Bonjour,

"le tunnel apparait "down" (normal)"

Pourquoi c'est normal que le tunnel apparaisse "DOWN"??? No amount of magic knobs will save a sopply designated network...

Parque sinon je ne serais pas en train de t'écrire et en train de demander de l'aide...

Aide svp !!!

Du calme!
J'ai pas compris pourquoi tu a mis "(normal)" à coté de "down"... Est ce que c'était une affirmation ou une question??!!
Ensuite, le plus simple pour le VPN site à site c'est d'utiliser les mêmes routeurs, ça évite pas mal de soucis!!
Sinon comment est sécurisé ton VPN?! No amount of magic knobs will save a sopply designated network...

Eh oui ca m'aurait bien simplifié la vie d'avoir deux mêmes routeurs... faut que je fasse avec.

Concernant la sécurité, je te laisse jeter un coup d'œil à la config des deux routeurs, sachant que j'ai été incapable de régler la sécurité du routeur Cisco à part pour régler le firewall :

NETGEAR :
IKE policies :
_Name : vpn_toulouse
_Direction/Type : responder
_Echange mode : aggressive
_Local FQDN : fvl_local
_Remote FQDN : fvl_remote
_Encryption Algo : 3DES
_Authentification Algo : SHA-1
_Preshared Key : ********
_DH Group : 2 (1024bit)
_SA lifetime : 86400
_Enable dead peer detection : NO
_XAUTH configuration : NONE

VPN policies :
_Police type : Auto policy
_Local Gateway : WAN1
_Remote endpoint : fvl_remote
_Local IP : 192.168.2.0
_Local SM : 255.255.255.0
_Remote IP : ANY
_SA lifetime : 3600
_Encryption Algo : 3DES
_Entigrity Algo : DH Group2 1024bits
_IKE policy : vpn_toulouse

VPN user :
_username : vpn_toulouse
_Password : *******


CISCO :
_Connection name : vpn_toulouse
_VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
_Mode of operation : Client
_Authentification : Pre-Shared key
_User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
_Key : ******** (la même que sous Netgear)
_XAuth : vpn_toulouse
_Password : ****** (le même que vpn user sous NetGear)
_Interface to local network : vlan1 (connexion internet)
_Interface to internet : Dialer0
_Remote conection client : Automatically

Merci pour ta réponse Makss !

A vrai dire j'utilise SDM pour config mon routeur Cisco.
Je viens de supprimer XAUTH authentification du Cisco.

Serais tu quels sont les réglages à effectuer sur le Firewall des deux routeurs afin que celà passe?

merci

De ton réseau local vers le web, autorise tout, tu restreindra selon le besoin.
De ton réseau web (dialer 0) vers ton réseau local :
-Autorise le trafic IP de ton réseau local distant en destination du réseau local derière le routeur que tu configure.

A ce niveau, moi j'ai des VPN configuré comme ce ci utilisés pour la téléphonie IP. J'ai voulu y toucher pour faire du VPN site à site, j'ai fais sauter le téléphone!!!
Je suppose qu'il faut autoriser le traffic UDP et TCPdu même style que ci dessus...
Je me renseigne de mon coté et te tiens au courant.
Si t'as du neuf et que tu avance, merci de me mettre au parfum!!!


No amount of magic knobs will save a sopply designated netwo­rk...

Merci pour ton aide Makss !!

Oui j'essaye d'avancer de mon côté... mais avec peu de résultats. Enfin quand même, voici le log du VPN coté Netgear :

2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IPSec configuration with identifier "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IKE configuration with identifer "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
2008 Nov 26 16:55:08 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 16:55:08 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
2008 Nov 26 16:55:08 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
2008 Nov 26 16:55:12 [FVX538] [IKE] Received unknown Vendor ID_
                - Last output repeated twice -
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2008 Nov 26 16:55:14 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:3acac3ccc885085a:7cda573f3d8b509a_
2008 Nov 26 16:55:14 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2008 Nov 26 16:55:15 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.xx.xx.xx[0]_
2008 Nov 26 16:55:16 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
2008 Nov 26 16:56:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up. 3acac3ccc885085a:7cda573f3d8b509a:9cdfcc80_
2008 Nov 26 16:56:15 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._ 

Vérifie tes stratégies IKE sur tes deux routeurs, ils doivent avoir les mêmes algorythmes de cryptage, hachage, étre dans le même groupe...
No amount of magic knobs will save a sopply designated netwo­rk...

"Même group" ? cad?!

Sinon, les stratégies sont identiques.

Bon ça y est !
La connexion VPN est établie....

...
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 80.xx.xx.xx->78.xx.xx.xx with spi=107693002(0x66b43ca)_
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 78.xx.xx.xx->80.xx.xx.xx with spi=3190685695(0xbe2dffff)_

le problème maintenant est que je ne peux pas encore accéder au PC de l'autre côté. Savez vous à quoi cela est du?!

Merci

Qu'as tu modifié pour que ta connexion soit établie ? Que tout le mode puisse comprendre!!!!
Pour tes PC, je ne sais pas, moi j'en suis là aussi...
Mes liaisons sont montées, mais je ne sais pas comment configurer les postes pour qu'ils puissent communiquer! No amount of magic knobs will save a sopply designated netwo­rk...

Il s'agissait des réglages IPSec Rules, mal configurées... je m'étais trompé entre l'adresse publique et l'adresse de mon réseau...

Bref !

Concernant notre problème commun, je ne vois vraiment pas d'où cela puisse venir...

j'arrive même pas à pinger mes postes distants, ainsi que le routeur (avec son @IP local) !

Ton routeur doit refusé les requètes ping sur son interface publique, pour éviter d'être "découvert", regarde dans les paramètres de ton routeurs dans les option ACL et Pare feux si il y a des règles concernant les requètes ICMP.
Moi je peux pinguer les adresses de routeur de mes réseau distant (192.168.2.100 et 192.168.3.100) depuis mon réseau local (192.168.1.0). No amount of magic knobs will save a sopply designated network...

Oui c'est ce que je dit... je le ping avec son adresse publique 80.xx.xx.xx pacque son firewall n'est pas encore activé mais pas avec son adresse privée 10.10.10.1 à partir de mon adresse privé 192.168.2.201...

Ok Ok, j'avais pas compris ça comme ça!!! Bah écoute, tu dois encore avoir des soucis de paramètrage :s
Et dans l'autre sens ça marche ??!! No amount of magic knobs will save a sopply designated netwo­rk...

Non :(

Il a donc encore des soucis de config à mon avis ! Je peu t'envoyer la config d'un de mes routeur pour que tu t'en inspire si tu veux. No amount of magic knobs will save a sopply designated netwo­rk...

Oui je veux bien stp.. ça pourra m'inspirer : charlie.aubert@2moro.fr