VPN client sur Cisco 877
Fermé
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
-
21 nov. 2008 à 16:23
ALBATOR_123 - 17 juil. 2012 à 14:57
ALBATOR_123 - 17 juil. 2012 à 14:57
A voir également:
- VPN client sur Cisco 877
- Vpn gratuit - Guide
- Orange service client - Guide
- Vpn comment ça marche - Guide
- Formate pour taxer client frigo vide - Forum PDF
- Formate pour taxer client 500€ ✓ - Forum Consommation & Internet
26 réponses
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
21 nov. 2008 à 16:35
21 nov. 2008 à 16:35
Bonjour,
"le tunnel apparait "down" (normal)"
Pourquoi c'est normal que le tunnel apparaisse "DOWN"???
"le tunnel apparait "down" (normal)"
Pourquoi c'est normal que le tunnel apparaisse "DOWN"???
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
21 nov. 2008 à 17:19
21 nov. 2008 à 17:19
Parque sinon je ne serais pas en train de t'écrire et en train de demander de l'aide...
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
24 nov. 2008 à 11:34
24 nov. 2008 à 11:34
Aide svp !!!
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
25 nov. 2008 à 11:57
25 nov. 2008 à 11:57
Du calme!
J'ai pas compris pourquoi tu a mis "(normal)" à coté de "down"... Est ce que c'était une affirmation ou une question??!!
Ensuite, le plus simple pour le VPN site à site c'est d'utiliser les mêmes routeurs, ça évite pas mal de soucis!!
Sinon comment est sécurisé ton VPN?!
J'ai pas compris pourquoi tu a mis "(normal)" à coté de "down"... Est ce que c'était une affirmation ou une question??!!
Ensuite, le plus simple pour le VPN site à site c'est d'utiliser les mêmes routeurs, ça évite pas mal de soucis!!
Sinon comment est sécurisé ton VPN?!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
25 nov. 2008 à 14:56
25 nov. 2008 à 14:56
Eh oui ca m'aurait bien simplifié la vie d'avoir deux mêmes routeurs... faut que je fasse avec.
Concernant la sécurité, je te laisse jeter un coup d'œil à la config des deux routeurs, sachant que j'ai été incapable de régler la sécurité du routeur Cisco à part pour régler le firewall :
NETGEAR :
IKE policies :
_Name : vpn_toulouse
_Direction/Type : responder
_Echange mode : aggressive
_Local FQDN : fvl_local
_Remote FQDN : fvl_remote
_Encryption Algo : 3DES
_Authentification Algo : SHA-1
_Preshared Key : ********
_DH Group : 2 (1024bit)
_SA lifetime : 86400
_Enable dead peer detection : NO
_XAUTH configuration : NONE
VPN policies :
_Police type : Auto policy
_Local Gateway : WAN1
_Remote endpoint : fvl_remote
_Local IP : 192.168.2.0
_Local SM : 255.255.255.0
_Remote IP : ANY
_SA lifetime : 3600
_Encryption Algo : 3DES
_Entigrity Algo : DH Group2 1024bits
_IKE policy : vpn_toulouse
VPN user :
_username : vpn_toulouse
_Password : *******
CISCO :
_Connection name : vpn_toulouse
_VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
_Mode of operation : Client
_Authentification : Pre-Shared key
_User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
_Key : ******** (la même que sous Netgear)
_XAuth : vpn_toulouse
_Password : ****** (le même que vpn user sous NetGear)
_Interface to local network : vlan1 (connexion internet)
_Interface to internet : Dialer0
_Remote conection client : Automatically
Concernant la sécurité, je te laisse jeter un coup d'œil à la config des deux routeurs, sachant que j'ai été incapable de régler la sécurité du routeur Cisco à part pour régler le firewall :
NETGEAR :
IKE policies :
_Name : vpn_toulouse
_Direction/Type : responder
_Echange mode : aggressive
_Local FQDN : fvl_local
_Remote FQDN : fvl_remote
_Encryption Algo : 3DES
_Authentification Algo : SHA-1
_Preshared Key : ********
_DH Group : 2 (1024bit)
_SA lifetime : 86400
_Enable dead peer detection : NO
_XAUTH configuration : NONE
VPN policies :
_Police type : Auto policy
_Local Gateway : WAN1
_Remote endpoint : fvl_remote
_Local IP : 192.168.2.0
_Local SM : 255.255.255.0
_Remote IP : ANY
_SA lifetime : 3600
_Encryption Algo : 3DES
_Entigrity Algo : DH Group2 1024bits
_IKE policy : vpn_toulouse
VPN user :
_username : vpn_toulouse
_Password : *******
CISCO :
_Connection name : vpn_toulouse
_VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
_Mode of operation : Client
_Authentification : Pre-Shared key
_User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
_Key : ******** (la même que sous Netgear)
_XAuth : vpn_toulouse
_Password : ****** (le même que vpn user sous NetGear)
_Interface to local network : vlan1 (connexion internet)
_Interface to internet : Dialer0
_Remote conection client : Automatically
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
26 nov. 2008 à 13:59
26 nov. 2008 à 13:59
Salut,
Tes VPN sont sécurisé par clef partagé aparement (si je me trompe pas!), ce qui est moin le bordel que les certificats (mais moins sécurisé).
Tu remarquera que tu n'as pas de XAUTH configuré sur ton routeur netgear (_XAUTH configuration : NONE), pour quoi en attribuer sur le routeur cisco?! A moins que celle ci ne corresponde pas aux paramètres IKE.
Avec quoi fais tu ta config de ton routeur CISCO?!
Fais le avec le SDM, dans celui ci tu peu règler tes paramètre IKE, tes règles VPN... Et les mettres idem à celle de ton Netgear (notament pour l'algorythme de cryptage..)
Tes VPN sont sécurisé par clef partagé aparement (si je me trompe pas!), ce qui est moin le bordel que les certificats (mais moins sécurisé).
Tu remarquera que tu n'as pas de XAUTH configuré sur ton routeur netgear (_XAUTH configuration : NONE), pour quoi en attribuer sur le routeur cisco?! A moins que celle ci ne corresponde pas aux paramètres IKE.
Avec quoi fais tu ta config de ton routeur CISCO?!
Fais le avec le SDM, dans celui ci tu peu règler tes paramètre IKE, tes règles VPN... Et les mettres idem à celle de ton Netgear (notament pour l'algorythme de cryptage..)
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
26 nov. 2008 à 14:21
26 nov. 2008 à 14:21
Merci pour ta réponse Makss !
A vrai dire j'utilise SDM pour config mon routeur Cisco.
Je viens de supprimer XAUTH authentification du Cisco.
Serais tu quels sont les réglages à effectuer sur le Firewall des deux routeurs afin que celà passe?
merci
A vrai dire j'utilise SDM pour config mon routeur Cisco.
Je viens de supprimer XAUTH authentification du Cisco.
Serais tu quels sont les réglages à effectuer sur le Firewall des deux routeurs afin que celà passe?
merci
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
26 nov. 2008 à 15:27
26 nov. 2008 à 15:27
De ton réseau local vers le web, autorise tout, tu restreindra selon le besoin.
De ton réseau web (dialer 0) vers ton réseau local :
-Autorise le trafic IP de ton réseau local distant en destination du réseau local derière le routeur que tu configure.
A ce niveau, moi j'ai des VPN configuré comme ce ci utilisés pour la téléphonie IP. J'ai voulu y toucher pour faire du VPN site à site, j'ai fais sauter le téléphone!!!
Je suppose qu'il faut autoriser le traffic UDP et TCPdu même style que ci dessus...
Je me renseigne de mon coté et te tiens au courant.
Si t'as du neuf et que tu avance, merci de me mettre au parfum!!!
De ton réseau web (dialer 0) vers ton réseau local :
-Autorise le trafic IP de ton réseau local distant en destination du réseau local derière le routeur que tu configure.
A ce niveau, moi j'ai des VPN configuré comme ce ci utilisés pour la téléphonie IP. J'ai voulu y toucher pour faire du VPN site à site, j'ai fais sauter le téléphone!!!
Je suppose qu'il faut autoriser le traffic UDP et TCPdu même style que ci dessus...
Je me renseigne de mon coté et te tiens au courant.
Si t'as du neuf et que tu avance, merci de me mettre au parfum!!!
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
26 nov. 2008 à 17:21
26 nov. 2008 à 17:21
Merci pour ton aide Makss !!
Oui j'essaye d'avancer de mon côté... mais avec peu de résultats. Enfin quand même, voici le log du VPN coté Netgear :
Donc ça bloque à cette fameuse "Phase 2" pacque "Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found"...
Comme dirait mon oncle Anatole espagnol : ?Qué passa?!!
Merci à toute aide éventuelle, et bien sur Makss je te tiens au courant si j'avance !
Oui j'essaye d'avancer de mon côté... mais avec peu de résultats. Enfin quand même, voici le log du VPN coté Netgear :
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IPSec configuration with identifier "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IKE configuration with identifer "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
2008 Nov 26 16:55:08 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 16:55:08 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
2008 Nov 26 16:55:08 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
2008 Nov 26 16:55:12 [FVX538] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2008 Nov 26 16:55:14 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:3acac3ccc885085a:7cda573f3d8b509a_
2008 Nov 26 16:55:14 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2008 Nov 26 16:55:15 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.xx.xx.xx[0]_
2008 Nov 26 16:55:16 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
2008 Nov 26 16:56:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up. 3acac3ccc885085a:7cda573f3d8b509a:9cdfcc80_
2008 Nov 26 16:56:15 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
Donc ça bloque à cette fameuse "Phase 2" pacque "Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found"...
Comme dirait mon oncle Anatole espagnol : ?Qué passa?!!
Merci à toute aide éventuelle, et bien sur Makss je te tiens au courant si j'avance !
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 08:10
27 nov. 2008 à 08:10
Vérifie tes stratégies IKE sur tes deux routeurs, ils doivent avoir les mêmes algorythmes de cryptage, hachage, étre dans le même groupe...
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
27 nov. 2008 à 09:34
27 nov. 2008 à 09:34
"Même group" ? cad?!
Sinon, les stratégies sont identiques.
Sinon, les stratégies sont identiques.
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
27 nov. 2008 à 11:15
27 nov. 2008 à 11:15
Bon ça y est !
La connexion VPN est établie....
...
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 80.xx.xx.xx->78.xx.xx.xx with spi=107693002(0x66b43ca)_
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 78.xx.xx.xx->80.xx.xx.xx with spi=3190685695(0xbe2dffff)_
le problème maintenant est que je ne peux pas encore accéder au PC de l'autre côté. Savez vous à quoi cela est du?!
Merci
La connexion VPN est établie....
...
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 80.xx.xx.xx->78.xx.xx.xx with spi=107693002(0x66b43ca)_
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 78.xx.xx.xx->80.xx.xx.xx with spi=3190685695(0xbe2dffff)_
le problème maintenant est que je ne peux pas encore accéder au PC de l'autre côté. Savez vous à quoi cela est du?!
Merci
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 11:20
27 nov. 2008 à 11:20
Qu'as tu modifié pour que ta connexion soit établie ? Que tout le mode puisse comprendre!!!!
Pour tes PC, je ne sais pas, moi j'en suis là aussi...
Mes liaisons sont montées, mais je ne sais pas comment configurer les postes pour qu'ils puissent communiquer!
Pour tes PC, je ne sais pas, moi j'en suis là aussi...
Mes liaisons sont montées, mais je ne sais pas comment configurer les postes pour qu'ils puissent communiquer!
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
27 nov. 2008 à 11:34
27 nov. 2008 à 11:34
Il s'agissait des réglages IPSec Rules, mal configurées... je m'étais trompé entre l'adresse publique et l'adresse de mon réseau...
Bref !
Concernant notre problème commun, je ne vois vraiment pas d'où cela puisse venir...
j'arrive même pas à pinger mes postes distants, ainsi que le routeur (avec son @IP local) !
Bref !
Concernant notre problème commun, je ne vois vraiment pas d'où cela puisse venir...
j'arrive même pas à pinger mes postes distants, ainsi que le routeur (avec son @IP local) !
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 13:30
27 nov. 2008 à 13:30
Si tu n'arrive pas a pinguer ton routeur avc son IP locale (depuis ton réseau local!!), vérifie que celui-ci ne refuse pas les requettes ICMP. Vérifie aussi qu'il soit dans le même réseau que ton réseau local.
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
>
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
27 nov. 2008 à 14:30
27 nov. 2008 à 14:30
A vrai dire je le ping avec son adresse publique mais pas avec son adresse privé en étant placé de l'autre coté du VPN, comme je ne ping pas les autres pcs toujours situés de l'autre coté du VPN.
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 15:30
27 nov. 2008 à 15:30
Ton routeur doit refusé les requètes ping sur son interface publique, pour éviter d'être "découvert", regarde dans les paramètres de ton routeurs dans les option ACL et Pare feux si il y a des règles concernant les requètes ICMP.
Moi je peux pinguer les adresses de routeur de mes réseau distant (192.168.2.100 et 192.168.3.100) depuis mon réseau local (192.168.1.0).
Moi je peux pinguer les adresses de routeur de mes réseau distant (192.168.2.100 et 192.168.3.100) depuis mon réseau local (192.168.1.0).
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
27 nov. 2008 à 15:34
27 nov. 2008 à 15:34
Oui c'est ce que je dit... je le ping avec son adresse publique 80.xx.xx.xx pacque son firewall n'est pas encore activé mais pas avec son adresse privée 10.10.10.1 à partir de mon adresse privé 192.168.2.201...
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 15:55
27 nov. 2008 à 15:55
Ok Ok, j'avais pas compris ça comme ça!!! Bah écoute, tu dois encore avoir des soucis de paramètrage :s
Et dans l'autre sens ça marche ??!!
Et dans l'autre sens ça marche ??!!
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
27 nov. 2008 à 15:56
27 nov. 2008 à 15:56
non :(
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 16:09
27 nov. 2008 à 16:09
Il a donc encore des soucis de config à mon avis ! Je peu t'envoyer la config d'un de mes routeur pour que tu t'en inspire si tu veux.
Scouby64
Messages postés
188
Date d'inscription
mercredi 9 août 2006
Statut
Membre
Dernière intervention
30 juin 2009
10
27 nov. 2008 à 16:26
27 nov. 2008 à 16:26
Oui je veux bien stp.. ça pourra m'inspirer : charlie.aubert@2moro.fr
Makss
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
25
27 nov. 2008 à 16:46
27 nov. 2008 à 16:46
!Ceci est la configuration du routeur : 192.168.1.100
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname MA_SOCIETE
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network sdm_vpn_group_ml_2 local
!
!
aaa session-id common
clock timezone Paris 1
clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00
!
!
dot11 syslog
ip cef
!
!
!
!
ip domain name MA_SOCIETE.com
ip name-server 80.x.x.x
ip inspect name SDM_LOW appfw SDM_LOW
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
appfw policy-name SDM_LOW
application http
port-misuse p2p action reset alarm
!
multilink bundle-name authenticated
!
!
username admin_name privilege 15 password 0 ******
username other_name privilege 15 password 0 *******
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key clé_partagée address 80.x.x.x no-xauth
crypto isakmp key clé-partagée address 80.x.x.x no-xauth
crypto isakmp invalid-spi-recovery
!
crypto isakmp client configuration group GroupMa_societe
key *******
pool SDM_POOL_1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA2
reverse-route
qos pre-classify
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_2
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_2
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel VERS SITE2
set peer 80.x.x.x
set transform-set ESP-3DES-SHA
match address 102
crypto map SDM_CMAP_1 2 ipsec-isakmp
description Tunnel VERS SITE3
set peer 80.x.x.x
set transform-set ESP-3DES-SHA1
match address 120
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
archive
log config
hidekeys
!
!
!
class-map match-any sdm_p2p_kazaa
match protocol fasttrack
match protocol kazaa2
class-map match-any sdm_p2p_edonkey
match protocol edonkey
class-map match-any sdm_p2p_gnutella
match protocol gnutella
class-map match-any sdm_p2p_bittorrent
match protocol bittorrent
!
!
policy-map sdmappfwp2p_SDM_LOW
class sdm_p2p_gnutella
drop
class sdm_p2p_bittorrent
drop
class sdm_p2p_edonkey
drop
class sdm_p2p_kazaa
drop
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $FW_INSIDE$
ip address 192.168.1.100 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address 80.x.x.x 255.x.x.x
ip access-group 101 in
ip mtu 1452
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname ********
ppp chap password 0 ********
ppp pap sent-username ******* password 0 *******
crypto map SDM_CMAP_1
service-policy input sdmappfwp2p_SDM_LOW
service-policy output sdmappfwp2p_SDM_LOW
!
ip local pool SDM_POOL_1 10.x.x.x x.x.x.x
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
no ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
ICI la liste des ACL en place
!
!
route-map SDM_RMAP_1 permit 1
match ip address 103
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17174972
ntp server x.x.x.x source Dialer0
end
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname MA_SOCIETE
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network sdm_vpn_group_ml_2 local
!
!
aaa session-id common
clock timezone Paris 1
clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00
!
!
dot11 syslog
ip cef
!
!
!
!
ip domain name MA_SOCIETE.com
ip name-server 80.x.x.x
ip inspect name SDM_LOW appfw SDM_LOW
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
appfw policy-name SDM_LOW
application http
port-misuse p2p action reset alarm
!
multilink bundle-name authenticated
!
!
username admin_name privilege 15 password 0 ******
username other_name privilege 15 password 0 *******
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key clé_partagée address 80.x.x.x no-xauth
crypto isakmp key clé-partagée address 80.x.x.x no-xauth
crypto isakmp invalid-spi-recovery
!
crypto isakmp client configuration group GroupMa_societe
key *******
pool SDM_POOL_1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA2
reverse-route
qos pre-classify
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_2
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_2
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel VERS SITE2
set peer 80.x.x.x
set transform-set ESP-3DES-SHA
match address 102
crypto map SDM_CMAP_1 2 ipsec-isakmp
description Tunnel VERS SITE3
set peer 80.x.x.x
set transform-set ESP-3DES-SHA1
match address 120
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
archive
log config
hidekeys
!
!
!
class-map match-any sdm_p2p_kazaa
match protocol fasttrack
match protocol kazaa2
class-map match-any sdm_p2p_edonkey
match protocol edonkey
class-map match-any sdm_p2p_gnutella
match protocol gnutella
class-map match-any sdm_p2p_bittorrent
match protocol bittorrent
!
!
policy-map sdmappfwp2p_SDM_LOW
class sdm_p2p_gnutella
drop
class sdm_p2p_bittorrent
drop
class sdm_p2p_edonkey
drop
class sdm_p2p_kazaa
drop
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $FW_INSIDE$
ip address 192.168.1.100 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address 80.x.x.x 255.x.x.x
ip access-group 101 in
ip mtu 1452
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname ********
ppp chap password 0 ********
ppp pap sent-username ******* password 0 *******
crypto map SDM_CMAP_1
service-policy input sdmappfwp2p_SDM_LOW
service-policy output sdmappfwp2p_SDM_LOW
!
ip local pool SDM_POOL_1 10.x.x.x x.x.x.x
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
no ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
ICI la liste des ACL en place
!
!
route-map SDM_RMAP_1 permit 1
match ip address 103
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17174972
ntp server x.x.x.x source Dialer0
end
