Sujet Précédent Sujet Suivant

Probleme FTP - Cisco Vpn Client

Fermé
Francky - 17 oct. 2019 à 08:55
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 - 21 oct. 2019 à 11:55
Bonjour,



Voici l'architecture :



PC [192.168.1.1/16] <> INTERNET <> INTERNET <> Home_BoxBridgeMode <> Cisco_Routeur [192.168.0.254] <> PC_192.168.0.50/16



le VPN fonctionne correctement

ICMP OK entre PC [192.168.1.1/16] & PC_192.168.0.50/16

mais le FTP ne fonctionne du PC [192.168.1.1/16] vers PC_192.168.0.50/16



VPN Ipsec avec Cisco vpn client, configuration ci-dessous.



Auriez-vous une idée pourquoi le FTP ne fonctionne pas svp ?



TEST#sh run
Building configuration...


Current configuration : 8513 bytes
!
!
version 15.7
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
no service dhcp
!
hostname TEST
!
boot-start-marker
boot-end-marker
!
!
logging userinfo
logging buffered 4096 informational
no logging console
no logging monitor
!
aaa new-model
!
!
aaa authentication login default group radius local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default group radius if-authenticated
aaa authorization network sdm_vpn_group_ml_1 local
aaa accounting delay-start
aaa accounting update newinfo
!
!
!
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-3142964201
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3142964201
revocation-check none
rsakeypair TP-self-signed-3142964201
!
crypto pki trustpoint TP-self-signed-3171263040
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3171263040
revocation-check none
rsakeypair TP-self-signed-3171263040
!
crypto pki trustpoint TP-self-signed-563843530
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-563843530
revocation-check none
rsakeypair TP-self-signed-563843530
!
!
crypto pki certificate chain TP-self-signed-3142964201
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33313432 39363432 3031301E 170D3139 30393237 31333330
34325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 31343239
36343230 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B9C2 FB765824 ABF32C2F 9AA1B5C0 F7993E70 B48983BC 4E0654CA 4837A83D
9D1AD7FA 74A6D88F 7F84F72B 8F7ACCF5 C1ACEE9A E76303BD 80A6CB4F F9DA1071
B5C07E2A 0D012CE0 7A571801 36F681F4 ACE7157B 487B1F97 60E4FE3F 5C903C15
0590B5E7 F108E50C A63157EA 1A294ACA 1ECC27BA BF2679D7 262F9308 02E211A2
5B550203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14521882 68AF0F8B 67E9CA41 12D328F6 4CBE9F70 8A301D06
03551D0E 04160414 52188268 AF0F8B67 E9CA4112 D328F64C BE9F708A 300D0609
2A864886 F70D0101 05050003 81810083 3355569C BD6F0900 CA1C714D FC0F17F4
F8D66673 3F0314AD 725CB691 DD945E64 003ED64B C727147B D9CA421F D9E9924F
AA8CD2C0 BF3C9BEC 2EEFC493 316324FE 6E15DE15 FA416D6E B028A2B7 ED28E6CD
FEBFF72E 4D442A1C 31EEFE17 9F86C7B2 160C6B75 F9CE41B0 4315AA54 E1FD6ACF
FD7E03BD 3064D039 26D2CB62 776AE2
quit
crypto pki certificate chain TP-self-signed-3171263040
crypto pki certificate chain TP-self-signed-563843530
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!


!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.128
default-router 10.10.10.1
lease 0 2
!
!
!
no ip bootp server
no ip domain lookup
ip domain name yourdomain.com
ip ips notify SDEE
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 smtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 icmp
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
chat-script lte "" "AT!CALL" TIMEOUT 20 "OK"
!
!
!
!
!
!
archive
log config
hidekeys
vtp domain test.fr
vtp mode transparent
username toto privilege 15 secret 5 $1$wKxK$xd0ubvAMlmuHk.Kw2fxUT/
!
redundancy
!
!
!
!
!
controller Cellular 0
lte modem link-recovery rssi onset-threshold -110
lte modem link-recovery monitor-timer 20
lte modem link-recovery wait-timer 10
lte modem link-recovery debounce-count 6
no cdp run
!
!
crypto logging session
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group TEST-USER
key xxxxxx
dns 192.168.0.2
domain test.fr
pool POOL-IP_1_USER
acl 101
max-users 10
netmask 255.255.0.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
mode tunnel
crypto ipsec transform-set AES-SHA esp-3des esp-sha-hmac
mode tunnel
crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac
mode tunnel
!
!
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-AES-256-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 client accounting list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
!
!
interface Cellular0
no ip address
encapsulation slip
shutdown
dialer in-band
dialer string lte
!
interface Cellular1
no ip address
encapsulation slip
!
interface FastEthernet0
switchport mode trunk
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface GigabitEthernet0
ip address dhcp
no ip redirects
ip flow ingress
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Serial0
no ip address
shutdown
clock rate 2000000
!
interface Vlan1
description LAN_TEST-PROD
ip address 192.168.0.254 255.255.0.0
ip tcp adjust-mss 1452
!
ip local pool POOL-IP_1_USER 192.168.1.1 192.168.1.50
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip route 0.0.0.0 0.0.0.0 82.64.163.254
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
!
ipv6 ioam timestamp
!
access-list 101 remark # ACL FOR group TEST-USER #
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
vstack
banner motd ^CC
  • Unauthorized access prohibited *
  • Access only "TEST" *

^C
!
line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
stopbits 1
line 3
script dialer lte
no exec
line 8
no exec
line vty 0 4
exec-timeout 5 0
privilege level 15
transport input telnet ssh
line vty 5 15
exec-timeout 5 0
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
ntp server 34.202.215.187
!
!
!
!
!
!
!
pnp profile pnp_cco_profile
transport https ipv4 18.205.166.131 port 443
end

1 réponse

Réponse 1 / 1
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
Modifié le 17 oct. 2019 à 09:51
Salut,

PC [192.168.1.1/16] <> INTERNET <> INTERNET <> Home_BoxBridgeMode <> Cisco_Routeur [192.168.0.254] <> PC_192.168.0.50/16

si j'ai bien compris le VPN arrive sur la Gi0 et le lan est sur les ports switch en fast .
Pourquoi ces /16 ?
le routeur VPN n'est pas en pont .
fais voir un show ip route quand le vpn est connecté.
c'est déjà surprenant que le ping fonctionne.
En admettant que c'est vrai, peux tu coller le dialogue affiché en ftp ?

0
Francky
17 oct. 2019 à 10:37
Bonjour,

si j'ai bien compris le VPN arrive sur la Gi0 et le lan est sur les ports switch en fast
>> OUI

Pourquoi ces /16 ?
>> je pensais que ce serait plus facile pour communiquer entre eux étant sur le même réseau mais c'est une erreur il vaudrait peut-être mieux que je modifier le réseau distant vpn par exemple 10.34.10.0/24 au lieu du "ip local pool POOL-IP_1_USER 192.168.1.1 192.168.1.50 en netmask 255.255.0.0"

le routeur VPN n'est pas en pont .
>> exact

fais voir un show ip route quand le vpn est connecté.


En admettant que c'est vrai, peux tu coller le dialogue affiché en ftp ?

PC DISTANT :

C:\>ftp 192.168.0.50
^C
C:\>

Carte Ethernet Ethernet 4 :

Suffixe DNS propre à la connexion. . . : test.fr
Description. . . . . . . . . . . . . . : Cisco Systems VPN Adapter for 64-bit Windows
Adresse physique . . . . . . . . . . . : 00-05-9A-3C-78-00
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv4. . . . . . . . . . . . . .: 192.168.1.1(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.0.0
Passerelle par défaut. . . . . . . . . :
Serveurs DNS. . . . . . . . . . . . . : 192.168.0.2
NetBIOS sur Tcpip. . . . . . . . . . . : Activé

ROUTEUR VPN :

test#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 82.64.163.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 82.64.163.254
82.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 82.64.163.0/24 is directly connected, GigabitEthernet0
L 82.64.163.98/32 is directly connected, GigabitEthernet0
C 192.168.0.0/16 is directly connected, Vlan1
192.168.0.0/32 is subnetted, 1 subnets
L 192.168.0.254 is directly connected, Vlan1
192.168.1.0/32 is subnetted, 1 subnets
S 192.168.1.1 [1/0] via 93.23.18.208
0
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623 > Francky
Modifié le 17 oct. 2019 à 12:40
il vaudrait peut-être mieux que je modifier le réseau distant vpn par exemple 10.34.10.0/24 au lieu du "ip local pool POOL-IP_1_USER 192.168.1.1 192.168.1.50 en netmask 255.255.0.0"

oui, ce serait plus propre, je pense.
cette route te sauve:
S 192.168.1.1 [1/0] via 93.23.18.208
mais je ne sais pas doù elle sort ...
elle est poussée par le vpn client ?
après,
pas de dialogue ftp dans ta fenetre commande, on n'a qu'un ipconfig.
0
Francky
17 oct. 2019 à 12:44
non aucune retour du FTP
je viens de tester en remplaçant le 192.168.1.0/16 par le 10.34.10.0/24 > même résultat même prob....
côté PC et serveur_ftp j'ai regarder dans tous les sens: aucun blocage anti-virus, firewall....
je dois avoir une erreur ou un truc qui manque dans ma conf. vpn
0
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623 > Francky
17 oct. 2019 à 12:55
Tu ne vois pas la connexion tcp arriver sur le serveur ?
0
Francky
17 oct. 2019 à 13:30
Je ne l'as vois pas arriver sur le serveur Ftp mais je vois la demande du traffic Ftp arriver sur le serveur (trace wireshark)
0

Discussions similaires

le frigo ne marche pas....
Nemo6456 -
Templier Nocturne -

1 réponse
taxe foncière pour locataire
Cryséis -
irongege -

1 réponse
ftp:// 192.168.1.2.
gentil -
karim -

4 réponses
Formaté mais pas de connexion Internet ?
VissErale -
VissErale -

4 réponses
Internat nourriture
shaun37 -
griggo -

4 réponses