rss
Ils ont besoin de votre aide Tous les messages sans réponse
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

Routage aux sorties d'un VPN/IPSec

Posté par woodba, le mardi 6 mai 2008 à 10:33:42
Bonjour,

J'ai actuellement un VPN de monter entre 2 routeurs 800 Series.

Les 2 routeurs arrivent à pinguer leurs parties local LAN et la port coté WAN du routeur d'en face.
Par contre, ils n'arrivent pas à pinguer le port LAN du routeur d'en face.
En gros ils n'arrivent pas à accéder à la partie LAN de l'autre coté du VPN.

Je pense que ca doit venir :
- de mes access-list
ou/et
- de mes tables de routages

Je vous donne un shema (ne faite pas attention aux 2 téléphones branché sur le routeur de droite, c'est un problème que je vais résoudre plus tard ).
http://www.monsterup.com/image.php?url=upload/1209370206.jpg­

ainsi que mes configurations que j'ai mise:

routeur 1 :
ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)
ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.1 host 217.1.1.2 (autorisation pour mon VPN)
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)

routeur 2 :
ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)
ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )
access-list 100 permit ip host 217.1.1.2 host 217.1.1.1 (autorisation pour mon VPN)
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255 (autorisation pour le transfert de fichiers entre mes LAN)

Normalement il y a tout pour que le transfert se fasse. Cependant j'ai du oublié quelque chose.
Si vous trouvez la réponse à ma question je vous en remercie d'avance !
Répondre à woodba  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Nico le Vosgien, le mardi 6 mai 2008 à 23:19:10
Bonjour,

Je vais peut être poser une question idiote mais où se trouve l'aspect vpn de cette config ?

Outre le fait que je n'y vois en rien un vpn, il y a manifestement soucis de routage :

-> R1 ip route 0.0.0.0 0.0.0.0 217.1.1.1 (ma passerelle par défault)

si j'ai tout compris au but recherché, je pense qu'il vaudrait mieux mettre la .2 en next-hop

-> R1 ip route 130.1.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )

pas d'interet à mon sens

-> R2 ip route 0.0.0.0 0.0.0.0 217.1.1.2 (ma passerelle par défault)

idem que R1 : je mettrais la .1 dans ce cas ...

-> R2 ip route 172.16.0.0 255.255.0.0 FastEthernet0 (mon routage vers le LAN )

Pas d'interet.


Maintenant, si les stations ont bien la bonne GW du 800 ...
   
Répondre à Nico le Vosgien

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
woodba, le mercredi 7 mai 2008 à 09:38:28
Vous avez raison d'après mes explications cela n'est pas correct.
Heureusement ma config est mieux que cela !!
Pour plus d'explication je vais mettre toute ma config avec un schéma plus représentateur :

le schéma :
http://www.monsterup.com/image.php?url=upload/1210145754.jpg­

les configs :

Routeur 1: 
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routeur1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1122177087
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1122177087
 revocation-check none
 rsakeypair TP-self-signed-1122177087
!
!
crypto pki certificate chain TP-self-signed-1122177087
 certificate self-signed 01 nvram:IOS-Self-Sig#3703.cer
username admin privilege 15 secret 5 ***
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key *** address 217.1.1.4
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto map MAP 1 ipsec-isakmp 
 description Tunnel 
 set peer 217.1.1.4
 set transform-set ESP-3DES-SHA 
 match address 100
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $INTF-INF-FE 4$$ETH-WAN$
 ip address 217.1.1.1 255.255.255.252
 ip flow ingress
 ip flow egress
 duplex auto
 speed auto
 crypto map MAP
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-VLAN 1$$ETH-LAN$
 ip address 130.1.1.31 255.255.0.0
 ip broadcast-address 0.0.0.0
 ip flow ingress
 ip flow egress
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.1.1.2
ip route 130.1.0.0 255.255.0.0 FastEthernet0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 3600 requests 1000
!
!
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
no cdp run
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end


Routeur2: 
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routeur 2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1577902959
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1577902959
 revocation-check none
 rsakeypair TP-self-signed-1577902959
!
!
crypto pki certificate chain TP-self-signed-1577902959
 certificate self-signed 01 nvram:IOS-Self-Sig#3902.cer
username admin privilege 15 secret 5 ***
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key *** address 217.1.1.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto map MAP 1 ipsec-isakmp 
 description Tunnel
 set peer 217.1.1.1
 set transform-set ESP-3DES-SHA 
 match address 100
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $INTF-INF-FE 4$$ETH-WAN$
 ip address 217.1.1.4 255.255.255.252
 ip flow ingress
 ip flow egress
 duplex auto
 speed auto
 crypto map MAP
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 172.16.13.2 255.255.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.1.1.3
ip route 172.16.0.0 255.255.0.0 FastEthernet0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255
access-list 100 permit ip host 217.1.1.4 host 217.1.1.1
no cdp run
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end
   
Répondre à woodba

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Nico le Vosgien, le mercredi 7 mai 2008 à 13:52:12
ok, donc il y a bien notion ipsec !

En regardant rapidement, la conf ipsec semble bonne sauf que l'adresse peer en .4 m'étonne un peu : vous êtes sur un /30 ici ? 217.1.1.0/30 ? donc les 2 adresses à utiliser sont 1 & 2 ? : pourquoi je vois du .3 & .4 ????

Apres, il faudrait passer qques show pour valider que le tunnel ipsec est bien en place et qu'il fait bien son travail !

sh crypto isakmp policy
sh crypto ipsec transform-set
sh crypto ipsec sa
sh CRypto MAp
   
Répondre à Nico le Vosgien

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
woodba, le mercredi 7 mai 2008 à 14:19:29
j'ai fait de nouveau test et mon vpn fonctionne bien. Je ping des machines sur le réseau.
J'ai remplacé mon acl :
access-list 100 permit 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
par :
access-list 100 permit any any

J'ai testé plusieur fois et le blocage vient bien de cette acl.

Reste maintenant à savoir pourquoi elle fonctionnai pas avt !?!

Sinon pour les adresses que j'ai mise sur mon schéma se sont des adresses fausses.
J'ai bien mes adresse ip publique qui se suivent. ;)
   
Répondre à woodba

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Nico le Vosgien, le jeudi 8 mai 2008 à 11:56:53
Si tout est ok en any any, alors c'est probablement que l'acl d'origine ne couvre pas les adresses testées ?
   
Répondre à Nico le Vosgien

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 woodba, le mardi 13 mai 2008 à 09:10:02
oui, j'en ai conclu la meme chose. En mettant any any tout fonctionne. Mon problème est donc résolu.
Il me reste juste à mettre la bonne acl ^^
   
Répondre à woodba
Posez votre question Répondre
Logiciels pertinents trouvés dans les téléchargements
Télécharger Hamachi 1.0.2.5Hamachi - Hamachi est une application permettant à des ordinateurs distants de créer un réseau local virtuel ( VPN ), comme s'ils...Catégorie: Réseau
Licence: Freeware/gratuit
Télécharger Casc'ADSL 0.99 build 4209Casc'ADSL - Casc'ADSL est un outil destiné aux Internautes se connectant via le service d'accès distant et désireux de maintenir leur...Catégorie: ADSL
Licence: Freeware/gratuit
Télécharger BootVis 1.3.37.0BootVis - Si votre ordinateur est lent à démarrer, il est possible d'améliorer la vitesse de chargement en optimisant le processus de...Catégorie: Optimisation
Licence: Freeware/gratuit
Télécharger ItnConv 1.63ItnConv - ItnConv (Itineraire Convertisseur) est un utilitaire pour convertir un itinéraire contenu dans un fichier Autoroute Express,...Catégorie: Bureautique
Licence: Freeware/gratuit
Plus de logiciels gratuits sur « routage aux sorties d'un VPN/IPSec »