelque chose.
Si vous trouvez la réponse à ma question je vous en remercie d'avance !
1 réponse
-
Bonjour,
Je vais peut être poser une question idiote mais où se trouve l'aspect vpn de cette config ?
Outre le fait que je n'y vois en rien un vpn, il y a manifestement soucis de routage :
-> R1 ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)
si j'ai tout compris au but recherché, je pense qu'il vaudrait mieux mettre la .2 en next-hop
-> R1 ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
pas d'interet à mon sens
-> R2 ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)
idem que R1 : je mettrais la .1 dans ce cas ...
-> R2 ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
Pas d'interet.
Maintenant, si les stations ont bien la bonne GW du 800 ...-
Vous avez raison d'après mes explications cela n'est pas correct.
Heureusement ma config est mieux que cela !!
Pour plus d'explication je vais mettre toute ma config avec un schéma plus représentateur :
le schéma :
http://www.monsterup.com/image.php?url=upload/1210145754.jpg
les configs :
Routeur 1:version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname routeur1 ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! resource policy ! ip subnet-zero ip cef ! ! ip domain name yourdomain.com ! ! crypto pki trustpoint TP-self-signed-1122177087 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1122177087 revocation-check none rsakeypair TP-self-signed-1122177087 ! ! crypto pki certificate chain TP-self-signed-1122177087 certificate self-signed 01 nvram:IOS-Self-Sig#3703.cer username admin privilege 15 secret 5 *** ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key *** address 217.1.1.4 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map MAP 1 ipsec-isakmp description Tunnel set peer 217.1.1.4 set transform-set ESP-3DES-SHA match address 100 ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $INTF-INF-FE 4$$ETH-WAN$ ip address 217.1.1.1 255.255.255.252 ip flow ingress ip flow egress duplex auto speed auto crypto map MAP ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-VLAN 1$$ETH-LAN$ ip address 130.1.1.31 255.255.0.0 ip broadcast-address 0.0.0.0 ip flow ingress ip flow egress ! ip classless ip route 0.0.0.0 0.0.0.0 217.1.1.2 ip route 130.1.0.0 255.255.0.0 FastEthernet0 ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 3600 requests 1000 ! ! access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 100 permit ip host 217.1.1.1 host 217.1.1.4 no cdp run ! control-plane ! ! line con 0 login local no modem enable line aux 0 line vty 0 4 access-class 23 in privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 20000 1000 end
Routeur2:version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname routeur 2 ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! resource policy ! ip subnet-zero ip cef ! ! ip domain name yourdomain.com ! ! crypto pki trustpoint TP-self-signed-1577902959 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1577902959 revocation-check none rsakeypair TP-self-signed-1577902959 ! ! crypto pki certificate chain TP-self-signed-1577902959 certificate self-signed 01 nvram:IOS-Self-Sig#3902.cer username admin privilege 15 secret 5 *** ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key *** address 217.1.1.1 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map MAP 1 ipsec-isakmp description Tunnel set peer 217.1.1.1 set transform-set ESP-3DES-SHA match address 100 ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $INTF-INF-FE 4$$ETH-WAN$ ip address 217.1.1.4 255.255.255.252 ip flow ingress ip flow egress duplex auto speed auto crypto map MAP ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 172.16.13.2 255.255.0.0 ! ip classless ip route 0.0.0.0 0.0.0.0 217.1.1.3 ip route 172.16.0.0 255.255.0.0 FastEthernet0 ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255 access-list 100 permit ip host 217.1.1.4 host 217.1.1.1 no cdp run ! control-plane ! ! line con 0 login local no modem enable line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 20000 1000 end
- ok, donc il y a bien notion ipsec !
En regardant rapidement, la conf ipsec semble bonne sauf que l'adresse peer en .4 m'étonne un peu : vous êtes sur un /30 ici ? 217.1.1.0/30 ? donc les 2 adresses à utiliser sont 1 & 2 ? : pourquoi je vois du .3 & .4 ????
Apres, il faudrait passer qques show pour valider que le tunnel ipsec est bien en place et qu'il fait bien son travail !
sh crypto isakmp policy
sh crypto ipsec transform-set
sh crypto ipsec sa
sh CRypto MAp - j'ai fait de nouveau test et mon vpn fonctionne bien. Je ping des machines sur le réseau.
J'ai remplacé mon acl :
access-list 100 permit 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
par :
access-list 100 permit any any
J'ai testé plusieur fois et le blocage vient bien de cette acl.
Reste maintenant à savoir pourquoi elle fonctionnai pas avt !?!
Sinon pour les adresses que j'ai mise sur mon schéma se sont des adresses fausses.
J'ai bien mes adresse ip publique qui se suivent. ;)
-