VPN routeur cisco et netgear
VPN routeur cisco et netgear - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 24-11-2008 à 16:17:47
| scouby64 a écrit :
|
Le log indique que le routeur ne reçoit pas de protocole sécurisé (no hash payload).
Pour info, le protocole GRE ne prévoit pas de chiffrement des données qui passent dans le tunnel à lui seul.
Le protocole GRE (Generic Route Encapsulation) s'utilise en association avec le protocole PPTP (Point-to-Point Tunneling Protocol) pour le chiffrement de donnés par exemple.
Message édité par mmc le 24-11-2008 à 16:47:48
Marsh Posté le 24-11-2008 à 16:36:25
Ok merci pour ta réponce mmc...
Mais j'avoue ne pas savoir l'interpréter. Que dois je faire?
GRE est débloqué sur le firewall de mon Cisco.
Marsh Posté le 25-11-2008 à 09:26:38
Quel type de cryptage utilises-tu ?
Poste ici la configuration Netgear et Cisco.
Message édité par mmc le 25-11-2008 à 09:29:04
Marsh Posté le 25-11-2008 à 14:34:22
NETGEAR :
IKE policies :
_Name : vpn_toulouse
_Direction/Type : responder
_Echange mode : aggressive
_Local FQDN : fvl_local
_Remote FQDN : fvl_remote
_Encryption Algo : 3DES
_Authentification Algo : SHA-1
_Preshared Key : ********
_DH Group : 2 (1024bit)
_SA lifetime : 86400
_Enable dead peer detection : NO
_XAUTH configuration : NONE
VPN policies :
_Police type : Auto policy
_Local Gateway : WAN1
_Remote endpoint : fvl_remote
_Local IP : 192.168.2.0
_Local SM : 255.255.255.0
_Remote IP : ANY
_SA lifetime : 3600
_Encryption Algo : 3DES
_Entigrity Algo : DH Group2 1024bits
_IKE policy : vpn_toulouse
VPN user :
_username : vpn_toulouse
_Password : *******
CISCO :
_Connection name : vpn_toulouse
_VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
_Mode of operation : Client
_Authentification : Pre-Shared key
_User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
_Key : ******** (la même que sous Netgear)
_XAuth : vpn_toulouse
_Password : ****** (le même que vpn user sous NetGear)
_Interface to local network : vlan1 (connexion internet)
_Interface to internet : Dialer0
_Remote conection client : Automatically
merci encore pour ton aide !!
Marsh Posté le 25-11-2008 à 17:06:33
Il manque la config du cryptage coté Cisco
---------------
--== M4vr|ck ==--
Marsh Posté le 25-11-2008 à 17:41:13
dsl je viens de la fignioler :
Cisco :
Transform set :
_ESP Encryption : ESP_3DES
_ESP Integrity : ESP_SHA_HMAC
IPSec Rules :
_Action : PERMIT
_Source : 10.10.10.0
_Destination : 78.xx.xx.xx
_Service : IP
IKE Policies :
_Encryption : 3DES
_Hash : SHA_1
_DH-Group : 2
_Authentification : PRE-SHAREDKEY
PRE-Shared Key :
_Peer IP/name : 78.xx.xx.xx
_Masque : 255.0.0.0
_Pre-Shared key : *********
IKE Profiles :
_Name : TOULOUSE
_Used By : IPSec Profile
Group Policies :
_Name : vpn_toulouse
_Pool : SDM_POOL1
Marsh Posté le 25-11-2008 à 17:44:57
C'est une liaison VPN entre deux routeurs ou un liaison VPN entre un client(PC) et routeur que tu cherches à faire ?
Parce que ta config Netgear est en mode client (PC) VPN et sur ton log constate une tentative de connexion VPN routeur à routeur.
Message édité par mmc le 25-11-2008 à 18:05:08
Marsh Posté le 25-11-2008 à 18:10:22
A vrai dire j'aimerai qu'elle soit de routeur à routeur de préférence. Mais si cela n'est pas possible , client vpn to serveur vpn. (ce que j'ai testé sans succés, le client safe vpn de netgear me marque "driver not installed" )
Merci !
Marsh Posté le 26-11-2008 à 09:10:42
Voici par exemple le log VPN sur le NETGEAR :
2008 Nov 26 09:07:43 [FVX538] [IKE] Failed to attach schedSaCreate in IKE configuraion_
2008 Nov 26 09:07:45 [FVX538] [IKE] Configuration found for 80.XX.XX.XX._
2008 Nov 26 09:07:45 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.XX.XX.XX[500]<=>80.13.243.7[0]_
2008 Nov 26 09:07:45 [FVX538] [IKE] Unknown notify message from 80.XX.XX.XX[500].No phase2 handle found._
- Last output repeated twice -
2008 Nov 26 09:08:20 [FVX538] [IKE] Phase 2 negotiation failed due to time up. e821bbb7c67b7cbe:7cda573f1a274655:e7339033_
2008 Nov 26 09:08:20 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2008 Nov 26 09:08:36 [FVX538] [IKE] Unknown notify message from 80.XX.XX.XX[500].No phase2 handle found._
2008 Nov 26 09:08:45 [FVX538] [IKE] Phase 2 negotiation failed due to time up. e821bbb7c67b7cbe:7cda573f1a274655:e4e21467_
2008 Nov 26 09:08:45 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2008 Nov 26 09:08:46 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
2008 Nov 26 09:08:46 [FVX538] [IKE] Configuration found for 80.XX.XX.XX._
2008 Nov 26 09:08:46 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.XX.XX.XX[0]<=>80.XX.XX.XX[0]_
2008 Nov 26 09:08:46 [FVX538] [IKE] Unknown notify message from 80.XX.XX.XX[500].No phase2 handle found._
Marsh Posté le 26-11-2008 à 12:22:30
Commence par configurer, de routeur à routeur, ton netgear comme ceci par exemple :
En mode remote VPN Gateway:
IKE Policy :
Policy Name --> vpn_toulouse
Direction/Type --> Both Directions
Exchange Mode --> Main Mode
Local Identity Type --> WAN IP Address
Local Identity Data --> 78.x.x.x (IP routeur netgear)
Remote Identity Type --> Remote WAN IP
Remote Identity Data --> 80.x.x.x (IP routeur Cisco)
Encryption Algorithm --> 3DES
Authentication Algorithm --> SHA-1
Authentication Method --> Pre-shared Key --> Password
Diffie-Hellman (DH) Group --> Group 2 (1024 Bit)
SA Life Time --> 28800
VPN - Auto Policy:
Policy Name --> vpn_toulouse
IKE policy --> vpn_toulouse
Remote VPN Endpoint --> Address Type: IP Address
Address Data: 80.x.x.x
SA Life Time --> 86400
IPSec PFS --> PFS Key Group: Group 2 (1024 Bit)
NetBIOS Enable
Local IP --> Single address : 78.x.x.x
255.255.255.0
Remote IP --> Single address : 80.x.x.x
255.255.255.0
Enable Encryption --> 3DES
Enable Authentication --> SHA-1
Message édité par mmc le 26-11-2008 à 12:29:09
Marsh Posté le 26-11-2008 à 15:25:05
Bon j'ai exactement mis ce que tu m'as dit. A part pour le masque de mon adresse publique 80.xx.xx.xx en 255.0.0.0 plutôt que ce que tu m'as proposé.
Ca me semble plus correct non?!
Enfin sinon ça ne marche toujours pas :
Log de NetGEAR
2008 Nov 26 15:03:29 [FVX538] [IKE] Phase 1 negotiation failed due to time up for 80.xx.xx.xx[500]. 6f5c2d231f564467:0000000000000000_
2008 Nov 26 15:04:55 [FVX538] [IKE] Using IPsec SA configuration: 78.xx.xx.xx/8<->80.xx.xx.xx/8_
2008 Nov 26 15:04:55 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 15:04:55 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
2008 Nov 26 15:04:55 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 15:05:26 [FVX538] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 80.xx.xx.xx->78.xx.xx.xx _
2008 Nov 26 15:05:44 [FVX538] [IKE] Using IPsec SA configuration: 78.xx.xx.xx/8<->80.xx.xx.xx/8_
2008 Nov 26 15:05:44 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 15:05:56 [FVX538] [IKE] Phase 1 negotiation failed due to time up for 80.xx.xx.xx[500]. 623009f487657bc0:0000000000000000_
2008 Nov 26 15:06:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 80.xx.xx.xx->78.xx.xx.xx _
2008 Nov 26 15:07:14 [FVX538] [IKE] Using IPsec SA configuration: 78.xx.xx.xx/8<->80.xx.xx.xx/8_
2008 Nov 26 15:07:14 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 15:07:14 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx500]_
2008 Nov 26 15:07:14 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 15:07:15 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
2008 Nov 26 15:07:15 [FVX538] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2008 Nov 26 15:07:15 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2008 Nov 26 15:07:16 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:a87d6483bc04451c:7cda573fa21b6d0e_
2008 Nov 26 15:07:16 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2008 Nov 26 15:07:17 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.13.243.7[0]_
2008 Nov 26 15:07:18 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
2008 Nov 26 15:08:17 [FVX538] [IKE] Phase 2 negotiation failed due to time up. a87d6483bc04451c:7cda573fa21b6d0e:f5df064d_
2008 Nov 26 15:08:17 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2008 Nov 26 15:08:22 [FVX538] [IKE] Purged ISAKMP-SA with proto_id=ISAKMP and spi=a87d6483bc04451c:7cda573fa21b6d0e._
2008 Nov 26 15:08:23 [FVX538] [IKE] ISAKMP-SA deleted for 78.xx.xx.xx[500]-80.xx.xx.xx500] with spi:a87d6483bc04451c:7cda573fa21b6d0e_
Message édité par scouby64 le 26-11-2008 à 15:27:06
Marsh Posté le 26-11-2008 à 15:49:20
sont à la même date/heure (en prenant en compte le fuseau horaire) ?
Marsh Posté le 26-11-2008 à 17:00:50
Bon après avoir réglé la date sur le cisco, divers réglages sur le NetGear, voici au résultat que j'ai obtenu :
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IPSec configuration with identifier "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IKE configuration with identifer "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
2008 Nov 26 16:55:08 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 16:55:08 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
2008 Nov 26 16:55:08 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
2008 Nov 26 16:55:12 [FVX538] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2008 Nov 26 16:55:14 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:3acac3ccc885085a:7cda573f3d8b509a_
2008 Nov 26 16:55:14 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2008 Nov 26 16:55:15 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.xx.xx.xx[0]_
2008 Nov 26 16:55:16 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
2008 Nov 26 16:56:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up. 3acac3ccc885085a:7cda573f3d8b509a:9cdfcc80_
2008 Nov 26 16:56:15 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
Je pense que ca commen à être positif non ?!
Alors à quoi ça correspond ce "Notify message"??
Merci !
Marsh Posté le 26-11-2008 à 18:39:39
La phase 1 est passée (négociation ISAKMP SA established).
Il manque plus que la phase 2 (négociation SA pour AH et ESP).
C'est quoi la firmware de ton netgear ?
Message édité par mmc le 26-11-2008 à 20:14:34
Marsh Posté le 27-11-2008 à 09:28:36
System Name: FVX538
Firmware Version (Primary): 3.0.2-21
Firmware Version (Secondary): 2.1.0-7
Marsh Posté le 27-11-2008 à 11:38:05
Bon ça y est !
La connexion VPN est établie....
...
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 80.xx.xx.xx->78.xx.xx.xx with spi=107693002(0x66b43ca)_
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 78.xx.xx.xx->80.xx.xx.xx with spi=3190685695(0xbe2dffff)_
Il s'agissait des réglages IPSec Rules, mal configurées... je m'étais trompé entre l'adresse publique et l'adresse de mon réseau...
Bref !
Le problème maintenant est que je ne peux pas encore accéder au PC de l'autre côté. Savez vous à quoi cela est du?!
J'arrive même pas à pinger mes postes distants, ainsi que le routeur (avec son @IP local) !
Merci
Marsh Posté le 27-11-2008 à 12:45:50
| scouby64 a écrit : |
T'es en mode remote client sur le Cisco ?
En principe c'est le mode "Site to Site" à configurer.
Marsh Posté le 27-11-2008 à 14:04:48
En fait t'as raison et ce ce que j'ai fait aussi pour que ca marche. Par contre, mmc, sais tu la marche à suivre afin que le pc d'une part et de l'autre du tunnel VPN puissent communiquer?!
Merci d'avance !
Message édité par scouby64 le 27-11-2008 à 15:12:09
Marsh Posté le 27-11-2008 à 17:00:15
Je n'ai pas de procédure concernant le cisco en mode vpn.
Sur le netgear mettre :
Traffic selector:
Local IP --> Single address : 192.168.2.0 (Réseau LAN Netgear ou sur Any pour tester)
255.255.255.0
Remote IP --> Single address : 10.10.10.0 (Réseau LAN Cisco ou mettre sur Any pour tester)
255.255.255.0
Même chose de l'autre côté du Cisco mais inversé avec "traffic selector" ou "traffic to encrypt" ...
Ipsec Traffic Selector :
interface Inside : On locale site 10.10.10.0 (cela peut-être également une interface reliant au réseau LAN)
255.255.255.0
interface outside : On remote site 192.168.2.0
255.255.255.0
Message édité par mmc le 27-11-2008 à 17:15:00
Sujets relatifs:
- Besoin d'aide pour faire un VPN sur CISCO !
- Probleme connexion Linksys WRT54G et routeur ADSL D-link
- Paramétrage Livebox et Netgear
- Tunnel VPN entre WRT54GL et SonicWall TZ-180? Pour tel IP!
- Pb Serveur distant TSE + connecion VPN
- Sauvegardes configs de switch Cisco
- VPN et contrôleur de domaine ?
- Problème routeur CISCO 871 avec modem LINKSYS - le net ne passe pas !
Marsh Posté le 24-11-2008 à 12:03:51
Bonjour,
J'aimerais créer pour mon entreprise, une connexion VPN entre deux sites distants. L'un (le siège) comportant un routeur NETGEAR ProSafe VPN Firewall FVX538, là ou est créé mon VPN passerelle, là un tunnel VPN est configuré pour recevoir les connexion de mon autre site. Et l'autre (un des autres site de l'entreprise) constitué d'un routeur Cisco 877. Sur ce dernier est configuré un accès VPN client pointant vers l'adresse public du siège. Et aussi configuré le firewall pour un accès dans les deux sens pour le port 4723 et le protocole IP GRE.
Lors des tests, mon Cisco est incapable de détecter le VPN distant, et donc de s'y connecter. Lors du "debugging" de ce dernier, le tunnel apparait "down" (normal), l'interface est OK, configuration OK, routing OK, peer connectivity OK, firewall OK.
Lors d'un essai à partir du routeur netgear, voilà ce que m'affiche le VPN log :
Que faire ??
Merci pour d'éventuelles réponses !
Message édité par Krapaud le 24-11-2008 à 14:51:19