Configuration VPN

Résolu
woodba -  
p_oum Messages postés 992 Statut Membre -
Bonjour,

J'ai réussi a établir une connexion VPN site à site entre 2 Routeurs Cisco 800 serie mais j'ai quleques problème qui persiste :

Quand je suis connecté sur mon routeur 1 (en local) j'arrive à pinguer mon 2eme routeur (distant) ainsi que tout les postes du réseau distant.
Mon routeur 2 (distant) arrive à pinguer mon routeur 1 ainsi que mon réseau local.

Jusque là tout est normal.

Je me connecte sur un poste local et je ping mon routeur local ainsi que le port WAN de mon routeur distant.
Par contre, je n'arrive pas à pinguer à partir de mon poste 1 le port coté LAN de mon routeur 2 ainsi que tout le reste du réseau à distance.
Dans l'autre sens, mon poste 2 arrive à pinguer mon routeur 1 coté WAN mais pas coté LAN et le reste du réseau.

Je met un petit schéma pour mieux comprendre :
http://www.monsterup.com/image.php?url=upload/1210673551.jpg

3 réponses

  1. p_oum Messages postés 992 Statut Membre 88
     
    Lu,

    Quel est le message d'erreur ?

    Post ta configuration, sa pourra nous aider (enfin peut-etre)

    Sinon, verifie tes ACL (ajoute un permit pour tous le traffic icmp) et tes routes (genre du RIPv2)
    -1
    1. woodba
       
      J'ai évolué dans ma problématique! J'arrive maintenant du réseau local à pinguer un pc sur le réseau distant.
      Mon VPN est donc opérationnel.
      Simplement pour y arrivé j'ai un peu ouvert en grand les porte en mettant comme acl :
      access-list 100 ip permit any any

      Cela fonctionne naturellement mais la sécurité n'est pas se qu'il y a de mieux.
      Se qui est curieux c'est que mes deux autres lignes sont necessaire pour que le VPN fonctionne bien !! (pourtant any any devrai duffir !)
      access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
      access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255


      voici le schéma de mon installation :
      http://www.monsterup.com/image.php?url=upload/1210685866.jpg

      configuration du routeur 1 :

      version 12.4
      no service pad
      service timestamps debug datetime msec
      service timestamps log datetime msec
      no service password-encryption
      !
      hostname routeur1
      !
      boot-start-marker
      boot-end-marker
      !
      logging buffered 51200 warnings
      !
      no aaa new-model
      !
      resource policy
      !
      ip subnet-zero
      ip cef
      !
      !
      ip domain name yourdomain.com
      !
      !
      crypto pki trustpoint TP-self-signed-1122177087
       enrollment selfsigned
       subject-name cn=IOS-Self-Signed-Certificate-1122177087
       revocation-check none
       rsakeypair TP-self-signed-1122177087
      !
      !
      crypto pki certificate chain TP-self-signed-1122177087
       certificate self-signed 01 nvram:IOS-Self-Sig#3703.cer
      username admin privilege 15 secret 5 ***
      !
      ! 
      !
      crypto isakmp policy 1
       encr 3des
       hash md5
       authentication pre-share
       group 2
      crypto isakmp key key address 217.1.1.3
      !
      !
      crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
      !
      crypto map MAP 1 ipsec-isakmp 
       description Tunnel 
       set peer 217.1.1.3
       set transform-set ESP-3DES-SHA 
       match address 100
      !
      !
      !
      interface FastEthernet0
      !
      interface FastEthernet1
      !
      interface FastEthernet2
      !
      interface FastEthernet3
      !
      interface FastEthernet4
       description $INTF-INF-FE 4$$ETH-WAN$
       ip address 217.1.1.1 255.255.255.252
       ip flow ingress
       ip flow egress
       duplex auto
       speed auto
       crypto map MAP
      !
      interface Vlan1
       description $ETH-SW-LAUNCH$$INTF-INFO-VLAN 1$$ETH-LAN$
       ip address 130.1.1.31 255.255.0.0
       ip broadcast-address 0.0.0.0
       ip flow ingress
       ip flow egress
      !
      ip classless
      ip route 0.0.0.0 0.0.0.0 217.1.1.2
      ip route 130.1.0.0 255.255.0.0 FastEthernet0
      !
      ip http server
      ip http access-class 23
      ip http authentication local
      ip http secure-server
      ip http timeout-policy idle 60 life 3600 requests 1000
      !
      !
      access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
      access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
      access-list 100 permit ip any any
      no cdp run
      !
      control-plane
      !
      !
      line con 0
       login local
       no modem enable
      line aux 0
      line vty 0 4
       access-class 23 in
       privilege level 15
       login local
       transport input telnet ssh
      !
      scheduler max-task-time 5000
      scheduler allocate 20000 1000
      end


      configuration du routeur 2 :

      version 12.4
      no service pad
      service timestamps debug datetime msec
      service timestamps log datetime msec
      no service password-encryption
      !
      hostname routeur 2
      !
      boot-start-marker
      boot-end-marker
      !
      logging buffered 51200 warnings
      !
      no aaa new-model
      !
      resource policy
      !
      ip subnet-zero
      ip cef
      !
      !
      ip domain name yourdomain.com
      !
      !
      crypto pki trustpoint TP-self-signed-1577902959
       enrollment selfsigned
       subject-name cn=IOS-Self-Signed-Certificate-1577902959
       revocation-check none
       rsakeypair TP-self-signed-1577902959
      !
      !
      crypto pki certificate chain TP-self-signed-1577902959
       certificate self-signed 01 nvram:IOS-Self-Sig#3902.cer
      username admin privilege 15 secret 5 ***
      !
      ! 
      !
      crypto isakmp policy 1
       encr 3des
       hash md5
       authentication pre-share
       group 2
      crypto isakmp key key address 217.1.1.2
      !
      !
      crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
      !
      crypto map MAP 1 ipsec-isakmp 
       description Tunnel to ATHIC
       set peer 217.1.1.2
       set transform-set ESP-3DES-SHA 
       match address 100
      !
      !
      !
      interface FastEthernet0
      !
      interface FastEthernet1
      !
      interface FastEthernet2
      !
      interface FastEthernet3
      !
      interface FastEthernet4
       description $INTF-INF-FE 4$$ETH-WAN$
       ip address 217.1.1.4 255.255.255.252
       ip flow ingress
       ip flow egress
       duplex auto
       speed auto
       crypto map MAP
      !
      interface Vlan1
       description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
       ip address 172.16.13.2 255.255.0.0
      !
      ip classless
      ip route 0.0.0.0 0.0.0.0 217.1.1.3
      ip route 172.16.0.0 255.255.0.0 FastEthernet0
      !
      ip http server
      ip http access-class 23
      ip http authentication local
      ip http secure-server
      ip http timeout-policy idle 60 life 86400 requests 10000
      !
      access-list 100 permit ip host 217.1.1.4 host 217.1.1.1
      access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255
      access-list 100 permit any any
      no cdp run
      !
      control-plane
      !
      !
      line con 0
       login local
       no modem enable
      line aux 0
      line vty 0 4
       privilege level 15
       login local
       transport input telnet ssh
      !
      scheduler max-task-time 5000
      scheduler allocate 20000 1000
      end
      
      0
  2. p_oum Messages postés 992 Statut Membre 88
     
    Re,

    Pour l'histoire du any any je n'est pas de solution car j'ai eu le mm genre de pb sur un PIX 501.
    Par contre si tu veux ameliorer la securité retire access-list 100 permit any any sur les deux routeur (test qd mm si sa fonctionne tjrs !!!!!!!!!!!)

    Si tu pense ton pb résolu noubli pas de le signaler en modifiant le status .........
    -1
    1. woodba
       
      J'ai testé mais le VPN se coupe quand je retire les 'any any'.
      Je considère quand meme mon problème comme résolut puisque mon VPN fonctionne maintenant.
      J'ouvrirai un autre sujet pour mes acl si je veux améliorer ma sécurité.

      Merci à toi ;)
      0
  3. p_oum Messages postés 992 Statut Membre 88
     
    De rien
    Voila un config de PIX utilisant une liason VPN la syntaxe n'est pas tous a fais la même mais sa peut être t'aider :

    PIX Version 6.3(5)
    interface ethernet0 auto
    interface ethernet1 100full
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    enable password *************** encrypted
    passwd ********************* encrypted
    hostname ******************
    domain-name *****************
    clock timezone CET 1
    clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
    fixup protocol dns maximum-length 512
    fixup protocol ftp 21
    fixup protocol h323 h225 1720
    fixup protocol h323 ras 1718-1719
    fixup protocol http 80
    fixup protocol rsh 514
    fixup protocol rtsp 554
    fixup protocol sip 5060
    fixup protocol sip udp 5060
    fixup protocol skinny 2000
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol tftp 69
    names
    name 192.168.18.81 inside
    name 10.0.0.2 **********
    object-group service WEB tcp
    port-object eq www
    port-object eq https
    object-group network *******************
    network-object 192.168.18.0 255.255.255.240
    network-object 192.168.18.16 255.255.255.240
    network-object 192.168.18.32 255.255.255.240
    network-object 192.168.18.48 255.255.255.240
    network-object 192.168.18.64 255.255.255.240
    network-object 192.168.18.96 255.255.255.240
    network-object 192.168.101.0 255.255.255.0
    network-object 192.168.103.0 255.255.255.0
    network-object 192.168.104.0 255.255.255.0
    network-object 192.168.113.0 255.255.255.0
    access-list in->outside permit tcp 192.168.18.80 255.255.255.240 any object-group WEB
    access-list in->outside permit udp 192.168.18.80 255.255.255.240 any eq domain
    access-list in->outside permit icmp any any source-quench
    access-list in->outside permit icmp any any echo
    access-list in->outside permit icmp any any echo-reply
    access-list in->outside permit icmp any any unreachable
    access-list in->outside permit icmp any any time-exceeded
    access-list outside->in permit ip object-group ****************192.168.18.80 255.255.255.240
    access-list outside->in permit tcp object-group ****************** 192.168.18.80 255.255.255.240
    access-list outside->in permit icmp object-group *************** any source-quench
    access-list outside->in permit icmp object-group ****************any echo
    access-list outside->in permit icmp object-group ******************** any echo-reply
    access-list outside->in permit icmp object-group ********************any unreachable
    access-list outside->in permit icmp object-group ********************* any time-exceeded
    access-list outside_crypto permit ip 192.168.18.80 255.255.255.240 object-group *******************
    pager lines 24
    mtu outside 1500
    mtu inside 1500
    ip address outside 10.0.0.1 255.255.255.0
    ip address inside inside 255.255.255.240
    ip audit info action alarm
    ip audit attack action alarm
    arp timeout 14400
    global (outside) 1 interface
    nat (inside) 0 access-list outside_crypto
    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    access-group outside->in in interface outside
    access-group in->outside in interface inside
    route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
    timeout xlate 0:05:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
    timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout sip-disconnect 0:02:00 sip-invite 0:03:00
    timeout uauth 0:05:00 absolute
    aaa-server TACACS+ protocol tacacs+
    aaa-server TACACS+ max-failed-attempts 3
    aaa-server TACACS+ deadtime 10
    aaa-server RADIUS protocol radius
    aaa-server RADIUS max-failed-attempts 3
    aaa-server RADIUS deadtime 10
    aaa-server LOCAL protocol local
    http server enable
    http 10.0.0.0 255.255.255.0 outside
    http 192.168.18.96 255.255.255.240 outside
    http 192.168.18.80 255.255.255.240 inside
    no snmp-server location
    no snmp-server contact
    snmp-server community public
    no snmp-server enable traps
    floodguard enable
    sysopt connection permit-ipsec
    crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
    crypto map outside_map 10 ipsec-isakmp
    crypto map outside_map 10 match address outside_crypto
    crypto map outside_map 10 set peer **************
    crypto map outside_map 10 set transform-set ESP-AES-256-SHA
    crypto map outside_map interface outside
    isakmp enable outside
    isakmp key ******** address **************netmask 255.255.255.255
    isakmp policy 10 authentication pre-share
    isakmp policy 10 encryption aes-256
    isakmp policy 10 hash sha
    isakmp policy 10 group 5
    isakmp policy 10 lifetime 86400
    telnet 192.168.18.80 255.255.255.240 inside
    telnet timeout 15
    ssh 192.168.18.80 255.255.255.240 inside
    ssh 192.168.18.96 255.255.255.240 inside
    ssh timeout 60
    console timeout 0
    dhcpd address **************************** inside
    dhcpd dns *******************************
    dhcpd lease 3600
    dhcpd ping_timeout 750
    dhcpd domain ************
    dhcpd auto_config outside
    dhcpd enable inside
    terminal width 80
    banner login WARNING !/If you're not authorize to connect, the competent authority will be contacted
    banner motd If you're not authorize to connect, the competent authority will be contacted !!
    Cryptochecksum:f2dd4ab8d9be24b876a59fc55f4d7fec
    : end
    -1