VPN IPSEC entre passerelle debian et routeur cisco 2611

VPN IPSEC entre passerelle debian et routeur cisco 2611 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 04-04-2010 à 09:51:02    

Salut a tous
 
Je viens de suivre ce tuto très bien fait : http://bmigette.fr/2009/02/05/remo [...] pn-radius/ pour connecter un routeur cisco 2611 et une passerelle sous debian.
J'ai donc testé avec xp et le client vpn cisco, et tous marche bien sauf que le client sous xp configure comme passerelle par défaut l'ip que le client se voit attribuer :
 

Code :
  1. Carte Ethernet Connexion au réseau local:
  2.         Suffixe DNS propre à la connexion :
  3.         Description . . . . . . . . . . . : Cisco Syste
  4.         Adresse physique . . . . . . . . .: 00-05-9A-3C
  5.         DHCP activé. . . . . . . . . . . : Non
  6.         Adresse IP. . . . . . . . . . . . : 172.30.0.10
  7.         Masque de sous-réseau . . . . . . : 255.255.0.0
  8.         Passerelle par défaut . . . . . . : 172.30.0.10


 
Et je voudrais bien avoir l'ip du routeur cisco du genre :

Code :
  1. Carte Ethernet Connexion au réseau local:
  2.         Suffixe DNS propre à la connexion :
  3.         Description . . . . . . . . . . . : Cisco Syste
  4.         Adresse physique . . . . . . . . .: 00-05-9A-3C
  5.         DHCP activé. . . . . . . . . . . : Non
  6.         Adresse IP. . . . . . . . . . . . : 172.30.0.10
  7.         Masque de sous-réseau . . . . . . : 255.255.0.0
  8.         Passerelle par défaut . . . . . . : 172.30.0.1


 
 
 
Pour pouvoir contacter le routeur par cette ip plus tard pour annoncer mes routes par OSPF des 2 cotés.
J'ai exactement la même config que le tuto.
Si quelqu'un a déjà fait cette config comment je dois faire? Merci

Reply

Marsh Posté le 04-04-2010 à 09:51:02   

Reply

Marsh Posté le 04-04-2010 à 10:06:14    

je ne comprends pas bien ton objectif, si ça fonctionne :D Les clients IPSec Cisco changent tes routes locales sur ton poste pur pouvoir encapsuler tout le trafic sortant dans le tunnel ipsec (implicite)


Message édité par dreamer18 le 04-04-2010 à 10:06:26

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 04-04-2010 à 10:20:07    

Oui mais pour éviter le changement des routes ça j'ai mi une acl.
Donc sur ma passerelle je n'ai que la route du vpn routé.
 
Se que je voudrais d'un coté c'est une interface sur le routeur avec l'ip 172.30.0.1 et la passerelle sous debian avec vpnc et avec l'ip 172.30.0.2, après je veux diffuser les routes des réseaux derrière le routeur cisco à la passerelle et les routes derrière la passerelle au routeur cisco grâce à OSFP.
 
Mais pour le moment j'ai configurer mes groupes d'accès, les crypto dynamic-map, crypto map  et j'ai appliqué la crypto map à Dialer0 qui est mon interface WAN.
Mais le routeur cisco n'as pas d'ip dans la plage d'ip du vpn et je voudrais donc en rajouter une.
Voilà

Reply

Marsh Posté le 04-04-2010 à 10:28:35    

je crois pas que tu puisses
 
Si tu veux créer une interface vituelle (interface tunnel) faut passer par de l'encapsulation GRE et c'est pour faire des tunnels routeur-à-routeur.
 
Y a peut-être moyen de le faire pour de l'ipsec natif (sans GRE) dans les versions récentes mais même si c'était possible, je pense pas que ça le soit pour des tunnels de type remote avec un pool associé.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 04-04-2010 à 10:46:23    

Y a t'il un moyen de contourner le problème? Merci

Reply

Marsh Posté le 04-04-2010 à 11:22:47    

à ma connaissance non. Faut voir dans les docs des IOS les plus récents mais cela me semble peu probable.
 
Soit tu montes un tunnel ipsec complet où tout le trafic est encapsulé, soit tu peux aussi configurer du split tunneling pour que seul le trafic désiré soit encapsulé et que le reste sorte "normalement" du poste.
 
à ma connaissance ce sont les seules options possibles.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 04-04-2010 à 12:32:02    

ok, je vais laisser tomber le routage dynamique alors.
Merci

Reply

Marsh Posté le 04-04-2010 à 13:49:34    

Et on peut attribuer une ip fixe à un client vpn?

Reply

Marsh Posté le 04-04-2010 à 18:48:23    

Si non y a pas moyen de donner les routes des réseaux derrière les clients?

Reply

Marsh Posté le 04-04-2010 à 18:53:07    

ha non en aucun cas. Pour ça faut faire du vpn site à site et pas remote


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 04-04-2010 à 18:53:07   

Reply

Marsh Posté le 04-04-2010 à 19:07:14    

ouais mais du site à site je peux pas avec ma passerelle debian!!
 
Si non c'est normal que je n'arrive pas a faire un ping avec le routeur cisco et l'ip de ma passerelle connecté? alors que ma passerelle ping bien toutes les interface de mon routeur et tous les serveurs.

Reply

Marsh Posté le 04-04-2010 à 21:57:29    

bon, je suis repassé avec un serveur openvpn pour connecter ma passerelle et mes clients nomades se connecteront au vpn par le cisco.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed