Tunnel VPN site to site entre cisco 877 / ASARésolu/Fermé

Question

Bonjour, Voilà j'essaie de configurer un tunnel VPN site à site entre un cisco 877 et et ASA 5510 mais je rencontre quelque difficulté. voici l'architecture mise en place : (vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8) J'ai utilisé l'interface SDM pour la configuration à la fin de la configuration des 2 parties j'ai utilisé le "Test Tunnel" du routeur 877 mais le statut de la connexion VPN reste "Down" mais le reste semble fonctionner : Checking the tunnel status ... Down <<<<<<====== c'est le problème :/ Checking interface status ... successful Checking configuration ...successful Checking Routing ...successful Checking peer connectivity ...successful Checking NAT ...successful Checking firewall ...successful j'ai vérifier que les algo de crypto était bien les mêmes des 2 coté les règle IPsec pareille. Dans les logs ci-dessous je ne vois pas du tout ce que représente "tunnel gourp" pour le 877, sur l'ASA c'est claire mais la correspondance dans le 877 est flou pour moi. J'ai aussi relevé quelque logs du coté ASA lors du "Test Tunnel" du 877 : 4|Jun 29 2009 01:13:14|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4) 4|Jun 29 2009 01:13:04|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4) 4|Jun 29 2009 01:12:54|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4) 4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Error: Unable to remove PeerTblEntry 3|Jun 29 2009 01:12:44|713902: Group = 10.10.10.1, IP = 10.10.10.1, Removing peer from peer table failed, no match! 4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Can't find a valid tunnel group, aborting...! 6|Jun 29 2009 01:12:44|302015: Built inbound UDP connection 6197 for SDSL:10.10.10.1/500 (10.10.10.1/500) to NP Identity Ifc:82.65.65.65/500 (82.65.65.65/500) 6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0 Voila si vous avez besoin d'autre infos n'hésitez pas Merci d'avance

cocoche95 · Accepted Answer

Salut !

Déjà, ton IP publique du coté du Cisco est invalide ! Tout simplement parce que les adresses en 10.X.X.X sont des adresses privées et donc non routables sur le réseau internet.

Donc as tu un modem-routeur entre ton Cisco et internet ?

Moniomox · Answer

un petit up

Moniomox · Answer

Salut 
Se sont de fausses adresses IP public, désolé j'aurais dut le spécifié avant, j'avoue j'aurais put faire plus cohérent,
et mon boitier routeur cisco 877 est directement sur internet via une connexion PPPoE

cocoche95 · Answer

D'après Cisco : "Use only the default tunnel group and default group policy on the Cisco PIX/ASA. User-defined policies and groups do not work."

Passe ta config en "tunnel-group DefaultRAGroup"

Dis-moi si cela marche.

Petit lien supplémentaire :https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/71028-l2tp-w2kxp-pix72-pre.html

Moniomox · Answer

Je ne crois pas que l'article convienne à mon cas, l'article que tu m'as indiqué il parle d'accès distant (Remote Access) mais mon architecture c'est du site à site ou LAN to LAN (L2L).

Sa correspond plus à cet article là : https://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/9353-39.html

qui indique qu'il faut désactiver le NAT sur le réseau privé du routeur : 

!--- Except the private network from the NAT process:

ip nat inside source route-map nonat pool branch overload

mais je ne sais pas du tout comment procéder avec le CLI de cisco pour déactiver le NAT sur le réseau privé parce que dans la configuration du routeur moi j' ai ça :

ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload

cocoche95 · Answer

C'est exact, je me suis emporté trop vite ^^

pour désactiver le nat c'est : ip nonat (il me semble)

Sur le lien que tu as donné, il donnent la commande : ip nat inside source route-map nonat pool branch overload

Essayes cette même commande, si elle ne marche pas, essayes de l'adapter a ta config mais normalement ça doit marcher.

En tout cas tiens moi, au courant de ton avancement, cela m'intéresse vu que je dois réaliser ce genre de chose dans pas longtemps !

Merci !

Moniomox · Answer

C'est pas mal du tout, merci de t'ête donne autant de mal pour trouver ces infos. 

Donc si j'interprète bien ce que tu me dis là, les ligne de configuration  telles que celles-ci :

ip nat inside source route-map nonat pool branch overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.17.63.225
no ip http server

sont en fait des commande qu'on peut utiliser dans la CLI  ... mort de rire si c'est bien ça :D en tout sa va me simplifier la vie.

J'essaierai tout cela demain de bon matin et de bonne humeur ^^

Je te tien au courant

Moniomox · Answer

Bon je suis enfin parvenu à ce que mon tunnel soit établie entre mon routeur et l'ASA, après de multiple ligne de commande et du voisinage de logs intensif, j'ai put trouver la source du problème le NAT ... En fait j'avais activé le nat transversal du coté ASA mais pas du coté routeur, donc j'ai viré le NAT-Transversal et retesté le tunnel et par magie il était devenu "up" Mais j'avais d'autres soucie de NAT sur mon réseau privé, parce qu'il faut désactiver le NAT sur le réseau privé et l'interface SDM n'aide pas beaucoup pour le faire. Pour rectifier la chose j'ai appliqué la configuration du lien que j'avais donné précédemment : https://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/9353-39.html Voila maintenant j'ai un autre problème je ne vois pas comment accéder a mon réseau privé qui se trouve derrière l'ASA depuis l'autre réseau privé en passant par le VPN. Une idée ? je rappel ma conf : (vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8) et je précise que les ip sont bidon ^^

Moniomox · Answer

Bonjour bon mes problème ne sont toujours pas finit sinon se serai pas drôle xD (je juste un poil découragent), bref ...
Quand je ping depuis mon réseau 192.168.1.0 je suis arrêté par l'ASA qui me dit dans les logs :  

3|Jul 03 2009 06:04:47|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.16.125.10 (type 8, code 0)


 
j'ai essayer de voir si c'était parce qu'il bloquait par default les paquet ICMP je suis tombé sur cette page  
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml
 
j'ai entré les ligne de commande correspondante pour Inbound/Outbound en adaptant à ma config  
 
et ça bloque toujours -_-' et pour les ACL IPSEC et NAT se sont les même en adaptant bien sûr que sur le lien cisco déjà cité je remet le lien :
https://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/9353-39.html
 
Il y une ACL pour le NAT que je ne comprend pas de l'URL ci-dessus :

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

 
De ce que j'ai comprit (peut etre pas grand chose ...) il ne faut pas que le trafic dans le tunnel soit NATé donc dans leur exemple de 10.1.1.0 à 10.2.2.0 mais l'ACL "nonat" le permet justement ...  
C'est moi qui ne pas avoir tout comprit parce que c'est pas la première fois que je vois cette ACL dans des config similaire.
Si quelqu'un peut m'expliquer je suis tout ouïe.
 
Quelqu'un a t-il une idée je commence à sécher sérieusement
 
Cisco plus fort que moi ? :s

cocoche95 · Answer

Alors pour moi, la commande access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0  signifie :

Créer la liste d'accès nommée "nonat" où l'on autorise le transfert d'information entre les réseaux : 10.1.1.0/24 et 10.2.2.0/24

Et donc avec les commandes : 
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0 

Tu associes ta liste d'accès externe (VPN) à ton NAT interne d'où l'obligation de désactiver le NAT externe (VPN).


Je suis pas sur de ce que j'ai mis car je ne l'ai jamais vraiment pratiqué, mais c'est la traduction que j'en tire.

Voilà.

PS : Si brupala pouvait passer par là, je pense qu'il pourrait nous aider !

Moniomox · Answer

Je poste les configuration de l'asa et du routeur (j'aurais surement du commencer par là) :
Le routeur :

Building configuration...

Current configuration : 6515 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
!
!
crypto pki trustpoint TP-self-signed-3881351686
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3881351686
 revocation-check none
 rsakeypair TP-self-signed-3881351686
!
!
crypto pki certificate chain TP-self-signed-3881351686
 certificate self-signed 01
  	quit
dot11 syslog
no ip source-route
ip cef
!
!
ip dhcp pool sdm-pool1
   import all
   network 192.xx.xx.0 255.255.255.0
   dns-server xx.xx.xx.xx
   default-router 192.xx.xx.xx
!
!
no ip bootp server
! 
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key vdb18 address 92.xx.xx.xx
!
!
crypto ipsec transform-set esp_md5_3des esp-3des esp-md5-hmac 
!
crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Tunnel to 92.xx.xx.xx
 set peer 92.xx.xx.xx
 set transform-set esp_md5_3des 
 set pfs group2
 match address 120
!
archive
 log config
  hidekeys
!
!
!
!
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 description $ES_WAN$$FW_OUTSIDE$
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
 ip unnumbered ATM0.1
 tunnel mode ipsec ipv4
!
interface Virtual-Template2 type tunnel
 ip unnumbered ATM0.1
 tunnel mode ipsec ipv4
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 192.xx.xx.xx 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
!
interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 no ip route-cache
 dialer pool 1
 dialer-group 1
 no cdp enable

 crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat pool branch 80.xx.xx.xx 80.xx.xx.xx netmask 255.255.255.240
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip nat inside source route-map nonat pool branch overload
!
logging trap debugging

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.xx.xx.0 0.0.0.255

access-list 120 permit ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 deny   ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 permit ip 192.xx.xx.0 0.0.0.255 any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map nonat permit 10
 match ip address 130
!
!
control-plane

line con 0
 login local
 no modem enable
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

l'ASA : 

ASA Version 7.0(8)

!
interface Ethernet0/0
 description SDSL
 nameif SDSL
 security-level 0
 ip address 92.xx.xx.xx 255.255.255.248
!
interface GigabitEthernet1/3
 description VPN
 nameif VPN
 security-level 75
 ip address 172.xx.xx.xx 255.255.255.0
!

!-- ACL permettant d'autoriser le ping 
access-list 111 extended permit icmp any host 172.xx.xx.xx echo
access-list 111 extended permit icmp any any echo-reply
access-list 111 extended permit icmp any any source-quench
access-list 111 extended permit icmp any any unreachable
access-list 111 extended permit icmp any any time-exceeded

access-list ipsec extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0
access-list ipsec extended permit icmp 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0

access-list nonat extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0


mtu SDSL 1500
mtu VPN 1500
no failover

icmp permit any SDSL
icmp permit any VPN

asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (SDSL) 4 interface

nat (VPN) 0 access-list nonat
nat (VPN) 0 172.xx.xx.0 255.255.255.0

static (VPN,SDSL) 172.xx.xx.xx 92.xx.xx.xx netmask 255.255.255.255
access-group 111 in interface SDSL

!--route vers le routeur internet
route SDSL 0.0.0.0 0.0.0.0 xx.xx.xx.xx 2

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy DfltGrpPolicy attributes
 banner none
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol IPSec
 password-storage disable
 ip-comp enable
 re-xauth disable
 group-lock value DefaultL2LGroup
 pfs enable
 ipsec-udp enable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain none
 split-dns none
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem disable
 backup-servers keep-client-config
 client-firewall none
 client-access-rule none
 webvpn
  functions url-entry
  port-forward-name value Application Access


http server enable
http 172.16.128.0 255.255.248.0 MGT
http 10.0.0.202 255.255.255.255 MGT
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto map SDSL_map 20 match address ipsec
crypto map SDSL_map 20 set pfs
crypto map SDSL_map 20 set peer 80.xx.xx.xx
crypto map SDSL_map 20 set transform-set ESP-3DES-MD5
crypto map SDSL_map 20 set security-association lifetime seconds 28800
crypto map SDSL_map 20 set security-association lifetime kilobytes 4608000
crypto map SDSL_map 20 set nat-t-disable
crypto map SDSL_map 20 set phase1-mode aggressive
crypto map SDSL_map interface SDSL

isakmp identity address
isakmp enable SDSL
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp ipsec-over-tcp port 10000

tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *

tunnel-group tunnel_vpn type ipsec-l2l
tunnel-group tunnel_vpn ipsec-attributes
 pre-shared-key *
telnet 10.xx.xx.xx 255.255.255.255 MGT
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global


Voila j'espère que quelqu'un pourra m'éclairer sur les raison du dysfonctionnement de se tunnel

GiLe46 · Answer

J'up ce topic, j'ai le même soucis :(

Moniomox · Answer

Salut GiLe46 ta configuration ressemble beaucoup à la mienne ? 
Parce que mon problème est a 90% résolue, maintenant faut que je trouve une manière d'autoriser le traffic sur le tunnel surement un problème de droit :s (ACL ...) 

Donc si c'est pour la configuration du tunnel ( si il est "down") je peux peut etre t'aider

GiLe46 · Answer

Mon tunnel est UP. Mais je l'arrive pas à faire communiquer les postes de bout en bout du VPN L2L. 
J'ai des routes statiques. Etant dans un univers de test j'ai completement ouvert les acl :  "permit ip any any" mais je pense plutot que c'est au niveau du nat que j'ai mon soucis. 

Je souhaite en finalité naté les postes du petit réseau distant avec des adresses du réseau local. Du nat statique ou en d'autres mots nat 1 pour 1.

Mais je garde la conviction que nos problèmes sont étroitement liés étant au même point : VPN site à site ok mais pas de communication de bout en bout...

amer_ezahir · Answer

SALUT:

Veuillez essayer de définir la commande suivante sur les interfaces WAN de chaque serveur VPN :

#ip tcp adjust-mss 1472

Bonne chance

Moniomox · Answer

Je ne pense pas que se soit un problème de taille de segment TCP, mais merci d'avoir proposé une idée. 
Sinon la commande n'existe pas dans l'IOS de l'ASA 5.0(8) mais elle existe sous une autre forme dans celui du routeur : sans le adjust et en précisant la taille du segment voulu "ip tcp mss 100".

Les problèmes que je rencontre se situe plus au niveau de l'ASA car quand j'essaie d'accéder aux serveur derrière l'ASA en HTTP  depuis un navigateur ou quand j'essaie de le "pinguer" tout cela avec un ordinateur dans le réseau privé du routeur, l'ASA reçois bien les demandes mais il les interceptes :s. 

Pourtant j'ai autorisé tout le trafic TCP/IP entrant et sortant venant de mes réseau privé sur l'ASA
Pour ce qui est des règles IPSEC j'en est mis qu'une parce que dans tout les tutoriels que j'ai pu voir ils n'en mettait qu'une (logique) :/ sinon je ne vois pas lesquelles ajouter.

Voici ce que me log mon cher ASA quand il me bloque les demandes de ping et connections TCP:

3|Jul 06 2009 23:44:05|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
3|Jul 06 2009 23:43:59|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
3|Jul 06 2009 23:43:54|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.xx.xx.xx (type 8, code 0)
2|Jul 06 2009 23:43:41|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN  on interface SDSL
2|Jul 06 2009 23:43:35|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN  on interface SDSL
2|Jul 06 2009 23:43:32|106001: Inbound TCP connection denied from 192.168.1.20/1432 to 172.xx.xx.xx/80 flags SYN  on interface SDSL
2|Jul 06 2009 23:43:20|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN  on interface SDSL
2|Jul 06 2009 23:43:14|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN  on interface SDSL
2|Jul 06 2009 23:43:11|106001: Inbound TCP connection denied from 192.168.1.20/1431 to 172.xx.xx.xx/80 flags SYN  on interface SDSL

GiLe46 · Answer

J'ai le même avis que Moniomox.

%PIX|ASA-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num} gaddr {gaddr | cmp_type} laddr laddr 
An ICMP session was removed in fast-path when stateful ICMP is enabled using the fixup protocol icmp command.

GiLe46 · Answer

Utilise : 

Monitoring -> Logging -> View                Et la t'auras plus de détail ainsi que la possibilité de créer des ACL en fonction des log juste avec un clique droit.

Donc qui dit clique droit dit ASDM :)

Moniomox · Answer

Quel version de ASDM as tu ? Moi je ne peut pas créer d'ACL en live avec mes log, j'ai le choix entre "live log" ou "log buffer" et cela avec un "logging level" que me permet de selectionner ce que je vois, genre "Debugging" tu vois tout ce qui se passe (c'est avec ce mode la que sont tiré mes logs).

GiLe46 · Answer

J'ai la 5.2

Moniomox · Answer

Je reprends ce topic pour donner quelque infos qui peuvent paraitre bête mais vraiment utile quand on essaie pour la première fois d'établir une connexion VPN : 

1_ Désactivez tous les firewalls logiciels que vous pouvez avoir sur vos machine dans les réseaux privés pour pouvoir tester le ping entre les 2 machines, dans la configuration c'était une machine sous Vista qui ne répondait au ping à travers le VPN, et bloquai aussi le partage de fichier Windows, par contre sous Xp le firewalls plus permissif et répond au ping.

2_ Faire attention à utilisé des adresse IP public entre les 2 appareilles qui réalise le tunnel VPN, si ne sais si c'est obligé mais de ce que j'ai pu tester si le matériel qui fait le VPN est derrière un routeur internet avec un IP privé sa ne fonctionne pas même avec un routage adéquate, je ne sais pas pourquoi, puis j'ai testé avec une IP et le tunnel c'est monté sans problèmes.

Voilà j'espère que ça pourra en aider certain qui galère avec du VPN ; )

Tunnel VPN site to site entre cisco 877 / ASA

21 réponses

Discussions similaires

Newsletters