Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1573 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN Cisco et NAT

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

VPN Cisco et NAT

n°118458
Budykiller
Posté le 10-02-2014 à 21:01:09  profilanswer
 

Bonjour,  
 
J'avais auparavant 2 routeurs reliés en VPN IP Sec (RV082 / SRP527W). L'un deux (RV082) était derrière un autre routeur, donc NAT. Ca a marché pas trop mal, hormis des déconnexions bizarres de temps à autre.
 
Depuis 2 semaines, mon 2ème routeur est aussi derrière un autre routeur. Pire, ce routeur est une Livebox Pro V3, avec son lot de plantage et autres joyeusetés (session expired !)
 
On a donc une liaison VPN IPSec à établir entre 2 routeurs, tout deux situés en DMZ derrière 2 routeurs.
Il y a 1 semaine, la liaison ne fonctionne plus pour la 1ère fois avec la nouvelle config (double NAT), et contrairement à avant, impossible de rétablir le pont !!!
J'ai tout essayé, en vain. J'ai refait la config en long en large et en travers, refait 10 fois les mêmes paramétrages, et au bout de la 10ème fois (après 2H30 de bataille), la liaison s'est rétablie sans comprendre pourquoi ?
 
Aujourd'hui, rebelotte. Liaison DOWN. Je regarde, rien d'anormal, mais impossible de faire revenir le lien. Les logs des 2 routeurs sont suspects. Le 1er (RV082), ne mentionne quasiment rien, à croire que mon routeur de l'autre côté est muet !

Citation :

Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: initiating Main Mode
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Feb 10 19:01:52 2014 System Log gateway_to_gateway.htm is changed.
Feb 10 19:09:08 2014 VPN Log (g2gips0): deleting connection
Feb 10 19:09:08 2014 VPN Log (g2gips0) #8: deleting state (STATE_MAIN_I1)
Feb 10 19:09:08 2014 VPN Log added connection description (g2gips0)
Feb 10 19:09:08 2014 VPN Log listening for IKE messages
Feb 10 19:09:08 2014 VPN Log forgetting secrets
Feb 10 19:09:08 2014 VPN Log loading secrets from '/etc/ipsec.d/ipsec.secrets'
Feb 10 19:09:09 2014 System Log gateway_to_gateway.htm is changed.


Et sur le SRP527 voilà les logs :  
 

Citation :

Dump pluto log message in syslog  :  
 
cat /var/log/messages |grep pluto
Jan  1 02:29:39 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Jan  1 02:29:39 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: STATE_MAIN_R1: sent MR1, expecting MI2
Jan  1 02:30:09 TLSR0254 authpriv.warn pluto[1156]: "G2" #186: max number of retransmissions (2) reached STATE_MAIN_R1
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [RFC 3947] method set to=109  
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: responding to Main Mode
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: STATE_MAIN_R1: sent MR1, expecting MI2
Jan  1 02:30:25 TLSR0254 authpriv.warn pluto[1156]: pending Quick Mode with 37.1.XXX.XXX "G2" took too long -- replacing phase 1
Jan  1 02:30:25 TLSR0254 authpriv.warn pluto[1156]: "G2" #189: initiating Main Mode to replace #185
Jan  1 02:30:49 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: max number of retransmissions (2) reached STATE_MAIN_R1
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [RFC 3947] method set to=109  
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: "G2" #190: responding to Main Mode


 
Quelqu'un pourrait m'aider à comprendre ce qu'il se passe ? J'ai laissé également un message sur le forum Cisco.
Je ne comprends pas pourquoi la liaison s'établit, puis d'un coup se coupe et ne peut plus se rétablir. Les logs sont en plus bizarres. J'ai du dépanner du VPN auparavant, avec des soucis de phase IKE, de PFS, de Remote ID, etc. Mais là...
 
Je précise que ce soir, la liaison est toujours H.S. J'ai donc une agence complètement survoltée à l'autre bout de la France.
Merci à vous.

mood
Publicité
Posté le 10-02-2014 à 21:01:09  profilanswer
 

n°118472
BMenez
Posté le 11-02-2014 à 13:37:36  profilanswer
 

Les équipements d'extrémité ont été rebootés ?

n°118474
Budykiller
Posté le 11-02-2014 à 15:13:09  profilanswer
 

En effet. Les routeurs avant, et les 2 routeurs mentionnés plus haut.
Bref, 1h30 avec la hotline CISCO ce matin : impossible de faire un pont avec le SRP527. L'autre semble fonctionner.
 
Du coup je suis dans l'obligation de changer le matos. Je vais prendre un routeur compatible VDSL, ça m'évitera d'avoir cette livebox vraiment instable.
 
Pas de bonnes nouvelles pour moi en tout cas.

n°118476
BMenez
Posté le 11-02-2014 à 15:31:30  profilanswer
 

Pas de bol :/
J'avais eu un soucis similaire où le routeur distant conservait les anciens paramètres de session IKE pendant plusieurs heures, un reboot et tout rentrait dans l'ordre.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN Cisco et NAT

 

Sujets relatifs
Sujet "Cisco Catalyst IP TV Belgacom" fermé ?Cisco Cataylst IP TV Belgacom
[RESOLU] VPN ipsec transport ou tunnelpb snmp sur cisco 2800
Surveillance, NAT/VPNVPN PPTP Synology lent
Cisco ASA 5505 - Autoriser traffic entre VPN Client et VPN Site2SiteMulti-NAT / ip forwarding / VPN et Cisco
NAT/PAT sur un Cisco 1841 : SMTP & VPN 
Plus de sujets relatifs à : VPN Cisco et NAT


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR