VPN site à site - ASA et Cyberoam

VPN site à site - ASA et Cyberoam - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 21-12-2014 à 11:39:45    

Bonjour à tous !

 

Je viens vous trouver car je rencontre un soucis pour monter un VPN site à site.

 

Sur le 1er site, un Cyberoam (appliance UTM) avec déja des VPN configuré, donc à priori pas de soucis de ce coté la
Sur le 2nd site, un ASA 5505, derrière une Livebox business (l'ASA est sur un port en DMZ)

 


Voila une partie de la conf de l'ASA :

 
Code :
  1. interface Vlan1
  2. nameif inside
  3. security-level 100
  4. ip address 192.168.101.200 255.255.255.0
  5. !
  6. interface Vlan2
  7. nameif outside
  8. security-level 0
  9. ip address 192.168.102.200 255.255.255.0
  11. object network obj_any
  12. subnet 0.0.0.0 0.0.0.0
  14. access-list CRYPTO_CLIENT extended permit ip object-group LAN_SITE2 object-group LAN_SITE1 log alerts
  15. access-list CRYPTO_CLIENT extended permit ip object-group LAN_SITE1 object-group LAN_SITE2 log alerts
  17. nat (inside,outside) source static LAN_SITE2 LAN_SITE2 destination static LAN_SITE1 LAN_SITE1
  19. object network obj_any
  20. nat (inside,outside) dynamic interface
  21. route outside 0.0.0.0 0.0.0.0 192.168.102.1 1
  23. crypto ipsec security-association pmtu-aging infinite
  24. crypto map CRYPTO 1 match address CRYPTO_CLIENT
  25. crypto map CRYPTO 1 set peer IP_PUB_SITE1
  26. crypto map CRYPTO 1 set ikev1 transform-set ESP-3DES-SHA
  27. crypto map CRYPTO 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
  28. crypto map CRYPTO 1 set reverse-route
  29. crypto map CRYPTO interface outside
  32. tunnel-group IP_PUB_SITE1 type ipsec-l2l
  33. tunnel-group IP_PUB_SITE1 ipsec-attributes
  34. ikev1 pre-shared-key *****
  35. ikev2 remote-authentication pre-shared-key *****
  36. ikev2 local-authentication pre-shared-key *****
 


Le soucis que je rencontre, c'est que lorsque j'essai de monter mon VPN (IPSec), j'ai une erreur sur le cyberoam qui m'indique :

Citation :

Phase1 ID mismatch. Configured peer id is IP_PUB_SITE2 and received peer id is 192.168.102.200. System is initiator. Verify ID configuration at both the ends.

 

Mais je comprend pas pourquoi il reçoit l'adresse prive de la pate outside de mon ASA ?  :??:
Sachant que j'arrive à me connecter sur l'ASA en tapant en SSH sur l'adresse ip publique du site 2

 

Si quelqu'un sais m'éclairer ?

 

Marci ! :)


Message édité par LaGuiche le 21-12-2014 à 11:42:29

---------------
[Mon Feed-Back]  
Reply

Marsh Posté le 21-12-2014 à 11:39:45   

Reply

Marsh Posté le 21-12-2014 à 12:29:46    

Manque pas un crypto isakamp nat-traversal ?

Reply

Marsh Posté le 21-12-2014 à 21:21:30    

j'ai essayer, mais ça la rajoute pas dans la conf si on laisse le keepalive par défaut.
J'ai mis un keepalive de 3600 pour voir, mais ça change rien :(


---------------
[Mon Feed-Back]  
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed