Tunnel VPN site to site entre cisco 877 / ASA 5510

Marsh Posté le 29-06-2009 à 11:49:04

Bonjour,

Voilà j'essaie de configurer un tunnel VPN site à site entre un cisco 877 et et ASA 5510 mais je rencontre quelque difficulté.

voici l'architecture mise en place :

(vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8)

J'ai utilisé l'interface SDM pour la configuration à la fin de la configuration des 2 parties j'ai utilisé le "Test Tunnel" du routeur 877 mais le statut de la connexion VPN reste "Down" mais le reste semble fonctionner :

Citation :

Checking the tunnel status ... Down <<<<<<====== c'est le problème
Checking interface status ... successful
Checking configuration ...successful
Checking Routing ...successful
Checking peer connectivity ...successful
Checking NAT ...successful
Checking firewall ...successful

j'ai vérifier que les algo de crypto était bien les mêmes des 2 coté les règle IPsec pareille.

Dans les logs ci-dessous je ne vois pas du tout ce que représente "tunnel gourp" pour le 877, sur l'ASA c'est claire mais la correspondance dans le 877 est flou pour moi.

J'ai aussi relevé quelque logs du coté ASA lors du "Test Tunnel" du 877:

Citation :

4|Jun 29 2009 01:13:14|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:13:04|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:12:54|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Error: Unable to remove PeerTblEntry
3|Jun 29 2009 01:12:44|713902: Group = 10.10.10.1, IP = 10.10.10.1, Removing peer from peer table failed, no match!
4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Can't find a valid tunnel group, aborting...!
6|Jun 29 2009 01:12:44|302015: Built inbound UDP connection 6197 for SDSL:10.10.10.1/500 (10.10.10.1/500) to NP Identity Ifc:82.65.65.65/500 (82.65.65.65/500)
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0

Voila si vous avez besoin d'autre infos n'hésitez pas

Merci d'avance

Je précise que les IP que j'ai pris sont fausse c'est juste pour illustrer mes propos

Message édité par moniomox le 30-06-2009 à 14:23:49

Reply

Marsh Posté le 29-06-2009 à 11:49:04

Reply

Marsh Posté le 30-06-2009 à 09:26:19

Je vais reformuler mais question ...
Ce topic s'adresse à ceux qui connaissent le matériel Cisco.
Je veux créer une connexion VPN entre routeur Cisco et l'ASA mais comme se sont des modèles différents les configuration change un peu de l'un à l'autre, j'ai dut louper quelque chose mais je ne vois pas ou.

Une idée ?

Reply

Marsh Posté le 30-06-2009 à 16:22:08

Je fais avancer le topic au cas ou il y a aurai un dieu de la conf cisco qui arriverai.
J'ai trouvé une infos dans cette article : http://www.cisco.com/en/US/product [...] uterdebugs

qui correspond tout à fait à mon cas et qui indique qu'il faut désactiver le NAT sur le réseau privé du routeur, comme cela dans la configuration :

Citation :

!--- Except the private network from the NAT process:

ip nat inside source route-map nonat pool branch overload

mais je ne sais pas du tout comment procéder avec le CLI ou la SDM de cisco pour déactiver le NAT sur le réseau privé parce que dans la configuration du routeur, moi j' ai ça dans ma configuration :

Citation :

ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload

Toujours aussi impatient d'avoir vos lumières sur le sujet

Message édité par moniomox le 30-06-2009 à 16:25:07

Reply

Marsh Posté le 02-07-2009 à 16:15:50

Bon j'ai trouvé mon erreur cela venait du NAT/NAT-T maintenant ma connexion est up, mais je n'arrive pas accéder au réseau via mon VPN.
c'est a dire que mes ordinateur des dans les réseaux privé ne se vois pas (pas de ping possible est ce normale ?)

Si quelqu'un a une idée sur la façon de faire je prend xD sinon je continu en solo

Message édité par moniomox le 02-07-2009 à 16:25:28

Reply

Marsh Posté le 02-07-2009 à 16:19:00

est-ce que tes crypto ACL sont bien symétriques des deux cotés ?

tu vois des paquets encryptés/décryptés dans les stats quand tu fais tes pings ?

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 02-07-2009 à 16:42:02

la crypto pour les 2 coté c'est la même 3des-esp hash MD5
la règle ipsec de l'asa dit : autorise le traffic ip du "réseau privé 1" vers le "réseau privé 2"
pour le routeur pareille dans le sens inverse

et quand je fais des ping je vois bien les stats "encryptés/décryptés" s'incrémenter de 1 à chaque paquet.

Arf autre chose aussi le tunnel se coupe tout seul je vois pas d'ou sa peut venir

Reply

Marsh Posté le 03-07-2009 à 16:36:12

Bonjour bon mes problème ne sont toujours pas finit sinon se serai pas drôle xD (je juste un poil découragent), bref ...
Quand je ping depuis mon réseau 192.168.1.0 je suis arrêté par l'ASA qui me dit dans les logs :

Citation :

3|Jul 03 2009 06:04:47|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.16.125.10 (type 8, code 0)

j'ai essayer de voir si c'était parce qu'il bloquait par default les paquet ICMP je suis tombé sur cette page
http://www.cisco.com/en/US/product [...] 4e8a.shtml

j'ai entré les ligne de commande correspondante pour Inbound/Outbound en adaptant à ma config

et ça bloque toujours -_-' et pour les ACL IPSEC et NAT se sont les même en adaptant bien sûr que sur le lien cisco déjà cité je remet le lien :
http://www.cisco.com/en/US/product [...] 4498.shtml

Il y une ACL pour le NAT que je ne comprend pas de l'URL ci-dessus :

Citation :

access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

De ce que j'ai comprit (peut etre pas grand chose ...) il ne faut pas que le trafic dans le tunnel soit NATé donc dans leur exemple de 10.1.1.0 à 10.2.2.0 mais l'ACL "nonat" le permet justement ...
C'est moi qui ne pas avoir tout comprit parce que c'est pas la première fois que je vois cette ACL dans des config similaire.
Si quelqu'un peut m'expliquer je suis tout ouïe.

Quelqu'un a t-il une idée je commence à sécher sérieusement

Cisco plus fort que moi ? :s

Message édité par moniomox le 03-07-2009 à 16:51:09

Reply

Marsh Posté le 03-07-2009 à 19:27:00

c'est juste une access list qui jette tes pings comme indiqué dans le log

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 06-07-2009 à 10:17:21

Oui s'en doute mais l'ai pourtant autorisé ...
Je poste les configuration de l'asa et du routeur (j'aurais surement du commencer par là) :
Le routeur :

Citation :

Building configuration...

Current configuration : 6515 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
!
!
crypto pki trustpoint TP-self-signed-3881351686
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3881351686
revocation-check none
rsakeypair TP-self-signed-3881351686
!
!
crypto pki certificate chain TP-self-signed-3881351686
certificate self-signed 01
quit
dot11 syslog
no ip source-route
ip cef
!
!
ip dhcp pool sdm-pool1
import all
network 192.xx.xx.0 255.255.255.0
dns-server xx.xx.xx.xx
default-router 192.xx.xx.xx
!
!
no ip bootp server
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key vdb18 address 92.xx.xx.xx
!
!
crypto ipsec transform-set esp_md5_3des esp-3des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 92.xx.xx.xx
set peer 92.xx.xx.xx
set transform-set esp_md5_3des
set pfs group2
match address 120
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
ip unnumbered ATM0.1
tunnel mode ipsec ipv4
!
interface Virtual-Template2 type tunnel
ip unnumbered ATM0.1
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.xx.xx.xx 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip route-cache cef
no ip route-cache
dialer pool 1
dialer-group 1
no cdp enable

crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat pool branch 80.xx.xx.xx 80.xx.xx.xx netmask 255.255.255.240
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip nat inside source route-map nonat pool branch overload
!
logging trap debugging

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.xx.xx.0 0.0.0.255

access-list 120 permit ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 deny ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 permit ip 192.xx.xx.0 0.0.0.255 any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map nonat permit 10
match ip address 130
!
!
control-plane

line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

l'ASA :

Citation :

ASA Version 7.0(8)

!
interface Ethernet0/0
description SDSL
nameif SDSL
security-level 0
ip address 92.xx.xx.xx 255.255.255.248
!
interface GigabitEthernet1/3
description VPN
nameif VPN
security-level 75
ip address 172.xx.xx.xx 255.255.255.0
!

!-- ACL permettant d'autoriser le ping
access-list 111 extended permit icmp any host 172.xx.xx.xx echo
access-list 111 extended permit icmp any any echo-reply
access-list 111 extended permit icmp any any source-quench
access-list 111 extended permit icmp any any unreachable
access-list 111 extended permit icmp any any time-exceeded

access-list ipsec extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0
access-list ipsec extended permit icmp 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0

access-list nonat extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0

mtu SDSL 1500
mtu VPN 1500
no failover

icmp permit any SDSL
icmp permit any VPN

asdm image disk0asdm-508.bin
no asdm history enable
arp timeout 14400
global (SDSL) 4 interface

nat (VPN) 0 access-list nonat
nat (VPN) 0 172.xx.xx.0 255.255.255.0

static (VPN,SDSL) 172.xx.xx.xx 92.xx.xx.xx netmask 255.255.255.255
access-group 111 in interface SDSL

!--route vers le routeur internet
route SDSL 0.0.0.0 0.0.0.0 xx.xx.xx.xx 2

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec
password-storage disable
ip-comp enable
re-xauth disable
group-lock value DefaultL2LGroup
pfs enable
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keep-client-config
client-firewall none
client-access-rule none
webvpn
functions url-entry
port-forward-name value Application Access

http server enable
http 172.16.128.0 255.255.248.0 MGT
http 10.0.0.202 255.255.255.255 MGT
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto map SDSL_map 20 match address ipsec
crypto map SDSL_map 20 set pfs
crypto map SDSL_map 20 set peer 80.xx.xx.xx
crypto map SDSL_map 20 set transform-set ESP-3DES-MD5
crypto map SDSL_map 20 set security-association lifetime seconds 28800
crypto map SDSL_map 20 set security-association lifetime kilobytes 4608000
crypto map SDSL_map 20 set nat-t-disable
crypto map SDSL_map 20 set phase1-mode aggressive
crypto map SDSL_map interface SDSL

isakmp identity address
isakmp enable SDSL
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp ipsec-over-tcp port 10000

tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key *

tunnel-group tunnel_vpn type ipsec-l2l
tunnel-group tunnel_vpn ipsec-attributes
pre-shared-key *
telnet 10.xx.xx.xx 255.255.255.255 MGT
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global

Voila j'espère que quelqu'un pourra m'éclairer sur les raison du dysfonctionnement de se tunnel

Message édité par moniomox le 06-07-2009 à 10:22:37

Reply

Marsh Posté le 06-07-2009 à 10:23:43

sinon ouvre un incident chez ton mainteneur ça ira plus vite

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 06-07-2009 à 10:23:43

Reply

Marsh Posté le 07-07-2009 à 10:36:37

Arf oui je me doute bien mais en tant que stagiaire sa le fait pas d'appeler le support ^^ mais bon j'avance sur mon problème, après une semaine dessus :| ... la suite de la discussion se fait sur le forum de commentçamarche.net : http://www.commentcamarche.net/for [...] co-877-asa

Merci pour toute l'aide que vous avez put m'apporter sur ce topic ;p :hello:

Suite et fin (j'espère ...) sur commentçamarche.net

Message édité par moniomox le 07-07-2009 à 10:38:13

Reply

Tunnel VPN site to site entre cisco 877 / ASA 5510

Sujets relatifs:

Leave a Replay