[Résolu]Problème de routage VPN Cisco 3640

Marsh Posté le 14-11-2007 à 10:35:21

Bonjour à tous,

J'ai mis en place un tunnel VPN entre deux réseau d'un client à l'aide d'un routeur CISCO 3640 et d'un Astaro Security Gateway.

La connexion entre les deux se passe correctement mais j'ai l'impression que le CISCO ne route pas automatiquement les connexion vers le tunnel VPN.

Je suis novice la dedans c'est la première fois que je configure ce type de routeur et je m'en sors plus.

Par rapport à la conf du routeur :

Interface FastEthernet 1/0 = WAN
Interface FastEthernet 1/1 = LAN

Voici la conf :

Citation :

!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key ###MACLEFS### address 212.44.243.10
!

!
crypto map Nom_du_vpn 1 ipsec-isakmp
set peer 212.44.243.10
set transform-set transfdes
match address 102
!
!
interface FastEthernet1/0
ip address 212.44.254.50 255.255.255.0
ip access-group filtreentrant in
ip nat outside
duplex auto
speed auto
crypto map Nom_du_vpn
!
!
interface FastEthernet1/1
ip address 172.20.255.254 255.255.0.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list natlist interface FastEthernet1/0 overload
ip nat inside source static 172.20.0.XXX 212.44.236.XXX
! Enormement de nat 1:1 ici
!
ip access-list extended filtreentrant
! la mes régles que je ne montre pas
permit tcp any any reflect filtresortant
permit udp any any reflect filtresortant
permit icmp any any reflect filtresortant
ip access-list extended natlist
deny ip 172.20.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 172.20.0.0 0.0.255.255 any
!

Ici quelque commande que j'ai tapé pour voir les status :

Citation :

gw#sh crypto engine connections active

ID Interface IP-Address State Algorithm Encrypt Decrypt
1 FastEthernet1/0 212.44.254.50 set HMAC_MD5+3DES_56_C 0 0
2008 FastEthernet1/0 212.44.254.50 set HMAC_MD5+3DES_56_C 0 0
2009 FastEthernet1/0 212.44.254.50 set HMAC_MD5+3DES_56_C 0 0

gw#sh crypto ipsec transform-set
Transform set transfdes: { esp-3des esp-md5-hmac }
will negotiate = { Tunnel, },

gw#sh crypto ipsec sa

interface: FastEthernet1/0
Crypto map tag: XXXXXXX, local addr. 212.44.254.50

protected vrf:
local ident (addr/mask/prot/port): (172.20.0.0/255.255.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
current_peer: 212.44.243.10:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 103, #pkts decrypt: 103, #pkts verify 103
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 212.44.254.50, remote crypto endpt.: 212.44.243.10
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0
current outbound spi: 734BC43D

inbound esp sas:
spi: 0x62E99D4D(1659477325)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2008, flow_id: 9, crypto map: XXXXXXX
sa timing: remaining key lifetime (k/sec): (4559045/2525)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x734BC43D(1934345277)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2009, flow_id: 10, crypto map: adecnewold
sa timing: remaining key lifetime (k/sec): (4559045/2525)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas:

gw#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 212.44.254.251 to network 0.0.0.0

C 172.20.0.0/16 is directly connected, FastEthernet1/1
C 212.44.254.0/24 is directly connected, FastEthernet1/0
S* 0.0.0.0/0 [1/0] via 212.44.254.251

Je pense qu'il y a un gros pb de routage car qd je fais un traceroute les paquets vont directe vers la passerelle par défaut qui forcément ne trouve pas les machines voulue...

J'ai du oublié quelque chose quelque part, qu'en pensez vous ?

Edit : Histoire de ip nat inside source static.... j'ai modifié quelque régles de la crypto map et voila !

Message édité par HumanLock le 14-11-2007 à 14:11:48

Reply

Marsh Posté le 14-11-2007 à 10:35:21

Reply

Marsh Posté le 14-11-2007 à 10:44:52

crypto map Nom_du_vpn 1 ipsec-isakmp
set peer 212.44.243.10
set transform-set transfdes
match address 102
!

elle est où l'access list 102 dans ta conf ?

Message cité 1 fois

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 14-11-2007 à 10:47:58

dreamer18 a écrit :

crypto map Nom_du_vpn 1 ipsec-isakmp
set peer 212.44.243.10
set transform-set transfdes
match address 102
!

elle est où l'access list 102 dans ta conf ?

J'ai oublié de la mettre dans l'extrait de conf :

access-list 102 permit ip 172.20.0.0 0.0.255.255 192.168.0.0 0.0.255.255

Voila

Reply

Marsh Posté le 14-11-2007 à 10:49:48

et 192.168.0.0/16 est bien le réseau distant que tu essaye de joindre via le VPN ?

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 14-11-2007 à 10:55:23

Enfaite il y'a plusieurs réseau mais j'ai simplifié.

192.168.19.0
192.168.20.0
192.168.21.0
192.168.22.0
192.168.23.0

Mais c'est bien ça c'est les réseau que je cherche à joindre.

Reply

Marsh Posté le 14-11-2007 à 10:57:14

les crypto access lists sont-elles bien syétriques des deux cotés ?

parce qu'en fait c'est bizarre, il y a ça :

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 103, #pkts decrypt: 103, #pkts verify 103

aucun paquet qui part mais y a des paquets qui rentrent.

Si tu essaye un ping vers ton réseau en tapant avant un "debug crypto ipsec" ça donne quoi

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 14-11-2007 à 11:08:09

Citation :

les crypto access lists sont-elles bien syétriques des deux cotés ?

C'est pas un cisco de l'autre côté c'est un Astaro. L'astaro indique ça :

Citation :

000 "S_VPNCISCO_0": 192.168.0.0/16===212.44.243.10...212.44.254.50===172.20.0.0/16; erouted; eroute owner: #3008
000 "S_VPNCISCO_0": srcip=unset; dstip=unset; srcup=/opt/_updown.classic 2>/tmp/log 1>/tmp/log; dstup=/opt/_updown.classic 2>/tmp/log 1>/tmp/log;
000 "S_VPNCISCO_0": ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_VPNCISCO_0": policy: PSK+ENCRYPT+TUNNEL+UP; prio: 16,16; interface: eth1;
000 "S_VPNCISCO_0": dpd: action:restart; delay:30; timeout:120;
000 "S_VPNCISCO_0": newest ISAKMP SA: #3007; newest IPsec SA: #3008;
000 "S_VPNCISCO_0": IKE algorithms wanted: 5_000-1-1, flags=-strict
000 "S_VPNCISCO_0": IKE algorithms found: 5_192-1_128-1,
000 "S_VPNCISCO_0": IKE algorithm newest: 3DES_CBC_192-MD5-MODP768
000 "S_VPNCISCO_0": ESP algorithms wanted: 3_000-1, flags=-strict
000 "S_VPNCISCO_0": ESP algorithms loaded: 3_000-1, flags=-strict
000 "S_VPNCISCO_0": ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=

Pour le ping ça donne rien car je suppose que le debug sort sur la console RS232 et je suis en ssh.

J'ai tapé ça gw#terminal monitor
ça a rien donné.

Reply

Marsh Posté le 14-11-2007 à 11:09:25

ta conf me semble bonne, c'est d'autant plus bizarre

Message édité par dreamer18 le 14-11-2007 à 11:09:34

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 14-11-2007 à 11:11:24

Oui, c'est intriguant.....

Je vais finir par installer un serveur linux avec Openswan.....

Reply

Marsh Posté le 14-11-2007 à 11:12:56

Ce que je trouve bizarre, c'est ça :

Citation :

www1:~# traceroute 192.168.20.21
traceroute to 192.168.20.21 (192.168.20.21), 30 hops max, 40 byte packets
1 172.20.255.254 (172.20.255.254) 1.810 ms 1.638 ms 1.852 ms
2 212.44.254.251 (212.44.254.251) 3.205 ms 2.628 ms 4.182 ms

212.44.254.251 c'est les backbones / bgp .... C'est pas logique....

Reply

Marsh Posté le 14-11-2007 à 11:12:56

Reply

Marsh Posté le 14-11-2007 à 11:17:53

oui en fait le paquet n'est pas encapsulé, il passe par la route définit par la route par défaut...

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 14-11-2007 à 11:21:17

Y'a pas moyen de forcer le passage dans le tunnel pour un réseau ?

J'ai essaye des ip route mais çe le fait pas....

Reply

Marsh Posté le 14-11-2007 à 11:22:30

non non, en fait quand un paquet entre sur une interface, le routeur regarde si ce paquet est destiné à une crypto access list, si oui il l'encapsule et monte le tunnel, si non, il le passe au module de routage et le route normalement.

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Reply

Marsh Posté le 14-11-2007 à 11:24:33

Donc, je me suis trompé dans la conf.... Quelque part y'a une erreur....

Reply

Marsh Posté le 14-11-2007 à 11:30:58

Hem.... enfaite je fais du NAT, Est ce que par le plus grand des hasard le routeur transforme pas mes adresse 172.20 en 212.44.236 avant de prendre le tunnel ?

Reply

Marsh Posté le 14-11-2007 à 11:44:51

Alors voila le hic :

Le routeur fait ça :

ip nat inside source static 172.20.XXX.XXX 212.44.236.XXX.XXX

Avant de faire la crypto map !

Donc problème trouvé... mais faut que je trouve comment le résoudre

Merci Dream, tu m'y a fait penser quand tu as parler qu'aucun paquet n'etait encapsulé.... Je me suis dit : S'il encapsule pas, c'est que ça ne match pas avec l'ACL.

Message édité par HumanLock le 14-11-2007 à 11:47:27

Reply

[Résolu]Problème de routage VPN Cisco 3640

Sujets relatifs:

Leave a Replay