[Résolu]Problème de routage VPN Cisco 3640

Problème de routage VPN Cisco 3640 [Résolu] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 14-11-2007 à 10:35:21    

Bonjour à tous,
 
J'ai mis en place un tunnel VPN entre deux réseau d'un client à l'aide d'un routeur CISCO 3640 et d'un Astaro Security Gateway.
 
La connexion entre les deux se passe correctement mais j'ai l'impression que le CISCO ne route pas automatiquement les connexion vers le tunnel VPN.
 
Je suis novice la dedans c'est la première fois que je configure ce type de routeur et je m'en sors plus.
 
Par rapport à la conf du routeur :
 
Interface FastEthernet 1/0 = WAN
Interface FastEthernet 1/1 = LAN
 
Voici la conf :
 

Citation :


!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 lifetime 3600
crypto isakmp key ###MACLEFS### address 212.44.243.10
!
 
!
crypto map Nom_du_vpn 1 ipsec-isakmp
 set peer 212.44.243.10
 set transform-set transfdes
 match address 102
!
!
interface FastEthernet1/0
 ip address 212.44.254.50 255.255.255.0
 ip access-group filtreentrant in
 ip nat outside
 duplex auto
 speed auto
 crypto map Nom_du_vpn
!
!
interface FastEthernet1/1
 ip address 172.20.255.254 255.255.0.0
 ip nat inside
 duplex auto
 speed auto
!
ip nat inside source list natlist interface FastEthernet1/0 overload
ip nat inside source static 172.20.0.XXX 212.44.236.XXX
! Enormement de nat 1:1 ici
!
ip access-list extended filtreentrant
! la mes régles que je ne montre pas
 permit tcp any any reflect filtresortant
 permit udp any any reflect filtresortant
 permit icmp any any reflect filtresortant
ip access-list extended natlist
 deny   ip 172.20.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 permit ip 172.20.0.0 0.0.255.255 any
!
 


 
Ici quelque commande que j'ai tapé pour voir les status :

Citation :


gw#sh crypto engine connections active
 
 ID Interface            IP-Address      State  Algorithm           Encrypt  Decrypt
  1 FastEthernet1/0      212.44.254.50   set    HMAC_MD5+3DES_56_C        0        0
2008 FastEthernet1/0      212.44.254.50   set    HMAC_MD5+3DES_56_C        0        0
2009 FastEthernet1/0      212.44.254.50   set    HMAC_MD5+3DES_56_C        0        0
 
gw#sh crypto ipsec transform-set
Transform set transfdes: { esp-3des esp-md5-hmac  }
  will negotiate = { Tunnel,  },
 
 
gw#sh crypto ipsec sa
 
interface: FastEthernet1/0
   Crypto map tag: XXXXXXX, local addr. 212.44.254.50
 
  protected vrf:
  local  ident (addr/mask/prot/port): (172.20.0.0/255.255.0.0/0/0)
  remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
  current_peer: 212.44.243.10:500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
   #pkts decaps: 103, #pkts decrypt: 103, #pkts verify 103
   #pkts compressed: 0, #pkts decompressed: 0
   #pkts not compressed: 0, #pkts compr. failed: 0
   #pkts not decompressed: 0, #pkts decompress failed: 0
   #send errors 0, #recv errors 0
 
    local crypto endpt.: 212.44.254.50, remote crypto endpt.: 212.44.243.10
    path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0
    current outbound spi: 734BC43D
 
    inbound esp sas:
     spi: 0x62E99D4D(1659477325)
       transform: esp-3des esp-md5-hmac ,
       in use settings ={Tunnel, }
       slot: 0, conn id: 2008, flow_id: 9, crypto map: XXXXXXX
       sa timing: remaining key lifetime (k/sec): (4559045/2525)
       IV size: 8 bytes
       replay detection support: Y
 
    inbound ah sas:
 
    inbound pcp sas:
 
    outbound esp sas:
     spi: 0x734BC43D(1934345277)
       transform: esp-3des esp-md5-hmac ,
       in use settings ={Tunnel, }
       slot: 0, conn id: 2009, flow_id: 10, crypto map: adecnewold
       sa timing: remaining key lifetime (k/sec): (4559045/2525)
       IV size: 8 bytes
       replay detection support: Y
 
    outbound ah sas:
 
    outbound pcp sas:
 
gw#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route
 
Gateway of last resort is 212.44.254.251 to network 0.0.0.0
 
C    172.20.0.0/16 is directly connected, FastEthernet1/1
C    212.44.254.0/24 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 212.44.254.251
 
 
 


 
Je pense qu'il y a un gros pb de routage car qd je fais un traceroute les paquets vont directe vers la passerelle par défaut qui forcément ne trouve pas les machines voulue...
 
J'ai du oublié quelque chose quelque part, qu'en pensez vous ?
 
Edit : Histoire de ip nat inside source static.... j'ai modifié quelque régles de la crypto map et voila !


Message édité par HumanLock le 14-11-2007 à 14:11:48
Reply

Marsh Posté le 14-11-2007 à 10:35:21   

Reply

Marsh Posté le 14-11-2007 à 10:44:52    

crypto map Nom_du_vpn 1 ipsec-isakmp
 set peer 212.44.243.10
 set transform-set transfdes
 match address 102
!  
 
 
elle est où l'access list 102 dans ta conf ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-11-2007 à 10:47:58    

dreamer18 a écrit :

crypto map Nom_du_vpn 1 ipsec-isakmp
 set peer 212.44.243.10
 set transform-set transfdes
 match address 102
!  
 
 
elle est où l'access list 102 dans ta conf ?


 
J'ai oublié de la mettre dans l'extrait de conf :
 
access-list 102 permit ip 172.20.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 
Voila

Reply

Marsh Posté le 14-11-2007 à 10:49:48    

et 192.168.0.0/16 est bien le réseau distant que tu essaye de joindre via le VPN ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-11-2007 à 10:55:23    

Enfaite il y'a plusieurs réseau mais j'ai simplifié.
 
192.168.19.0
192.168.20.0
192.168.21.0
192.168.22.0
192.168.23.0
 
Mais c'est bien ça c'est les réseau que je cherche à joindre.

Reply

Marsh Posté le 14-11-2007 à 10:57:14    

les crypto access lists sont-elles bien syétriques des deux cotés ?
 
parce qu'en fait c'est bizarre, il y a ça :
 
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 103, #pkts decrypt: 103, #pkts verify 103
 
aucun paquet qui part mais y a des paquets qui rentrent.
 
Si tu essaye un ping vers ton réseau en tapant avant un "debug crypto ipsec" ça donne quoi


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-11-2007 à 11:08:09    

Citation :


les crypto access lists sont-elles bien syétriques des deux cotés ?


 
C'est pas un cisco de l'autre côté c'est un Astaro. L'astaro indique ça :
 

Citation :


000 "S_VPNCISCO_0": 192.168.0.0/16===212.44.243.10...212.44.254.50===172.20.0.0/16; erouted; eroute owner: #3008
000 "S_VPNCISCO_0":     srcip=unset; dstip=unset; srcup=/opt/_updown.classic 2>/tmp/log 1>/tmp/log; dstup=/opt/_updown.classic 2>/tmp/log 1>/tmp/log;
000 "S_VPNCISCO_0":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_VPNCISCO_0":   policy: PSK+ENCRYPT+TUNNEL+UP; prio: 16,16; interface: eth1;  
000 "S_VPNCISCO_0":   dpd: action:restart; delay:30; timeout:120;  
000 "S_VPNCISCO_0":   newest ISAKMP SA: #3007; newest IPsec SA: #3008;  
000 "S_VPNCISCO_0":   IKE algorithms wanted: 5_000-1-1, flags=-strict
000 "S_VPNCISCO_0":   IKE algorithms found:  5_192-1_128-1,  
000 "S_VPNCISCO_0":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP768
000 "S_VPNCISCO_0":   ESP algorithms wanted: 3_000-1, flags=-strict
000 "S_VPNCISCO_0":   ESP algorithms loaded: 3_000-1, flags=-strict
000 "S_VPNCISCO_0":   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=


 
Pour le ping ça donne rien car je suppose que le debug sort sur la console RS232 et je suis en ssh.
 
J'ai tapé ça gw#terminal monitor
 ça a rien donné.

Reply

Marsh Posté le 14-11-2007 à 11:09:25    

ta conf me semble bonne, c'est d'autant plus bizarre :d


Message édité par dreamer18 le 14-11-2007 à 11:09:34

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-11-2007 à 11:11:24    

Oui, c'est intriguant.....
 
Je vais finir par installer un serveur linux avec Openswan.....

Reply

Marsh Posté le 14-11-2007 à 11:12:56    

Ce que je trouve bizarre, c'est ça :
 

Citation :


www1:~# traceroute 192.168.20.21
traceroute to 192.168.20.21 (192.168.20.21), 30 hops max, 40 byte packets
 1  172.20.255.254 (172.20.255.254)  1.810 ms  1.638 ms  1.852 ms
 2  212.44.254.251 (212.44.254.251)  3.205 ms  2.628 ms  4.182 ms


 
212.44.254.251 c'est les backbones / bgp .... C'est pas logique....

Reply

Marsh Posté le 14-11-2007 à 11:12:56   

Reply

Marsh Posté le 14-11-2007 à 11:17:53    

oui en fait le paquet n'est pas encapsulé, il passe par la route définit par la route par défaut... :/


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-11-2007 à 11:21:17    

Y'a pas moyen de forcer le passage dans le tunnel pour un réseau ?
 
J'ai essaye des ip route mais çe le fait pas....

Reply

Marsh Posté le 14-11-2007 à 11:22:30    

non non, en fait quand un paquet entre sur une interface, le routeur regarde si ce paquet est destiné à une crypto access list, si oui il l'encapsule et monte le tunnel, si non, il le passe au module de routage et le route normalement.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-11-2007 à 11:24:33    

Donc, je me suis trompé dans la conf.... Quelque part y'a une erreur....

Reply

Marsh Posté le 14-11-2007 à 11:30:58    

Hem.... enfaite je fais du NAT, Est ce que par le plus grand des hasard le routeur transforme pas mes adresse 172.20 en 212.44.236 avant de prendre le tunnel ?

Reply

Marsh Posté le 14-11-2007 à 11:44:51    

Alors voila le hic :
 
Le routeur fait ça :
 
ip nat inside source static 172.20.XXX.XXX 212.44.236.XXX.XXX
 
Avant de faire la crypto map !
 
 
Donc problème trouvé... mais faut que je trouve comment le résoudre
 
Merci Dream, tu m'y a fait penser quand tu as parler qu'aucun paquet n'etait encapsulé.... Je me suis dit : S'il encapsule pas, c'est que ça ne match pas avec l'ACL.


Message édité par HumanLock le 14-11-2007 à 11:47:27
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed