Bonjour à tous
Je desire mettre en place un VPN IPSEC entre 2 routeurs Cisco 1841 (IOS Adv Security)
Pour cela j'ai choisi d'utiliser l'algorithme AES 256 avec une authentification RSA.
Je suis donc les procédures sur la documentation Cisco
Mais ça ne fonctionne pas, je tiens a preciser que lorsque j'utilise des clé partagées c'est opérationnel.
Avec le RSA j'obtiens ce message d'erreur :  
%CRYPTO-6-IKMP_CRYPT_FAILURE: IKE (connection id 134217729) unable to encrypt (w/peers RSA public key) packet
J'ai fait un réseau de test donc la configuration est la suivante
       ------------------ fa0/0 :                  fa0/0 :  --------------------  fa0/1
       |    Routeur A      |--------------------------------------------|      Routeur B       |-------------
       ------------------                                                               --------------------
fa0/1 :
Et voici une conf utilisé :
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname PlateformeA
logging buffered 4096 debugging
no aaa new-model
resource policy
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
crypto key pukey-chain rsa
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D608FB
  6242D652 65014782 8004585C 5672E319 F71B3316 27A94338 30E2F088 A7114FA4
  47A2F4CE BF7D2D5D 769A397D AFB84F1E B9F4E1EE F1A7A0F5 0A3FF9D5 D848C1A5
  B88B701F 10C2E1B7 A0333366 5EE4F947 4E48DF50 16389C77 C737C2F2 E4D4F860
  78919B9C 6A46A7B6 317CF70B 3AB20F3D CE806EDC BA26A7FE 53D04286 27020301 0001  
crypto isakmp policy 150
 hash sha
 encr aes 256
 authentication rsa-encr
crypto isakmp keepalive 10
crypto ipsec transform-set ionos-transformset ah-sha-hmac esp-aes 256 esp-sha-hmac  
crypto map ionos-map 10 ipsec-isakmp  
 set peer
 set transform-set ionos-transformset  
 match address 150
interface FastEthernet0/0
 ip address
 speed 10
 no cdp enable
 crypto map ionos-map
 ip access-group 100 in
 no shutdown
interface FastEthernet0/1
 ip address
 speed 100
 no cdp enable
 no shutdown
no ip classless
ip route
no ip http server
ip http authentication local
ip http secure-server
access-list 100 permit esp any any
access-list 100 permit udp any any eq isakmp
access-list 150 permit ip
no cdp run
line con 0
 login local
line aux 0
line vty 0 4
 login local
Si quelqu'un a une solution   :ange:  
Merci d'avance


"w/peers RSA public key"
verifie que tu as bien entré la clé publique du peer sur chacun des routeurs.
Oui je copie bien les clefs publiques,
Pour cela je tape la commande suivante dans chacun des routeurs : crypto key generate key rsa  
Ensuite je les copie dans un bloc note et je les colle dans les routeurs opposés
Pour ce qui est du debug, il me retourne une unknow error
May 20 15:19:48.227: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
*May 20 15:19:48.227: ISAKMP:(0:0:N/A:0): sending packet to my_port 500 peer_port 500 (I) MM_NO_STATE
*May 20 15:19:48.423: ISAKMP (0:134217729): received packet from dport 500 sport 500 Global (I) MM_NO_STATE
*May 20 15:19:48.427: ISAKMP (0:0): received packet from dport 500 sport 500 Global (I) MM_NO_STATE
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1  New State = IKE_I_MM2
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0): processing vendor id payload
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 245 mismatch
*May 20 15:19:48.427: ISAKMP (0:0): vendor ID is NAT-T v7
*May 20 15:19:48.427: ISAKMP : Scanning profiles for xauth ...
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 150 policy
*May 20 15:19:48.427: ISAKMP:      encryption AES-CBC
*May 20 15:19:48.427: ISAKMP:      keylength of 256
*May 20 15:19:48.427: ISAKMP:      hash SHA
*May 20 15:19:48.427: ISAKMP:      default group 2
*May 20 15:19:48.427: ISAKMP:      auth RSA encr
*May 20 15:19:48.427: ISAKMP:      life type in seconds
*May 20 15:19:48.427: ISAKMP:      life duration (basic) of 7200
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
*May 20 15:19:48.427: CryptoEngine0: generating alg parameter for connid 2
*May 20 15:19:48.483: CRYPTO_ENGINE: Dh phase 1 status: 0
*May 20 15:19:48.483: CRYPTO_ENGINE: Dh phase 1 status: OK
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1): processing vendor id payload
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1): vendor ID seems Unity/DPD but major 245 mismatch
*May 20 15:19:48.483: ISAKMP (0:134217730): vendor ID is NAT-T v7
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM2
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN!
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):SA is doing RSA encryption authentication using id type ID_IPV4_ADDR
*May 20 15:19:48.483: ISAKMP (0:134217730): ID payload
        next-payload : 10
        type         : 1
        address      :
        protocol     : 17
        port         : 500
        length       : 12
*May 20 15:19:48.487: crypto_engine: public key encrypt
*May 20 15:19:48.495: crypto_engine: public key encrypt, got error unknown error
*May 20 15:19:48.495: %CRYPTO-6-IKMP_CRYPT_FAILURE: IKE (connection id 134217730) unable to encrypt (w/peers RSA public key) packet
*May 20 15:19:48.495: ISAKMP (0:134217730): FSM action returned error: 2
*May 20 15:19:48.495: ISAKMP:(0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*May 20 15:19:48.495: ISAKMP:(0:2:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM3
essaie de renseigner ton host name distant... qui fera office de NS...
""May 20 15:19:48.483: ISAKMP0:2:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN! ""
ip host TON_HOST avec l'IP distante
Je trouve bizar que tu utilise deux acl différente réuni tout dans la 150, comme ca tu évite tout problème d'ACL en tout cas pour débuguer...
Pour le NS:
crypto key pukey-chain rsa  
ip host ROUT1 address  
crypto key pukey-chain rsa  
named-key ROUT1  
j'oubliais un petit lien quio peut t'aider :http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml
et j'ai boulié tu dois rajouter la ligne  
