IPSEC entre cisco asa 5505 et Netasq F60

IPSEC entre cisco asa 5505 et Netasq F60 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 12-02-2010 à 15:14:37    

Bonjour à tous,
 
Voici mon souci:
 
J'etabli un vpn ipsec entre un firewall cisco 5505 et un firewall netasq F60.
 
Voici ma config, tres rapidement:
 
LAN(192.168.2.0)<-->(192.168.2.254)Cisco ASA 5505(192.168.1.6)<---->(192.168.1.254)Routeur(194.250.xx.xx)<------internet
                                                   
                                                                                                internet------>(193.253.xx.xx)Netasq F60(192.168.1.5)<--->LAN(192.168.1.0)
 
Mon Firewall cisco est derriere un routeur, il est bien parametré avec la route par defaut vers ce routeur, les ordinateurs du LAN en 192.168.2.0 n'ont pas de souci d'acces au web ou au lan avec le nat en place.
Mon Firewall Netasq lui est connecté directement sur le web via un modem standard en pppoe. Les clients SSL qui se connectent au netasq n'ont aucun probleme pour acceder aux ressources sur le lan en 192.168.1.0 derriere le netasq.
J'etabli donc un vpn ipsec entre mes deux firewall. Pas de probleme, le vpn se monte. Par contre, je n'arrive pas à joindre les lan depuis un cote ou l'autre...!  
En fait, si je ping une machine en 192.168.1.31 depuis une autre en 192.168.2.1, le ping arrive bien à ma premiere machine mais le retour ne se fait pas! A savoir que j'analyse ce qui transite sur ma mchine en 192.168.1.31 avec wireshark et qu'au niveau de l'ASQ j'avais des bloquages liés à une "usurpation d'adresse ip" sur mon traffic entrant depuis le vpn... que j ai resolus dans la prevention d'intrusion ASQ.
Auriez vous une petite idee?

Reply

Marsh Posté le 12-02-2010 à 15:14:37   

Reply

Marsh Posté le 12-02-2010 à 15:17:04    

problème de crypto access lists ou de SA qui se négocient mal dans le sens retour pour moi.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 12-02-2010 à 16:23:29    

bon finalement j'ai resolu mes soucis... c'etait tres simple
 
Le probleme c'est que j'avais mon lan outside sur le cisco en 192.168.1.0 et que mon lan sur le inside du netasq avait le meme adressage.
 
Du coup ca posait probleme car pour une meme plage d'adresses ip il y avait 2 interfaces differentes.
 
c'est redibitoire et tt traffic etait bloqué au niveau du netasq.
 
solutions:
 
- changer l'adressage ip du lan outside sur le cisco en 192.168.0.0 par exemple, ca marche sans probleme j'ai testé hier.
- autre solution: changer les masques de mes reseaux en 192.168.1.0 avec des masques en /26 , /30 etc... mais par manque de temps hier j'ai choisi la premiere solution ^^
 
de toute facon ma configuration definitive sera differente et l'interface outside de mon cisco sera sur un modem en pppoe et la je n'aurai pas ce probleme d'adressage.
 
les prochaines etapes seront:  
- connecter un telephone ip (et 1 seul, car ce sera sur une connection adsl) derriere le cisco et le connecter au travers du vpn ipsec à l'IPBX (un mitel CX3300) sur le lan derriere le netasq. Il faudra tres certainement travailler sur la QOS... si ca marche je generaliserai sur 3 sites distants le principe.
- je m'interroge egalement sur l'interet de mettre en place un switch de niveau 3 pour router les futurs vlan derriere mon netasq (le site principal), ou si le F60 s'en sortira tres bien comme ca... j'ai vu la nouvelle serie U chez netasq, ils sont plus performants que les F, on verra pour plus tard
- autres questions sur le vpn ipsec, netasq recommande vivement, pour le mode tunnel, du chiffrement aes (performance + securite), qu'en pensez vous? quel chiffrement pour obtenir reellement les meilleures performances et une tres bonne securite?
- enfin, comment remplacer mon super proxy squid filtrant (avec squidguard) qui me permet actuellement de filtrer sur mes 3 sites distants et le principal?  ca marche super bien mais la solution est tres gourmande en bande passante puisque les sites distants passent tous par le site principal pour leur acces internet... je voudrais utiliser les cisco asa 5505 et le netasq lui meme pour du filtrage sur chacun des sites respectivement.(precision: mes sites sont actuellements reliés au travers d'un vpn oleane...)
 
 
Merci pour votre aide!


Message édité par J3nif3r le 13-02-2010 à 10:18:22
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed