VPN client sur Cisco 877

Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   -  
 ALBATOR_123 -
Bonjour,

J'aimerais créer pour mon entreprise, une connexion VPN entre deux sites distants. L'un (le siège) comportant un routeur NETGEAR ProSafe VPN Firewall FVX538, là ou est créé mon VPN passerelle, là un tunnel VPN est configuré pour recevoir les connexion de mon autre site. Et l'autre (un des autres site de l'entreprise) constitué d'un routeur Cisco 877. Sur ce dernier est configuré un accès VPN client pointant vers l'adresse public du siège. Et aussi configuré le firewall pour un accès dans les deux sens pour le port 4723 et le protocole IP GRE.

Lors des tests, mon Cisco est incapable de détecter le VPN distant, et donc de s'y connecter. Lors du "debugging" de ce dernier, le tunnel apparait "down" (normal), l'interface est OK, configuration OK, routing OKn peer connectivity OK, firewall OK.

Que faire ??

Merci pour d'éventuelles réponses !

26 réponses

  • 1
  • 2
  1. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Bonjour,

    "le tunnel apparait "down" (normal)"

    Pourquoi c'est normal que le tunnel apparaisse "DOWN"???
    0
  2. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Parque sinon je ne serais pas en train de t'écrire et en train de demander de l'aide...
    0
  3. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Aide svp !!!
    0
  4. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Du calme!
    J'ai pas compris pourquoi tu a mis "(normal)" à coté de "down"... Est ce que c'était une affirmation ou une question??!!
    Ensuite, le plus simple pour le VPN site à site c'est d'utiliser les mêmes routeurs, ça évite pas mal de soucis!!
    Sinon comment est sécurisé ton VPN?!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Eh oui ca m'aurait bien simplifié la vie d'avoir deux mêmes routeurs... faut que je fasse avec.

    Concernant la sécurité, je te laisse jeter un coup d'œil à la config des deux routeurs, sachant que j'ai été incapable de régler la sécurité du routeur Cisco à part pour régler le firewall :

    NETGEAR :
    IKE policies :
    _Name : vpn_toulouse
    _Direction/Type : responder
    _Echange mode : aggressive
    _Local FQDN : fvl_local
    _Remote FQDN : fvl_remote
    _Encryption Algo : 3DES
    _Authentification Algo : SHA-1
    _Preshared Key : ********
    _DH Group : 2 (1024bit)
    _SA lifetime : 86400
    _Enable dead peer detection : NO
    _XAUTH configuration : NONE

    VPN policies :
    _Police type : Auto policy
    _Local Gateway : WAN1
    _Remote endpoint : fvl_remote
    _Local IP : 192.168.2.0
    _Local SM : 255.255.255.0
    _Remote IP : ANY
    _SA lifetime : 3600
    _Encryption Algo : 3DES
    _Entigrity Algo : DH Group2 1024bits
    _IKE policy : vpn_toulouse

    VPN user :
    _username : vpn_toulouse
    _Password : *******

    CISCO :
    _Connection name : vpn_toulouse
    _VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
    _Mode of operation : Client
    _Authentification : Pre-Shared key
    _User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
    _Key : ******** (la même que sous Netgear)
    _XAuth : vpn_toulouse
    _Password : ****** (le même que vpn user sous NetGear)
    _Interface to local network : vlan1 (connexion internet)
    _Interface to internet : Dialer0
    _Remote conection client : Automatically
    0
    1. Makss Messages postés 384 Date d'inscription   Statut Membre 25
       
      Salut,

      Tes VPN sont sécurisé par clef partagé aparement (si je me trompe pas!), ce qui est moin le bordel que les certificats (mais moins sécurisé).
      Tu remarquera que tu n'as pas de XAUTH configuré sur ton routeur netgear (_XAUTH configuration : NONE), pour quoi en attribuer sur le routeur cisco?! A moins que celle ci ne corresponde pas aux paramètres IKE.
      Avec quoi fais tu ta config de ton routeur CISCO?!
      Fais le avec le SDM, dans celui ci tu peu règler tes paramètre IKE, tes règles VPN... Et les mettres idem à celle de ton Netgear (notament pour l'algorythme de cryptage..)
      0
  7. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Merci pour ta réponse Makss !

    A vrai dire j'utilise SDM pour config mon routeur Cisco.
    Je viens de supprimer XAUTH authentification du Cisco.

    Serais tu quels sont les réglages à effectuer sur le Firewall des deux routeurs afin que celà passe?

    merci
    0
  8. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    De ton réseau local vers le web, autorise tout, tu restreindra selon le besoin.
    De ton réseau web (dialer 0) vers ton réseau local :
    -Autorise le trafic IP de ton réseau local distant en destination du réseau local derière le routeur que tu configure.

    A ce niveau, moi j'ai des VPN configuré comme ce ci utilisés pour la téléphonie IP. J'ai voulu y toucher pour faire du VPN site à site, j'ai fais sauter le téléphone!!!
    Je suppose qu'il faut autoriser le traffic UDP et TCPdu même style que ci dessus...
    Je me renseigne de mon coté et te tiens au courant.
    Si t'as du neuf et que tu avance, merci de me mettre au parfum!!!

    0
  9. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Merci pour ton aide Makss !!

    Oui j'essaye d'avancer de mon côté... mais avec peu de résultats. Enfin quand même, voici le log du VPN coté Netgear :

    2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IPSec configuration with identifier "TOULOUSE"_
    2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IKE configuration with identifer "TOULOUSE"_
    2008 Nov 26 16:55:08 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
    2008 Nov 26 16:55:08 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
    2008 Nov 26 16:55:08 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
    2008 Nov 26 16:55:08 [FVX538] [IKE] Beginning Identity Protection mode._
    2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
    2008 Nov 26 16:55:12 [FVX538] [IKE] Received unknown Vendor ID_
                    - Last output repeated twice -
    2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
    2008 Nov 26 16:55:14 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:3acac3ccc885085a:7cda573f3d8b509a_
    2008 Nov 26 16:55:14 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
    2008 Nov 26 16:55:15 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.xx.xx.xx[0]_
    2008 Nov 26 16:55:16 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
    2008 Nov 26 16:56:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up. 3acac3ccc885085a:7cda573f3d8b509a:9cdfcc80_
    2008 Nov 26 16:56:15 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._ 


    Donc ça bloque à cette fameuse "Phase 2" pacque "Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found"...
    Comme dirait mon oncle Anatole espagnol : ?Qué passa?!!

    Merci à toute aide éventuelle, et bien sur Makss je te tiens au courant si j'avance !
    0
  10. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Vérifie tes stratégies IKE sur tes deux routeurs, ils doivent avoir les mêmes algorythmes de cryptage, hachage, étre dans le même groupe...
    0
  11. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    "Même group" ? cad?!

    Sinon, les stratégies sont identiques.
    0
  12. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Bon ça y est !
    La connexion VPN est établie....

    ...
    2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 80.xx.xx.xx->78.xx.xx.xx with spi=107693002(0x66b43ca)_
    2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 78.xx.xx.xx->80.xx.xx.xx with spi=3190685695(0xbe2dffff)_

    le problème maintenant est que je ne peux pas encore accéder au PC de l'autre côté. Savez vous à quoi cela est du?!

    Merci
    0
  13. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Qu'as tu modifié pour que ta connexion soit établie ? Que tout le mode puisse comprendre!!!!
    Pour tes PC, je ne sais pas, moi j'en suis là aussi...
    Mes liaisons sont montées, mais je ne sais pas comment configurer les postes pour qu'ils puissent communiquer!
    0
  14. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Il s'agissait des réglages IPSec Rules, mal configurées... je m'étais trompé entre l'adresse publique et l'adresse de mon réseau...

    Bref !

    Concernant notre problème commun, je ne vois vraiment pas d'où cela puisse venir...

    j'arrive même pas à pinger mes postes distants, ainsi que le routeur (avec son @IP local) !
    0
    1. Makss Messages postés 384 Date d'inscription   Statut Membre 25
       
      Si tu n'arrive pas a pinguer ton routeur avc son IP locale (depuis ton réseau local!!), vérifie que celui-ci ne refuse pas les requettes ICMP. Vérifie aussi qu'il soit dans le même réseau que ton réseau local.
      0
      1. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10 > Makss Messages postés 384 Date d'inscription   Statut Membre
         
        A vrai dire je le ping avec son adresse publique mais pas avec son adresse privé en étant placé de l'autre coté du VPN, comme je ne ping pas les autres pcs toujours situés de l'autre coté du VPN.



        0
  15. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Ton routeur doit refusé les requètes ping sur son interface publique, pour éviter d'être "découvert", regarde dans les paramètres de ton routeurs dans les option ACL et Pare feux si il y a des règles concernant les requètes ICMP.
    Moi je peux pinguer les adresses de routeur de mes réseau distant (192.168.2.100 et 192.168.3.100) depuis mon réseau local (192.168.1.0).
    0
  16. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Oui c'est ce que je dit... je le ping avec son adresse publique 80.xx.xx.xx pacque son firewall n'est pas encore activé mais pas avec son adresse privée 10.10.10.1 à partir de mon adresse privé 192.168.2.201...
    0
  17. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Ok Ok, j'avais pas compris ça comme ça!!! Bah écoute, tu dois encore avoir des soucis de paramètrage :s
    Et dans l'autre sens ça marche ??!!
    0
  18. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    non :(
    0
  19. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    Il a donc encore des soucis de config à mon avis ! Je peu t'envoyer la config d'un de mes routeur pour que tu t'en inspire si tu veux.
    0
  20. Scouby64 Messages postés 188 Date d'inscription   Statut Membre Dernière intervention   10
     
    Oui je veux bien stp.. ça pourra m'inspirer : charlie.aubert@2moro.fr
    0
  21. Makss Messages postés 384 Date d'inscription   Statut Membre 25
     
    !Ceci est la configuration du routeur : 192.168.1.100
    !----------------------------------------------------------------------------
    !version 12.4
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname MA_SOCIETE
    !
    boot-start-marker
    boot-end-marker
    !
    no logging buffered
    !
    aaa new-model
    !
    !
    aaa authentication login default local
    aaa authentication login sdm_vpn_xauth_ml_1 local
    aaa authentication login sdm_vpn_xauth_ml_2 local
    aaa authorization exec default local
    aaa authorization network sdm_vpn_group_ml_1 local
    aaa authorization network sdm_vpn_group_ml_2 local
    !
    !
    aaa session-id common
    clock timezone Paris 1
    clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00
    !
    !
    dot11 syslog
    ip cef
    !
    !
    !
    !
    ip domain name MA_SOCIETE.com
    ip name-server 80.x.x.x
    ip inspect name SDM_LOW appfw SDM_LOW
    ip inspect name SDM_LOW tcp
    ip inspect name SDM_LOW udp
    ip auth-proxy max-nodata-conns 3
    ip admission max-nodata-conns 3
    !
    appfw policy-name SDM_LOW
    application http
    port-misuse p2p action reset alarm
    !
    multilink bundle-name authenticated
    !
    !
    username admin_name privilege 15 password 0 ******
    username other_name privilege 15 password 0 *******
    !
    !
    crypto isakmp policy 1
    encr 3des
    authentication pre-share
    group 2
    crypto isakmp key clé_partagée address 80.x.x.x no-xauth
    crypto isakmp key clé-partagée address 80.x.x.x no-xauth
    crypto isakmp invalid-spi-recovery
    !
    crypto isakmp client configuration group GroupMa_societe
    key *******
    pool SDM_POOL_1
    !
    !
    crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
    crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
    crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
    !
    crypto dynamic-map SDM_DYNMAP_1 1
    set transform-set ESP-3DES-SHA2
    reverse-route
    qos pre-classify
    !
    !
    crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_2
    crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_2
    crypto map SDM_CMAP_1 client configuration address respond
    crypto map SDM_CMAP_1 1 ipsec-isakmp
    description Tunnel VERS SITE2
    set peer 80.x.x.x
    set transform-set ESP-3DES-SHA
    match address 102
    crypto map SDM_CMAP_1 2 ipsec-isakmp
    description Tunnel VERS SITE3
    set peer 80.x.x.x
    set transform-set ESP-3DES-SHA1
    match address 120
    crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
    !
    archive
    log config
    hidekeys
    !
    !
    !
    class-map match-any sdm_p2p_kazaa
    match protocol fasttrack
    match protocol kazaa2
    class-map match-any sdm_p2p_edonkey
    match protocol edonkey
    class-map match-any sdm_p2p_gnutella
    match protocol gnutella
    class-map match-any sdm_p2p_bittorrent
    match protocol bittorrent
    !
    !
    policy-map sdmappfwp2p_SDM_LOW
    class sdm_p2p_gnutella
    drop
    class sdm_p2p_bittorrent
    drop
    class sdm_p2p_edonkey
    drop
    class sdm_p2p_kazaa
    drop
    !
    !
    !
    !
    interface ATM0
    no ip address
    no atm ilmi-keepalive
    dsl operating-mode auto
    !
    interface ATM0.1 point-to-point
    pvc 8/35
    pppoe-client dial-pool-number 1
    !
    !
    interface FastEthernet0
    !
    interface FastEthernet1
    !
    interface FastEthernet2
    !
    interface FastEthernet3
    !
    interface Vlan1
    description $FW_INSIDE$
    ip address 192.168.1.100 255.255.255.0
    ip access-group 100 in
    ip nat inside
    ip virtual-reassembly
    ip tcp adjust-mss 1412
    !
    interface Dialer0
    description $FW_OUTSIDE$
    ip address 80.x.x.x 255.x.x.x
    ip access-group 101 in
    ip mtu 1452
    ip nat outside
    ip inspect SDM_LOW out
    ip virtual-reassembly
    encapsulation ppp
    dialer pool 1
    dialer-group 1
    ppp authentication chap pap callin
    ppp chap hostname ********
    ppp chap password 0 ********
    ppp pap sent-username ******* password 0 *******
    crypto map SDM_CMAP_1
    service-policy input sdmappfwp2p_SDM_LOW
    service-policy output sdmappfwp2p_SDM_LOW
    !
    ip local pool SDM_POOL_1 10.x.x.x x.x.x.x
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 Dialer0
    !
    !
    ip http server
    no ip http secure-server
    ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
    !
    ICI la liste des ACL en place
    !
    !
    route-map SDM_RMAP_1 permit 1
    match ip address 103
    !
    !
    control-plane
    !
    !
    line con 0
    no modem enable
    line aux 0
    line vty 0 4
    transport input telnet ssh
    transport output all
    !
    scheduler max-task-time 5000
    ntp clock-period 17174972
    ntp server x.x.x.x source Dialer0
    end

    0
  • 1
  • 2