Configuration VPN [Résolu]

woodba - Dernière réponse le 13 mai 2008 à 19:53

Bonjour,
J'ai réussi a établir une connexion VPN site à site entre 2 Routeurs Cisco 800 serie mais j'ai quleques problème qui persiste :
Quand je suis connecté sur mon routeur 1 (en local) j'arrive à pinguer mon 2eme routeur (distant) ainsi que tout les postes du réseau distant.
Mon routeur 2 (distant) arrive à pinguer mon routeur 1 ainsi que mon réseau local.
Jusque là tout est normal.
Je me connecte sur un poste local et je ping mon routeur local ainsi que le port WAN de mon routeur distant.
Par contre, je n'arrive pas à pinguer à partir de mon poste 1 le port coté LAN de mon routeur 2 ainsi que tout le reste du réseau à distance.
Dans l'autre sens, mon poste 2 arrive à pinguer mon routeur 1 coté WAN mais pas coté LAN et le reste du réseau.
Je met un petit schéma pour mieux comprendre :
http://www.monsterup.com/image.php?url=upload/1210673551.jpg

Configuration VPN »

Suggestions

Configuration VPN
Installer un serveur VPN sous Windows XP » Articles
Configurer vpn iphone » Forum
Configurer vpn iphone 4s bouygues (Résolu) » Forum
Configurer VPN sous Windows serveur 2003 » Forum
Partager la connexion à Internet » Articles
Configuration vpn pour sfr (Résolu) » Forum
Configuration vpn firewall routeur (Résolu) » Forum
Configuration vpn seven (Résolu) » Forum
Configuration vpn sfr iphone 4s (Résolu) » Forum

Plus

Réponse

p_oum 957Messages postés 6 mai 2008Date d'inscription 13 février 2012Dernière intervention 13 mai 2008 à 19:53

De rien
Voila un config de PIX utilisant une liason VPN la syntaxe n'est pas tous a fais la même mais sa peut être t'aider :

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password *************** encrypted
passwd ********************* encrypted
hostname ******************
domain-name *****************
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.18.81 inside
name 10.0.0.2 **********
object-group service WEB tcp
port-object eq www
port-object eq https
object-group network *******************
network-object 192.168.18.0 255.255.255.240
network-object 192.168.18.16 255.255.255.240
network-object 192.168.18.32 255.255.255.240
network-object 192.168.18.48 255.255.255.240
network-object 192.168.18.64 255.255.255.240
network-object 192.168.18.96 255.255.255.240
network-object 192.168.101.0 255.255.255.0
network-object 192.168.103.0 255.255.255.0
network-object 192.168.104.0 255.255.255.0
network-object 192.168.113.0 255.255.255.0
access-list in->outside permit tcp 192.168.18.80 255.255.255.240 any object-group WEB
access-list in->outside permit udp 192.168.18.80 255.255.255.240 any eq domain
access-list in->outside permit icmp any any source-quench
access-list in->outside permit icmp any any echo
access-list in->outside permit icmp any any echo-reply
access-list in->outside permit icmp any any unreachable
access-list in->outside permit icmp any any time-exceeded
access-list outside->in permit ip object-group ****************192.168.18.80 255.255.255.240
access-list outside->in permit tcp object-group ****************** 192.168.18.80 255.255.255.240
access-list outside->in permit icmp object-group *************** any source-quench
access-list outside->in permit icmp object-group ****************any echo
access-list outside->in permit icmp object-group ******************** any echo-reply
access-list outside->in permit icmp object-group ********************any unreachable
access-list outside->in permit icmp object-group ********************* any time-exceeded
access-list outside_crypto permit ip 192.168.18.80 255.255.255.240 object-group *******************
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside inside 255.255.255.240
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list outside_crypto
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside->in in interface outside
access-group in->outside in interface inside
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.0.0.0 255.255.255.0 outside
http 192.168.18.96 255.255.255.240 outside
http 192.168.18.80 255.255.255.240 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto map outside_map 10 ipsec-isakmp
crypto map outside_map 10 match address outside_crypto
crypto map outside_map 10 set peer **************
crypto map outside_map 10 set transform-set ESP-AES-256-SHA
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address **************netmask 255.255.255.255
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes-256
isakmp policy 10 hash sha
isakmp policy 10 group 5
isakmp policy 10 lifetime 86400
telnet 192.168.18.80 255.255.255.240 inside
telnet timeout 15
ssh 192.168.18.80 255.255.255.240 inside
ssh 192.168.18.96 255.255.255.240 inside
ssh timeout 60
console timeout 0
dhcpd address **************************** inside
dhcpd dns *******************************
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain ************
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
banner login WARNING !/If you're not authorize to connect, the competent authority will be contacted
banner motd If you're not authorize to connect, the competent authority will be contacted !!
Cryptochecksum:f2dd4ab8d9be24b876a59fc55f4d7fec
: end

Ajouter un commentaire

Réponse

-1

p_oum 957Messages postés 6 mai 2008Date d'inscription 13 février 2012Dernière intervention 13 mai 2008 à 12:25

Lu,

Quel est le message d'erreur ?

Post ta configuration, sa pourra nous aider (enfin peut-etre)

Sinon, verifie tes ACL (ajoute un permit pour tous le traffic icmp) et tes routes (genre du RIPv2)

Ajouter un commentaire

woodba - 13 mai 2008 à 15:56

J'ai évolué dans ma problématique! J'arrive maintenant du réseau local à pinguer un pc sur le réseau distant.
Mon VPN est donc opérationnel.
Simplement pour y arrivé j'ai un peu ouvert en grand les porte en mettant comme acl :
access-list 100 ip permit any any

Cela fonctionne naturellement mais la sécurité n'est pas se qu'il y a de mieux.
Se qui est curieux c'est que mes deux autres lignes sont necessaire pour que le VPN fonctionne bien !! (pourtant any any devrai duffir !)
access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255

voici le schéma de mon installation :
http://www.monsterup.com/image.php?url=upload/1210685866.jpg

configuration du routeur 1 :

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routeur1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1122177087
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1122177087
 revocation-check none
 rsakeypair TP-self-signed-1122177087
!
!
crypto pki certificate chain TP-self-signed-1122177087
 certificate self-signed 01 nvram:IOS-Self-Sig#3703.cer
username admin privilege 15 secret 5 ***
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key key address 217.1.1.3
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto map MAP 1 ipsec-isakmp 
 description Tunnel 
 set peer 217.1.1.3
 set transform-set ESP-3DES-SHA 
 match address 100
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $INTF-INF-FE 4$$ETH-WAN$
 ip address 217.1.1.1 255.255.255.252
 ip flow ingress
 ip flow egress
 duplex auto
 speed auto
 crypto map MAP
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-VLAN 1$$ETH-LAN$
 ip address 130.1.1.31 255.255.0.0
 ip broadcast-address 0.0.0.0
 ip flow ingress
 ip flow egress
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.1.1.2
ip route 130.1.0.0 255.255.0.0 FastEthernet0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 3600 requests 1000
!
!
access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list 100 permit ip any any
no cdp run
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end

configuration du routeur 2 :

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname routeur 2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
!
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1577902959
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1577902959
 revocation-check none
 rsakeypair TP-self-signed-1577902959
!
!
crypto pki certificate chain TP-self-signed-1577902959
 certificate self-signed 01 nvram:IOS-Self-Sig#3902.cer
username admin privilege 15 secret 5 ***
!
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key key address 217.1.1.2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto map MAP 1 ipsec-isakmp 
 description Tunnel to ATHIC
 set peer 217.1.1.2
 set transform-set ESP-3DES-SHA 
 match address 100
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $INTF-INF-FE 4$$ETH-WAN$
 ip address 217.1.1.4 255.255.255.252
 ip flow ingress
 ip flow egress
 duplex auto
 speed auto
 crypto map MAP
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 172.16.13.2 255.255.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.1.1.3
ip route 172.16.0.0 255.255.0.0 FastEthernet0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 100 permit ip host 217.1.1.4 host 217.1.1.1
access-list 100 permit ip 172.16.0.0 0.0.255.255 130.1.0.0 0.0.255.255
access-list 100 permit any any
no cdp run
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end

Réponse

-1

p_oum 957Messages postés 6 mai 2008Date d'inscription 13 février 2012Dernière intervention 13 mai 2008 à 16:13

Re,

Pour l'histoire du any any je n'est pas de solution car j'ai eu le mm genre de pb sur un PIX 501.
Par contre si tu veux ameliorer la securité retire access-list 100 permit any any sur les deux routeur (test qd mm si sa fonctionne tjrs !!!!!!!!!!!)

Si tu pense ton pb résolu noubli pas de le signaler en modifiant le status .........

Ajouter un commentaire

woodba - 13 mai 2008 à 17:11

J'ai testé mais le VPN se coupe quand je retire les 'any any'.
Je considère quand meme mon problème comme résolut puisque mon VPN fonctionne maintenant.
J'ouvrirai un autre sujet pour mes acl si je veux améliorer ma sécurité.

Merci à toi ;)

Répondre au sujet

Posez votre question

Dossier à la une

5 extensions si vous voulez revenir à l'ancien Facebook

5 extensions si vous voulez revenir à l'ancien Facebook

Vous n'aimez pas le lifting de Facebook ? Le site Mashable propose cinq étapes pour revenir à l'ancienne présentation du réseau social.

Les interviews exclusives

Bazando fidélise ses clients avec les Facebook credits

Toutes les interviews

Collection CommentÇaMarche.net

Laurent Ricard

Tout pour bien utiliser l'iPhone 4 et 3GS

Plus de livres

Configuration VPN [Résolu]

Configuration VPN »

5 extensions si vous voulez revenir à l'ancien Facebook

"un outil vraiment simple à la portée de tous"

Tout pour bien utiliser l'iPhone 4 et 3GS

Tout sur la sécurité informatique (2e édition) : Comprendre les menaces pour mieux s’en protéger

Tout sur le hardware PC (2e édition) : Comprendre avant de s’équiper, Faire évoluer son PC

Tout sur les systèmes d’information : Grandes, moyennes et petites entreprises

Tout sur le C++