Cisco : WebVPN, Probleme de routage.

Cisco : WebVPN, Probleme de routage. - Windows & Software

Marsh Posté le 08-12-2006 à 01:27:27    

Bonjour
j'utilise un cisco 1801 connecté sur internet et chargé de partager la connexion internet sur mon reseau local. (192.168.0.0/24)
je souhaite acceder a mon reseau local depuis internet. j'ai donc mis en place la solution Web VPN.  
J'arrive a joindre un hote sur mon reseau local sans probleme.
 
Mais voila : j'aimerai sortir sur internet en passant par le VPN et non pas en utilisant directement ma connexion. Et la, ca ne marche plus :(
 
Voici la partie de ma conf concernant le webvpn :  

webvpn gateway webvpn-gw
 ip address 217.xxx,yyy,zzz port 443 !correspond a mon IP WAN
 ssl trustpoint TP-self-signed-456900092
 inservice
 !
webvpn install svc flash:/webvpn/svc.pkg
 !
webvpn context webvpn-gw
 ssl authenticate verify all
 !
 !
 policy group default
   functions svc-enabled
   filter tunnel 100
   svc address-pool "webvpn-gw"
   svc default-domain "mshome"
   svc keep-client-installed
   svc dpd-interval gateway 30
   svc homepage "www.google.fr"
   svc rekey method new-tunnel
   svc dns-server primary 217.xxx.yyy.zzz
   svc dns-server secondary 212.xxx.yyy.zzz
 default-group-policy default
 gateway webvpn-gw
 inservice
!


 
la table de routage du routeur est celle ci :

Gateway of last resort is 0.0.0.0 to network 0.0.0.0
 
C    192.168.0.0/24 is directly connected, Vlan10
     217.xxx.yyy.0/32 is subnetted, 2 subnets
C       217.xxx.yyy.zzz is directly connected, Dialer0
C       217.xxx.yyy.1 is directly connected, Dialer0
C    192.168.1.0/24 is directly connected, Loopback0
S*   0.0.0.0/0 is directly connected, Dialer0


 
et sur mon client, la route par defaut est bien celle dirigeant vers le tunnel vpn.
 
 
Bref, je seche :/

Reply

Marsh Posté le 08-12-2006 à 01:27:27   

Reply

Marsh Posté le 08-12-2006 à 06:07:51    

salut
ton pc c'est 192.168.1.x ? connecté via L0 ?
sinon, en dehors du routage, faudrait voir les access-list du 1801 ... tu as mis des debugs pour voir un peu ?

Reply

Marsh Posté le 08-12-2006 à 09:59:24    

les clients webvpn sont sur 192.168.1.0/24 sur la L0.
Ils peuvent atteindre mon reseau local (192.168.0.0/24) sur le Vlan10
j'ai pas d'acl particuliere.
 
Je post ma conf complete, ce sera plus simple..

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Routeur
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 $1$PjzD$L***********8w0QuFicL1
!
no aaa new-model
!
resource policy
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip icmp rate-limit unreachable DF
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1 192.168.0.99
ip dhcp excluded-address 192.168.0.200 192.168.0.254
!
ip dhcp pool global
   network 192.168.0.0 255.255.255.0
   domain-name mshome
   default-router 192.168.0.1
   dns-server 192.168.0.1
!
!
ip inspect max-incomplete high 2000
ip inspect max-incomplete low 1000
ip inspect one-minute low 500
ip inspect one-minute high 600
ip inspect udp idle-time 20
ip inspect tcp idle-time 600
ip inspect tcp synwait-time 20
ip inspect name firewall ftp
ip inspect name firewall irc
ip inspect name firewall ftps
ip inspect name firewall https
ip inspect name firewall icmp
ip inspect name firewall pptp
ip inspect name firewall rtsp
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
crypto pki trustpoint TP-self-signed-456***492
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-456***492
 revocation-check none
 rsakeypair TP-self-signed-456****492
!
!
crypto pki certificate chain TP-self-signed-456***492
 certificate self-signed 02
  3082023D 308201A6 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
  (...)
  EDD08AFD 4A04DFFC 45A54DEE D98BECAB 856DD9BC D1C9EF2F E22887BF CA1B1823 5E
  quit
!
no spanning-tree vlan 1
no spanning-tree vlan 10
username user1 password 7 045****702
username user2 password 7 044****317
!
!
!
!
!
!
interface Loopback0
 description interface web vpn
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0
 no ip address
 duplex auto
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
 switchport access vlan 10
!
interface FastEthernet2
 switchport access vlan 10
!
interface FastEthernet3
 switchport access vlan 10
!
interface FastEthernet4
 switchport access vlan 10
!
interface FastEthernet5
 switchport access vlan 10
!
interface FastEthernet6
 switchport access vlan 10
!
interface FastEthernet7
 switchport access vlan 10
!
interface FastEthernet8
 switchport access vlan 10
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface Virtual-Template1
 ip unnumbered Vlan10
 ip nat inside
 ip virtual-reassembly
 peer default ip address pool ipvpdn
 compress mppc
 ppp encrypt mppe auto required
 ppp authentication chap ms-chap ms-chap-v2
!
interface Vlan1
 no ip address
!
interface Vlan10
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer0
 ip address negotiated
 ip access-group inboundfilter in
 ip access-group outboundfilter out
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect firewall in
 ip inspect firewall out
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *******
 ppp chap password 7 ******
 ppp ipcp dns request
!
ip local pool ipvpdn 192.168.0.200 192.168.0.229
ip local pool webvpn-gw 192.168.1.230 192.168.1.250
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
no ip http secure-server
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static udp 192.168.0.100 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.0.100 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.0.11 4663 interface Dialer0 4663
ip nat inside source static udp 192.168.0.11 4673 interface Dialer0 4673
ip nat inside source static tcp 192.168.0.12 15675 interface Dialer0 15675
ip nat inside source static tcp 192.168.0.10 22 interface Dialer0 22042
ip nat inside source static tcp 192.168.0.10 1337 interface Dialer0 1337
ip nat inside source static tcp 192.168.0.10 10200 interface Dialer0 10200
ip nat inside source static tcp 192.168.0.10 21 interface Dialer0 21
ip nat inside source static tcp 192.168.0.10 20 interface Dialer0 20
ip nat inside source static tcp 192.168.0.10 80 interface Dialer0 80
ip nat inside source static tcp 192.168.0.100 6881 interface Dialer0 6881
ip nat inside source static tcp 192.168.0.11 6882 interface Dialer0 6882
ip nat inside source static udp 192.168.0.11 6882 interface Dialer0 6882
!
ip access-list extended inboundfilter
 permit tcp any any eq www
 permit tcp any any eq 443
 permit tcp any any eq 22042
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any any eq 10200
 permit tcp any any eq 1337
 permit tcp any any eq 4662
 permit udp any any eq 4673
 permit tcp any any eq 4663
 permit udp any any eq 4672
 permit tcp any any eq 1723
 permit tcp any any eq 6881
 permit tcp any any eq 6882
 permit tcp any any eq 15675
 permit gre any any
 permit icmp any any
 permit udp any eq domain any
 evaluate virtual-access-list
 permit udp any any eq 6882
ip access-list extended outboundfilter
 permit ip any any reflect virtual-access-list
!
logging trap debugging
logging 192.168.0.10
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 remark use for NAT
access-list 2 permit 192.168.0.10
access-list 2 permit 192.168.0.11
access-list 2 remark use for SNMP server
snmp-server community public RO 2
snmp-server location At Home
snmp-server chassis-id Routeur Internet
snmp-server enable traps tty
no cdp run
!
!
!
!
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password 7 0**********1
 login local
 transport input telnet ssh
!
ntp clock-period 17180085
ntp master 3
ntp server 193.51.24.1 source Dialer0 prefer
!
webvpn gateway webvpn-gw
 ip address 217.xxx.yyy.zzz port 443
 ssl trustpoint TP-self-signed-456902492
 inservice
 !
webvpn install svc flash:/webvpn/svc.pkg
 !
webvpn context webvpn-gw
 ssl authenticate verify all
 !
 !
 policy group default
   functions svc-enabled
   filter tunnel 100
   svc address-pool "webvpn-gw"
   svc default-domain "mshome"
   svc keep-client-installed
   svc dpd-interval gateway 30
   svc homepage "www.google.fr"
   svc rekey method new-tunnel
   svc dns-server primary 217.xyz.xyz.xyz
   svc dns-server secondary 212.xyz.xyz.xyz
 default-group-policy default
 gateway webvpn-gw
 inservice
!
end

Reply

Marsh Posté le 08-12-2006 à 16:21:32    

J'ai ajouter "ip nat inside" sur la L0 et ajouté son reseau a l'acl 1 mais ca ne change rien :(

Reply

Marsh Posté le 13-12-2006 à 14:21:26    

Snif :(
Personne ?

Reply

Marsh Posté le 13-12-2006 à 16:27:28    

avec le pc externe tu peux pinguer dialer 0 ?
faudrait voir si il ne manque pas quelque chose dans une access-list. ll faut ajouter un deny ip any any log à la fin des acl, puis term mon pour voir les messages. par contre je sais pas si il faut logging buffered ...
après, regarde si le nat se fait (sh ip nat tra.
éventuellement un ptit debug ip icmp, faire un traceroute d'une adresse internet sur le pc pour voir où ça bloque ..
edit : apparemment la connexion internet passe par f0 et pas par atm0. il y a quoi derrière ? un firewall ?


Message édité par zvince le 13-12-2006 à 16:43:41
Reply

Marsh Posté le 13-12-2006 à 18:31:54    

Alors depuis un PC connecté au webvpn, quand j'essai de pinger l'ip du dialer0, j'obtient : Impossible de joindre l'hôte de destination.
un "sh ip nat tr" ne donne rien concernant le nat pour la machine connecté au webvpn.
avec un "debug ip icmp" un ping sur l'ip local du routeur passe, un ping sur une machine du reseau local passe, un ping sur l'ip de la loopback ne donne aucune info, autant qu'un ping vers une IP internet. Un traceroute vers une IP sur le net ne donne strictement rien non plus.
 
un "route print" sur le client vpn donne :  

Code :
  1. ===========================================================================
  2. Itinéraires actifs :
  3. Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
  4.           0.0.0.0          0.0.0.0    192.168.1.231   192.168.1.231       1 # 192.168.1.231 : ip du client vpn
  5.         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
  6.       192.168.1.0    255.255.255.0    192.168.1.231   192.168.1.231       10 # 192.168.1.0/24 : sous reseau vpn
  7.     192.168.1.231  255.255.255.255        127.0.0.1       127.0.0.1       10
  8.     192.168.1.255  255.255.255.255    192.168.1.231   192.168.1.231       10
  9.       192.168.2.0    255.255.255.0      192.168.2.2     192.168.2.2       25 # 192.168.2.0/24 : reseau local du client vpn
  10.       192.168.2.0    255.255.255.0    192.168.1.231   192.168.1.231       1
  11.       192.168.2.2  255.255.255.255        127.0.0.1       127.0.0.1       25
  12.     192.168.2.255  255.255.255.255      192.168.2.2     192.168.2.2       25
  13.     217.71.74.33  255.255.255.255      192.168.2.1     192.168.2.2        1 # 217.71.74.33 : ip de la gate vpn (ip de la loopback 0)
  14.         224.0.0.0        240.0.0.0    192.168.1.231   192.168.1.231       10
  15.         224.0.0.0        240.0.0.0      192.168.2.2     192.168.2.2       25
  16.   255.255.255.255  255.255.255.255    192.168.1.231               3       1
  17.   255.255.255.255  255.255.255.255    192.168.1.231   192.168.1.231       1
  18.   255.255.255.255  255.255.255.255      192.168.2.2     192.168.2.2       1
  19. Passerelle par défaut :     192.168.1.231
  20. ===========================================================================


 
je seche :(

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed