Bonjour,
 
J'ai une petite question concernant de routage concernant une connexion VPN IPSec Site-to-site.  
J'ai deux réseaux :
       -A : 192.168.1.0 (Adresse réseau) / 255.255.255.0 (Masque) / 192.168.1.1 (Adresse routeur)
       -B : 192.168.2.0 (Adresse réseau) / 255.255.255.0 (Masque) / 192.168.2.70 (Adresse routeur)
 
La liaison IPSec est mise en place, cependant j'aimerais depuis le réseau A accéder aux équipements du réseau B, et inversement. Comme ils ne sont pas sous le même sous réseau j'imagine que je dois ajouter des règles de routage...
Je dois aussi pouvoir me connecter avec un VPN PPTP à un de ces routeurs (Donc soit avoir une adresse en 192.168.1.XXX ou 192.168.2.XXX) et pouvoir accéder aux équipements de l'autre réseau. Le mieux serait donc d'avoir des routages des adresses en 192.168.2.XXX vers des adresses en 192.168.1.XXX
 
Quelles règles dois-je ajouter ? J'ai essayé plusieurs choses mais ça ne fonctionne pas (ci-dessous capture)

 
 
 
 
Merci !    
 
 

ipsec route based ou policy based ?

Route based je suppose. C'est transparent sur les routeurs

regarde qd même c'est pas aussi simple

C'est bien du route based dont il s'agit

donc tes routes sont à créer via les interfaces tunnel de part et d'autre.

Peux-tu détailler un peu plus stp?
 
Dans mon routeur, les seules possibilités de routage sont : routage statique, DNAT ou SNAT. Aucune possibilité de créer des routes dans la configuration du tunnel
 

c'est pas dans la configuration du tunnel, c'est une route statique.

Elle est bizarre ta route en tout cas. Une addresse IP de host pour une route avec un masque en /24 ?
Je te conseillerai plutôt un masque /32 si c'est une route pour 1 IP.
Ou bien de préciser le subnet 192.168.2.0/24 à la place.
 
Pour ton PPTP, tu dois déclarer un autre subnet car celui-ci autorisera des clients "remote", pas directement connecté à ton FW. Ensuite, il faudra simplement autoriser cela dans ta policy.
Pour le route based ou policy based, tout dépend si ton VPN sur le hardware utilise une interface virtuelle (route based) ou des "access-list" (SRC IP - DST IP qui premettrai d'identifier à quel tunnel cela correspond) : Policy based

J'ai bel et bien déclaré une route statique dans chacun des routeurs (Voir capture ci-dessous)

 
Entre routeurs j'arrive à pinger les équipements réciproquement. Cependant étant donné que je me connecte à un des sites en VPN PPTP, j'ai une adresse IP qui m'est donnée par le DHCP (Donc j'ai soit une adresse en 192.168.1.XXX, soit en 192.168.2.XXX) --> Impossible d'avoir accès aux équipements !
 
J'aurai plutôt voulu tout mettre sur le même sous-réseau ("Translater" les adresses en 192.168.2.XXX en 192.168.1.XXX serait parfait), afin d’accéder sans encombre à tous les équipements
 
 
Merci

Normalement, pour le PPTP, tu devrais avoir un autre addressage IP, car ce dernier est assigné à des host accessible via VPN -> WAN.
Le fait qu'ils héritent d'une IP prevenant d'un DHCP du LAN n'est pas correct. A moins que ce DHCP soit ton FW auquel cas, il devrait tout de même allouer un espace différent pour bien faire les choses.
 
En gros maintenance tout fonctionne pour ton site-to-site VPN, hormis lorsque les clients se connectent via remote VPN (PPTP) ?

Tout ne fonctionne pas bien non. Le ping des équipements est possible réciproquement depuis les 2 sites, MAIS...
   -Si je me connecte avec mon PC en local sur le site A ou B, je me vois attribuer une adresse en 192.168.1.XXX ou 2.XXX par le DHCP. Les équipements de l'autre réseau sont inaccessibles (Pourtant j'arrive à les pinger depuis le routeur)
   -Si je me connecte en VPN PPTP, c'est la même galère puisque c'est le DHCP aussi qui m'attribue une adresse  
 
Il n'y a pas de firewall, juste deux modems-routeurs

Au niveau de ton domaine d'encryption, il doit y avoir quelque chose qui ne joue pas.
Vérifie les IP sources et destination des 2 côtés. Ton VPN semble UP visiblement si tu arrives à faire des ping depuis ton routeur.

il ne faut pas spécifier de domaine d'encryption en route based.

Je dois avouer que vous me perdez un peu là... Une illustration valant mieux que du texte, voici ma config (Je n'ai pas la possibilité de configurer d'autres paramètres) :

 
Pour les domaines d'encryption, je n'ai pas vraiment le choix de les spécifier ou pas

Merci Ivy,  
tu as certainement raison sur ce point, faute pour ma part, d'avoir de l'expérience sur ce type de tunnel.
 
 
789456132aze,
Ta config n'a rien qui pourrait nous mettre réellement sur une piste. Quel est la marque de ce routeur/fw ?

donc c'est du policy based, pas de route statique à configurer et le routage (ce qui est envoyé dans le tunnel ou pas) se décide en fonction de la configuration du domaine d'encryption (et dès qu'on sort d'un cas très basique ça devient merdique )

C'est un routeur de la marque "ETIC".  
 
J'ai essayé d'enlever la route statique, ça ne change rien du tout.
 
Je pense que en local ça ne pose pas de problèmes pour la connexion puisque l'on peut choisir soit une IP en 192.168.1.XXX ou 192.168.2.XXX.  
C'est lors de l'accès VPN PPTP que ça doit foirer car le DHCP me donne une adresse en 192.168.1.XXX (Ou 192.168.2.XXX) --> Résultat :  Je ne peux pas accéder aux équipement sur l'autre sous-réseau.
 
J'ai déjà configuré un autre VPN IP-Sec entre les deux mêmes routeurs que ceux-ci, et ça fonctionnait très bien (Par contre les 2 sites avaient leurs équipements sur le même sous-réseau !).
 
 
Désolé je ne vois pas trop ce que je pourrai vous donner pour vous donner des pistes...