Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1135 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  [Résolu]Problème de routage VPN Cisco 3640

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu]Problème de routage VPN Cisco 3640

n°28202
HumanLock
Posté le 14-11-2007 à 10:35:21  profilanswer
 

Bonjour à tous,
 
J'ai mis en place un tunnel VPN entre deux réseau d'un client à l'aide d'un routeur CISCO 3640 et d'un Astaro Security Gateway.
 
La connexion entre les deux se passe correctement mais j'ai l'impression que le CISCO ne route pas automatiquement les connexion vers le tunnel VPN.
 
Je suis novice la dedans c'est la première fois que je configure ce type de routeur et je m'en sors plus.
 
Par rapport à la conf du routeur :
 
Interface FastEthernet 1/0 = WAN
Interface FastEthernet 1/1 = LAN
 
Voici la conf :
 

Citation :


!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 lifetime 3600
crypto isakmp key ###MACLEFS### address 212.44.243.10
!
 
!
crypto map Nom_du_vpn 1 ipsec-isakmp
 set peer 212.44.243.10
 set transform-set transfdes
 match address 102
!
!
interface FastEthernet1/0
 ip address 212.44.254.50 255.255.255.0
 ip access-group filtreentrant in
 ip nat outside
 duplex auto
 speed auto
 crypto map Nom_du_vpn
!
!
interface FastEthernet1/1
 ip address 172.20.255.254 255.255.0.0
 ip nat inside
 duplex auto
 speed auto
!
ip nat inside source list natlist interface FastEthernet1/0 overload
ip nat inside source static 172.20.0.XXX 212.44.236.XXX
! Enormement de nat 1:1 ici
!
ip access-list extended filtreentrant
! la mes régles que je ne montre pas
 permit tcp any any reflect filtresortant
 permit udp any any reflect filtresortant
 permit icmp any any reflect filtresortant
ip access-list extended natlist
 deny   ip 172.20.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 permit ip 172.20.0.0 0.0.255.255 any
!
 


 
Ici quelque commande que j'ai tapé pour voir les status :

Citation :


gw#sh crypto engine connections active
 
 ID Interface            IP-Address      State  Algorithm           Encrypt  Decrypt
  1 FastEthernet1/0      212.44.254.50   set    HMAC_MD5+3DES_56_C        0        0
2008 FastEthernet1/0      212.44.254.50   set    HMAC_MD5+3DES_56_C        0        0
2009 FastEthernet1/0      212.44.254.50   set    HMAC_MD5+3DES_56_C        0        0
 
gw#sh crypto ipsec transform-set
Transform set transfdes: { esp-3des esp-md5-hmac  }
  will negotiate = { Tunnel,  },
 
 
gw#sh crypto ipsec sa
 
interface: FastEthernet1/0
   Crypto map tag: XXXXXXX, local addr. 212.44.254.50
 
  protected vrf:
  local  ident (addr/mask/prot/port): (172.20.0.0/255.255.0.0/0/0)
  remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
  current_peer: 212.44.243.10:500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
   #pkts decaps: 103, #pkts decrypt: 103, #pkts verify 103
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0
   #pkts not decompressed: 0, #pkts decompress failed: 0
   #send errors 0, #recv errors 0
 
    local crypto endpt.: 212.44.254.50, remote crypto endpt.: 212.44.243.10
    path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0
    current outbound spi: 734BC43D
 
    inbound esp sas:
     spi: 0x62E99D4D(1659477325)
       transform: esp-3des esp-md5-hmac ,
       in use settings ={Tunnel, }
       slot: 0, conn id: 2008, flow_id: 9, crypto map: XXXXXXX
       sa timing: remaining key lifetime (k/sec): (4559045/2525)
       IV size: 8 bytes
       replay detection support: Y
 
    inbound ah sas:
 
    inbound pcp sas:
 
    outbound esp sas:
     spi: 0x734BC43D(1934345277)
       transform: esp-3des esp-md5-hmac ,
       in use settings ={Tunnel, }
       slot: 0, conn id: 2009, flow_id: 10, crypto map: adecnewold
       sa timing: remaining key lifetime (k/sec): (4559045/2525)
       IV size: 8 bytes
       replay detection support: Y
 
    outbound ah sas:
 
    outbound pcp sas:
 
gw#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route
 
Gateway of last resort is 212.44.254.251 to network 0.0.0.0
 
C    172.20.0.0/16 is directly connected, FastEthernet1/1
C    212.44.254.0/24 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 212.44.254.251
 
 
 


 
Je pense qu'il y a un gros pb de routage car qd je fais un traceroute les paquets vont directe vers la passerelle par défaut qui forcément ne trouve pas les machines voulue...
 
J'ai du oublié quelque chose quelque part, qu'en pensez vous ?
 
Edit : Histoire de ip nat inside source static.... j'ai modifié quelque régles de la crypto map et voila !


Message édité par HumanLock le 14-11-2007 à 14:11:48
mood
Publicité
Posté le 14-11-2007 à 10:35:21  profilanswer
 

n°28203
dreamer18
CDLM
Posté le 14-11-2007 à 10:44:52  profilanswer
 

crypto map Nom_du_vpn 1 ipsec-isakmp
 set peer 212.44.243.10
 set transform-set transfdes
 match address 102
!  
 
 
elle est où l'access list 102 dans ta conf ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°28204
HumanLock
Posté le 14-11-2007 à 10:47:58  profilanswer
 

dreamer18 a écrit :

crypto map Nom_du_vpn 1 ipsec-isakmp
 set peer 212.44.243.10
 set transform-set transfdes
 match address 102
!  
 
 
elle est où l'access list 102 dans ta conf ?


 
J'ai oublié de la mettre dans l'extrait de conf :
 
access-list 102 permit ip 172.20.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 
Voila

n°28205
dreamer18
CDLM
Posté le 14-11-2007 à 10:49:48  profilanswer
 

et 192.168.0.0/16 est bien le réseau distant que tu essaye de joindre via le VPN ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°28208
HumanLock
Posté le 14-11-2007 à 10:55:23  profilanswer
 

Enfaite il y'a plusieurs réseau mais j'ai simplifié.
 
192.168.19.0
192.168.20.0
192.168.21.0
192.168.22.0
192.168.23.0
 
Mais c'est bien ça c'est les réseau que je cherche à joindre.

n°28209
dreamer18
CDLM
Posté le 14-11-2007 à 10:57:14  profilanswer
 

les crypto access lists sont-elles bien syétriques des deux cotés ?
 
parce qu'en fait c'est bizarre, il y a ça :
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 103, #pkts decrypt: 103, #pkts verify 103
 
aucun paquet qui part mais y a des paquets qui rentrent.
 
Si tu essaye un ping vers ton réseau en tapant avant un "debug crypto ipsec" ça donne quoi


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°28214
HumanLock
Posté le 14-11-2007 à 11:08:09  profilanswer
 

Citation :


les crypto access lists sont-elles bien syétriques des deux cotés ?


 
C'est pas un cisco de l'autre côté c'est un Astaro. L'astaro indique ça :
 

Citation :


000 "S_VPNCISCO_0": 192.168.0.0/16===212.44.243.10...212.44.254.50===172.20.0.0/16; erouted; eroute owner: #3008
000 "S_VPNCISCO_0":     srcip=unset; dstip=unset; srcup=/opt/_updown.classic 2>/tmp/log 1>/tmp/log; dstup=/opt/_updown.classic 2>/tmp/log 1>/tmp/log;
000 "S_VPNCISCO_0":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_VPNCISCO_0":   policy: PSK+ENCRYPT+TUNNEL+UP; prio: 16,16; interface: eth1;  
000 "S_VPNCISCO_0":   dpd: action:restart; delay:30; timeout:120;  
000 "S_VPNCISCO_0":   newest ISAKMP SA: #3007; newest IPsec SA: #3008;  
000 "S_VPNCISCO_0":   IKE algorithms wanted: 5_000-1-1, flags=-strict
000 "S_VPNCISCO_0":   IKE algorithms found:  5_192-1_128-1,  
000 "S_VPNCISCO_0":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP768
000 "S_VPNCISCO_0":   ESP algorithms wanted: 3_000-1, flags=-strict
000 "S_VPNCISCO_0":   ESP algorithms loaded: 3_000-1, flags=-strict
000 "S_VPNCISCO_0":   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=


 
Pour le ping ça donne rien car je suppose que le debug sort sur la console RS232 et je suis en ssh.
 
J'ai tapé ça gw#terminal monitor
 ça a rien donné.

n°28216
dreamer18
CDLM
Posté le 14-11-2007 à 11:09:25  profilanswer
 

ta conf me semble bonne, c'est d'autant plus bizarre :d


Message édité par dreamer18 le 14-11-2007 à 11:09:34

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°28217
HumanLock
Posté le 14-11-2007 à 11:11:24  profilanswer
 

Oui, c'est intriguant.....
 
Je vais finir par installer un serveur linux avec Openswan.....

n°28219
HumanLock
Posté le 14-11-2007 à 11:12:56  profilanswer
 

Ce que je trouve bizarre, c'est ça :
 

Citation :


www1:~# traceroute 192.168.20.21
traceroute to 192.168.20.21 (192.168.20.21), 30 hops max, 40 byte packets
 1  172.20.255.254 (172.20.255.254)  1.810 ms  1.638 ms  1.852 ms
 2  212.44.254.251 (212.44.254.251)  3.205 ms  2.628 ms  4.182 ms


 
212.44.254.251 c'est les backbones / bgp .... C'est pas logique....

mood
Publicité
Posté le 14-11-2007 à 11:12:56  profilanswer
 

n°28221
dreamer18
CDLM
Posté le 14-11-2007 à 11:17:53  profilanswer
 

oui en fait le paquet n'est pas encapsulé, il passe par la route définit par la route par défaut... :/


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°28222
HumanLock
Posté le 14-11-2007 à 11:21:17  profilanswer
 

Y'a pas moyen de forcer le passage dans le tunnel pour un réseau ?
 
J'ai essaye des ip route mais çe le fait pas....

n°28223
dreamer18
CDLM
Posté le 14-11-2007 à 11:22:30  profilanswer
 

non non, en fait quand un paquet entre sur une interface, le routeur regarde si ce paquet est destiné à une crypto access list, si oui il l'encapsule et monte le tunnel, si non, il le passe au module de routage et le route normalement.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°28225
HumanLock
Posté le 14-11-2007 à 11:24:33  profilanswer
 

Donc, je me suis trompé dans la conf.... Quelque part y'a une erreur....

n°28226
HumanLock
Posté le 14-11-2007 à 11:30:58  profilanswer
 

Hem.... enfaite je fais du NAT, Est ce que par le plus grand des hasard le routeur transforme pas mes adresse 172.20 en 212.44.236 avant de prendre le tunnel ?

n°28229
HumanLock
Posté le 14-11-2007 à 11:44:51  profilanswer
 

Alors voila le hic :
 
Le routeur fait ça :
 
ip nat inside source static 172.20.XXX.XXX 212.44.236.XXX.XXX
 
Avant de faire la crypto map !
 
 
Donc problème trouvé... mais faut que je trouve comment le résoudre
 
Merci Dream, tu m'y a fait penser quand tu as parler qu'aucun paquet n'etait encapsulé.... Je me suis dit : S'il encapsule pas, c'est que ça ne match pas avec l'ACL.


Message édité par HumanLock le 14-11-2007 à 11:47:27

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  [Résolu]Problème de routage VPN Cisco 3640

 

Sujets relatifs
Exchange : problème sur un compte suite à dé/ré activationroutage vlan avec Cisco 806
Probleme Client Novell sous Windows VistaConnexion VPN entre deux sites : Nerim ou Oleane ?
Problème connexion VPN Server 2003Problème Microsoft navision SQL 5.00
Problème Microsoft navision SQL 5.00 
Plus de sujets relatifs à : [Résolu]Problème de routage VPN Cisco 3640


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR