Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Configuration ipsec Cisco 1841

Bonjour,

J'essai depuis quelques temps de creer un tunnel Ipsec entre un cisco 1841 et un netasq U250

Le tunnel se crée bien, par contre quand je tente un ping depuis le "lan netasq" vers le "lan cisco", la reponse ne reviens pas (et elle n'est pas bloqué par le netasq) alors que le cisco repond (verifié avec un debug ip icmp")

Quand je fais un traceroute du "lan cisco" vers le "lan netasq", je me rend compte que les paquet sont envoyé vers internet.

voici un sh run;


Building configuration...

Current configuration : 2586 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Routeur
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.123-8.YG4.bin
boot-end-marker
!
logging buffered 51200 warnings
enable password 7 110E0A0C45425A5C
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip ips po max-events 100
ip domain name yourdomain.com
no ftp-server write-enable
!
!
!
archive
log config
hidekeys
!
!
!
crypto isakmp policy 10
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXX address IP_ROUTEUR_DISTANT
!
!
crypto ipsec transform-set esp-aes-sha esp-aes esp-sha-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer IP_ROUTEUR_DISTANT
set transform-set esp-aes-sha
match address 101
!
!
!
!
interface FastEthernet0/0
description vers le Reseau WAN
ip address IP_PUBLIC MASQUE
duplex auto
speed auto
crypto map vpn
!
!
interface FastEthernet0/0.2124
encapsulation dot1Q 2124
ip address IP_WAN_NON_ROUTABLE MASQUE
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/1
description Vers le Reseau Local
ip address IP_LAN MASQUE
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 GW_WAN_NON_ROUTABLE
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit NET_LAN MASQUE
access-list 1 permit 0.0.0.0 0.0.0.255
access-list 1 permit NET_WAN_NON_ROUTABLE MASQUE
access-list 101 permit ip LAN_LOC 0.0.0.255 LAN_DIST MASQUE
access-list 101 permit ip NET_WAN_NON_ROUTABLE MASQUELAN_DIST MASQUE
access-list 101 permit ip host IP_PUBLIC LAN_DIST MASQUE
!
!
control-plane
!
!
line con 0
password 7 XXXXXXXXX
login
line aux 0
password 7 XXXXXXXXX
line vty 0 4
password 7 XXXXXXXXX
login
transport input telnet
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
end


A noter la configuration "tordu" imposé par l'operateur...
Salut,

Regarde si tes SA sont bien configurées (tes phases 2 IPSEC).
Vérifie que les ACL sont cohérentes.

Essaye un debug crypto isakmp sur le Cisco

@+

Aghiles