Un petit up

Salut
Se sont de fausses adresses IP public, désolé j'aurais dut le spécifié avant, j'avoue j'aurais put faire plus cohérent,
et mon boitier routeur cisco 877 est directement sur internet via une connexion PPPoE

D'après Cisco : "Use only the default tunnel group and default group policy on the Cisco PIX/ASA. User-defined policies and groups do not work."

Passe ta config en "tunnel-group DefaultRAGroup"

Dis-moi si cela marche.

Petit lien supplémentaire :http://www.cisco.com/...

Je ne crois pas que l'article convienne à mon cas, l'article que tu m'as indiqué il parle d'accès distant (Remote Access) mais mon architecture c'est du site à site ou LAN to LAN (L2L).

Sa correspond plus à cet article là : http://www.cisco.com/...

qui indique qu'il faut désactiver le NAT sur le réseau privé du routeur :

!--- Except the private network from the NAT process:

ip nat inside source route-map nonat pool branch overload

mais je ne sais pas du tout comment procéder avec le CLI de cisco pour déactiver le NAT sur le réseau privé parce que dans la configuration du routeur moi j' ai ça :

ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload

C'est exact, je me suis emporté trop vite ^^

pour désactiver le nat c'est : ip nonat (il me semble)

Sur le lien que tu as donné, il donnent la commande : ip nat inside source route-map nonat pool branch overload

Essayes cette même commande, si elle ne marche pas, essayes de l'adapter a ta config mais normalement ça doit marcher.

En tout cas tiens moi, au courant de ton avancement, cela m'intéresse vu que je dois réaliser ce genre de chose dans pas longtemps !

Merci !

C'est pas mal du tout, merci de t'ête donne autant de mal pour trouver ces infos.

Donc si j'interprète bien ce que tu me dis là, les ligne de configuration telles que celles-ci :

ip nat inside source route-map nonat pool branch overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.17.63.225
no ip http server

sont en fait des commande qu'on peut utiliser dans la CLI ... mort de rire si c'est bien ça :D en tout sa va me simplifier la vie.

J'essaierai tout cela demain de bon matin et de bonne humeur ^^

Je te tien au courant

Bon je suis enfin parvenu à ce que mon tunnel soit établie entre mon routeur et l'ASA, après de multiple ligne de commande et du voisinage de logs intensif, j'ai put trouver la source du problème le NAT ...

En fait j'avais activé le nat transversal du coté ASA mais pas du coté routeur, donc j'ai viré le NAT-Transversal et retesté le tunnel et par magie il était devenu "up"

Mais j'avais d'autres soucie de NAT sur mon réseau privé, parce qu'il faut désactiver le NAT sur le réseau privé et l'interface SDM n'aide pas beaucoup pour le faire. Pour rectifier la chose j'ai appliqué la configuration du lien que j'avais donné précédemment :

http://www.cisco.com/...

Voila maintenant j'ai un autre problème je ne vois pas comment accéder a mon réseau privé qui se trouve derrière l'ASA depuis l'autre réseau privé en passant par le VPN.

Une idée ?

je rappel ma conf :

(vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8)

et je précise que les ip sont bidon ^^

Bonjour bon mes problème ne sont toujours pas finit sinon se serai pas drôle xD (je juste un poil découragent), bref ...
Quand je ping depuis mon réseau 192.168.1.0 je suis arrêté par l'ASA qui me dit dans les logs :

3|Jul 03 2009 06:04:47|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.16.125.10 (type 8, code 0)



j'ai essayer de voir si c'était parce qu'il bloquait par default les paquet ICMP je suis tombé sur cette page
http://www.cisco.com/...

j'ai entré les ligne de commande correspondante pour Inbound/Outbound en adaptant à ma config

et ça bloque toujours -_-' et pour les ACL IPSEC et NAT se sont les même en adaptant bien sûr que sur le lien cisco déjà cité je remet le lien :
http://www.cisco.com/...

Il y une ACL pour le NAT que je ne comprend pas de l'URL ci-dessus :

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0


De ce que j'ai comprit (peut etre pas grand chose ...) il ne faut pas que le trafic dans le tunnel soit NATé donc dans leur exemple de 10.1.1.0 à 10.2.2.0 mais l'ACL "nonat" le permet justement ...
C'est moi qui ne pas avoir tout comprit parce que c'est pas la première fois que je vois cette ACL dans des config similaire.
Si quelqu'un peut m'expliquer je suis tout ouïe.

Quelqu'un a t-il une idée je commence à sécher sérieusement

Cisco plus fort que moi ? :s

Alors pour moi, la commande access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 signifie :

Créer la liste d'accès nommée "nonat" où l'on autorise le transfert d'information entre les réseaux : 10.1.1.0/24 et 10.2.2.0/24

Et donc avec les commandes :
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

Tu associes ta liste d'accès externe (VPN) à ton NAT interne d'où l'obligation de désactiver le NAT externe (VPN).


Je suis pas sur de ce que j'ai mis car je ne l'ai jamais vraiment pratiqué, mais c'est la traduction que j'en tire.

Voilà.

PS : Si brupala pouvait passer par là, je pense qu'il pourrait nous aider !

Je poste les configuration de l'asa et du routeur (j'aurais surement du commencer par là) :
Le routeur :

Building configuration...

Current configuration : 6515 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
!
!
crypto pki trustpoint TP-self-signed-3881351686
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3881351686
revocation-check none
rsakeypair TP-self-signed-3881351686
!
!
crypto pki certificate chain TP-self-signed-3881351686
certificate self-signed 01
quit
dot11 syslog
no ip source-route
ip cef
!
!
ip dhcp pool sdm-pool1
import all
network 192.xx.xx.0 255.255.255.0
dns-server xx.xx.xx.xx
default-router 192.xx.xx.xx
!
!
no ip bootp server
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vdb18 address 92.xx.xx.xx
!
!
crypto ipsec transform-set esp_md5_3des esp-3des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 92.xx.xx.xx
set peer 92.xx.xx.xx
set transform-set esp_md5_3des
set pfs group2
match address 120
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
ip unnumbered ATM0.1
tunnel mode ipsec ipv4
!
interface Virtual-Template2 type tunnel
ip unnumbered ATM0.1
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.xx.xx.xx 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
dialer pool 1
dialer-group 1
no cdp enable

crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat pool branch 80.xx.xx.xx 80.xx.xx.xx netmask 255.255.255.240
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip nat inside source route-map nonat pool branch overload
!
logging trap debugging

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.xx.xx.0 0.0.0.255

access-list 120 permit ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 deny ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 permit ip 192.xx.xx.0 0.0.0.255 any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map nonat permit 10
match ip address 130
!
!
control-plane

line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

l'ASA :

ASA Version 7.0(8)

!
interface Ethernet0/0
description SDSL
nameif SDSL
security-level 0
ip address 92.xx.xx.xx 255.255.255.248
!
interface GigabitEthernet1/3
description VPN
nameif VPN
security-level 75
ip address 172.xx.xx.xx 255.255.255.0
!

!-- ACL permettant d'autoriser le ping
access-list 111 extended permit icmp any host 172.xx.xx.xx echo
access-list 111 extended permit icmp any any echo-reply
access-list 111 extended permit icmp any any source-quench
access-list 111 extended permit icmp any any unreachable
access-list 111 extended permit icmp any any time-exceeded

access-list ipsec extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0
access-list ipsec extended permit icmp 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0

access-list nonat extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0


mtu SDSL 1500
mtu VPN 1500
no failover

icmp permit any SDSL
icmp permit any VPN

asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (SDSL) 4 interface

nat (VPN) 0 access-list nonat
nat (VPN) 0 172.xx.xx.0 255.255.255.0

static (VPN,SDSL) 172.xx.xx.xx 92.xx.xx.xx netmask 255.255.255.255
access-group 111 in interface SDSL

!--route vers le routeur internet
route SDSL 0.0.0.0 0.0.0.0 xx.xx.xx.xx 2

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec
password-storage disable
ip-comp enable
re-xauth disable
group-lock value DefaultL2LGroup
pfs enable
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
client-firewall none
client-access-rule none
webvpn
functions url-entry
port-forward-name value Application Access


http server enable
http 172.16.128.0 255.255.248.0 MGT
http 10.0.0.202 255.255.255.255 MGT
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto map SDSL_map 20 match address ipsec
crypto map SDSL_map 20 set pfs
crypto map SDSL_map 20 set peer 80.xx.xx.xx
crypto map SDSL_map 20 set transform-set ESP-3DES-MD5
crypto map SDSL_map 20 set security-association lifetime seconds 28800
crypto map SDSL_map 20 set security-association lifetime kilobytes 4608000
crypto map SDSL_map 20 set nat-t-disable
crypto map SDSL_map 20 set phase1-mode aggressive
crypto map SDSL_map interface SDSL

isakmp identity address
isakmp enable SDSL
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp ipsec-over-tcp port 10000

tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *

tunnel-group tunnel_vpn type ipsec-l2l
tunnel-group tunnel_vpn ipsec-attributes
pre-shared-key *
telnet 10.xx.xx.xx 255.255.255.255 MGT
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global


Voila j'espère que quelqu'un pourra m'éclairer sur les raison du dysfonctionnement de se tunnel

J'up ce topic, j'ai le même soucis :(

Salut GiLe46 ta configuration ressemble beaucoup à la mienne ?
Parce que mon problème est a 90% résolue, maintenant faut que je trouve une manière d'autoriser le traffic sur le tunnel surement un problème de droit :s (ACL ...)

Donc si c'est pour la configuration du tunnel ( si il est "down") je peux peut etre t'aider

Mon tunnel est UP. Mais je l'arrive pas à faire communiquer les postes de bout en bout du VPN L2L.
J'ai des routes statiques. Etant dans un univers de test j'ai completement ouvert les acl : "permit ip any any" mais je pense plutot que c'est au niveau du nat que j'ai mon soucis.

Je souhaite en finalité naté les postes du petit réseau distant avec des adresses du réseau local. Du nat statique ou en d'autres mots nat 1 pour 1.

Mais je garde la conviction que nos problèmes sont étroitement liés étant au même point : VPN site à site ok mais pas de communication de bout en bout...

SALUT:

Veuillez essayer de définir la commande suivante sur les interfaces WAN de chaque serveur VPN :

#ip tcp adjust-mss 1472

Bonne chance

Je ne pense pas que se soit un problème de taille de segment TCP, mais merci d'avoir proposé une idée.
Sinon la commande n'existe pas dans l'IOS de l'ASA 5.0(8) mais elle existe sous une autre forme dans celui du routeur : sans le adjust et en précisant la taille du segment voulu "ip tcp mss 100".

Les problèmes que je rencontre se situe plus au niveau de l'ASA car quand j'essaie d'accéder aux serveur derrière l'ASA en HTTP depuis un navigateur ou quand j'essaie de le "pinguer" tout cela avec un ordinateur dans le réseau privé du routeur, l'ASA reçois bien les demandes mais il les interceptes :s.

Pourtant j'ai autorisé tout le trafic TCP/IP entrant et sortant venant de mes réseau privé sur l'ASA
Pour ce qui est des règles IPSEC j'en est mis qu'une parce que dans tout les tutoriels que j'ai pu voir ils n'en mettait qu'une (logique) :/ sinon je ne vois pas lesquelles ajouter.

Voici ce que me log mon cher ASA quand il me bloque les demandes de ping et connections TCP:

3|Jul 06 2009 23:44:05|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
3|Jul 06 2009 23:43:59|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
3|Jul 06 2009 23:43:54|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
2|Jul 06 2009 23:43:41|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:35|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:32|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:20|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:14|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN on interface SDSL
2|Jul 06 2009 23:43:11|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN on interface SDSL

J'ai le même avis que Moniomox.

%PIX|ASA-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num} gaddr {gaddr | cmp_type} laddr laddr
An ICMP session was removed in fast-path when stateful ICMP is enabled using the fixup protocol icmp command.

Utilise :

Monitoring -> Logging -> View Et la t'auras plus de détail ainsi que la possibilité de créer des ACL en fonction des log juste avec un clique droit.

Donc qui dit clique droit dit ASDM :)

Quel version de ASDM as tu ? Moi je ne peut pas créer d'ACL en live avec mes log, j'ai le choix entre "live log" ou "log buffer" et cela avec un "logging level" que me permet de selectionner ce que je vois, genre "Debugging" tu vois tout ce qui se passe (c'est avec ce mode la que sont tiré mes logs).