Tunnel VPN site to site entre cisco 877 / ASA 5510

Tunnel VPN site to site entre cisco 877 / ASA 5510 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 29-06-2009 à 11:49:04    

Bonjour,

 

Voilà j'essaie de configurer un tunnel VPN site à site entre un cisco 877 et et ASA 5510 mais je rencontre quelque difficulté.

 

voici l'architecture mise en place :
 
(vlan : 192.168.1.0)<=(Cisco 877)=>(ip public : 10.10.10.1)---->INTERNET<----(82.65.65.65: ip public)<=(ASA 5510)=>(vlan:192.168.5.8)

 


J'ai utilisé l'interface SDM pour la configuration à la fin de la configuration des 2 parties j'ai utilisé le "Test Tunnel" du routeur 877 mais le statut de la connexion VPN reste "Down" mais le reste semble fonctionner :

 
Citation :

Checking the tunnel status ... Down <<<<<<====== c'est le problème :/
Checking interface status ... successful
Checking configuration ...successful
Checking Routing ...successful
Checking peer connectivity ...successful
Checking NAT ...successful
Checking firewall ...successful

 

j'ai vérifier que les algo de crypto était bien les mêmes des 2 coté les règle IPsec pareille.

 

Dans les logs ci-dessous je ne vois pas du tout ce que représente "tunnel gourp" pour le 877, sur l'ASA c'est claire mais la correspondance dans le 877 est flou pour moi.

 

J'ai aussi relevé quelque logs du coté ASA lors du "Test Tunnel" du 877:

 
Citation :

4|Jun 29 2009 01:13:14|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:13:04|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:12:54|713903: IP = 10.10.10.1, Header invalid, missing SA payload! (next payload = 4)
4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Error: Unable to remove PeerTblEntry
3|Jun 29 2009 01:12:44|713902: Group = 10.10.10.1, IP = 10.10.10.1, Removing peer from peer table failed, no match!
4|Jun 29 2009 01:12:44|713903: Group = 10.10.10.1, IP = 10.10.10.1, Can't find a valid tunnel group, aborting...!
6|Jun 29 2009 01:12:44|302015: Built inbound UDP connection 6197 for SDSL:10.10.10.1/500 (10.10.10.1/500) to NP Identity Ifc:82.65.65.65/500 (82.65.65.65/500)
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302021: Teardown ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0
6|Jun 29 2009 01:12:28|302020: Built inbound ICMP connection for faddr 10.10.10.1/69 gaddr 82.65.65.65/0 laddr 82.65.65.65/0

 

Voila si vous avez besoin d'autre infos n'hésitez pas

 

Merci d'avance

 

Je précise que les IP que j'ai pris sont fausse c'est juste pour illustrer mes propos


Message édité par moniomox le 30-06-2009 à 14:23:49
Reply

Marsh Posté le 29-06-2009 à 11:49:04   

Reply

Marsh Posté le 30-06-2009 à 09:26:19    

Je vais reformuler mais question ...
Ce topic s'adresse à ceux qui connaissent le matériel Cisco.
Je veux créer une connexion VPN entre routeur Cisco et l'ASA mais comme se sont des modèles différents les configuration change un peu de l'un à l'autre, j'ai dut louper quelque chose mais je ne vois pas ou.
 
Une idée ?

Reply

Marsh Posté le 30-06-2009 à 16:22:08    

Je fais avancer le topic au cas ou il y a aurai un dieu de la conf cisco qui arriverai.
J'ai trouvé une infos dans cette article : http://www.cisco.com/en/US/product [...] uterdebugs

 

qui correspond tout à fait à mon cas et qui indique qu'il faut désactiver le NAT sur le réseau privé du routeur, comme cela dans la configuration :

 
Citation :

!--- Except the private network from the NAT process:

 

ip nat inside source route-map nonat pool branch overload


mais je ne sais pas du tout comment procéder avec le CLI ou la SDM de cisco pour déactiver le NAT sur le réseau privé parce que dans la configuration du routeur, moi j' ai ça dans ma configuration :

 
Citation :

ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload

 

Toujours aussi impatient d'avoir vos lumières sur le sujet :/


Message édité par moniomox le 30-06-2009 à 16:25:07
Reply

Marsh Posté le 02-07-2009 à 16:15:50    

Bon j'ai trouvé mon erreur cela venait du NAT/NAT-T maintenant ma connexion est up, mais je n'arrive pas accéder au réseau via mon VPN.
c'est a dire que mes ordinateur des dans les réseaux privé ne se vois pas (pas de ping possible est ce normale ?)

 

Si quelqu'un a une idée sur la façon de faire je prend xD sinon je continu en solo :/


Message édité par moniomox le 02-07-2009 à 16:25:28
Reply

Marsh Posté le 02-07-2009 à 16:19:00    

est-ce que tes crypto ACL sont bien symétriques des deux cotés ?
 
tu vois des paquets encryptés/décryptés dans les stats quand tu fais tes pings ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 02-07-2009 à 16:42:02    

la crypto pour les 2 coté c'est la même 3des-esp hash MD5
la règle ipsec de l'asa dit : autorise le traffic ip du "réseau privé 1" vers le "réseau privé 2"
pour le routeur pareille dans le sens inverse
 
et quand je fais des ping je vois bien les stats "encryptés/décryptés" s'incrémenter de 1 à chaque paquet.
 
Arf autre chose aussi le tunnel se coupe tout seul :/ je vois pas d'ou sa peut venir

Reply

Marsh Posté le 03-07-2009 à 16:36:12    

Bonjour bon mes problème ne sont toujours pas finit sinon se serai pas drôle xD (je juste un poil découragent), bref ...
Quand je ping depuis mon réseau 192.168.1.0 je suis arrêté par l'ASA qui me dit dans les logs :  

Citation :

3|Jul 03 2009 06:04:47|106014: Deny inbound icmp src SDSL:192.168.1.20 dst VPN:172.16.125.10 (type 8, code 0)


 
j'ai essayer de voir si c'était parce qu'il bloquait par default les paquet ICMP je suis tombé sur cette page  
http://www.cisco.com/en/US/product [...] 4e8a.shtml
 
j'ai entré les ligne de commande correspondante pour Inbound/Outbound en adaptant à ma config  
 
et ça bloque toujours -_-' et pour les ACL IPSEC et NAT se sont les même en adaptant bien sûr que sur le lien cisco déjà cité je remet le lien :
http://www.cisco.com/en/US/product [...] 4498.shtml
 
Il y une ACL pour le NAT que je ne comprend pas de l'URL ci-dessus :

Citation :


access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.1.1.0 255.255.255.0 0 0


 
De ce que j'ai comprit (peut etre pas grand chose ...) il ne faut pas que le trafic dans le tunnel soit NATé donc dans leur exemple de 10.1.1.0 à 10.2.2.0 mais l'ACL "nonat" le permet justement ...  
C'est moi qui ne pas avoir tout comprit parce que c'est pas la première fois que je vois cette ACL dans des config similaire.
Si quelqu'un peut m'expliquer je suis tout ouïe.
 
Quelqu'un a t-il une idée je commence à sécher sérieusement
 
Cisco plus fort que moi ? :s


Message édité par moniomox le 03-07-2009 à 16:51:09
Reply

Marsh Posté le 03-07-2009 à 19:27:00    

c'est juste une access list qui jette tes pings comme indiqué dans le log :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 06-07-2009 à 10:17:21    

Oui s'en doute mais l'ai pourtant autorisé ...  
Je poste les configuration de l'asa et du routeur (j'aurais surement du commencer par là) :
Le routeur :
 

Citation :

Building configuration...
 
Current configuration : 6515 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
!
!
crypto pki trustpoint TP-self-signed-3881351686
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3881351686
 revocation-check none
 rsakeypair TP-self-signed-3881351686
!
!
crypto pki certificate chain TP-self-signed-3881351686
 certificate self-signed 01
   quit
dot11 syslog
no ip source-route
ip cef
!
!
ip dhcp pool sdm-pool1
   import all
   network 192.xx.xx.0 255.255.255.0
   dns-server xx.xx.xx.xx
   default-router 192.xx.xx.xx
!
!
no ip bootp server
!  
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key vdb18 address 92.xx.xx.xx
!
!
crypto ipsec transform-set esp_md5_3des esp-3des esp-md5-hmac  
!
crypto map SDM_CMAP_1 1 ipsec-isakmp  
 description Tunnel to 92.xx.xx.xx
 set peer 92.xx.xx.xx
 set transform-set esp_md5_3des  
 set pfs group2
 match address 120
!
archive
 log config
  hidekeys
!
!
!
!
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no atm ilmi-keepalive
 dsl operating-mode auto  
!
interface ATM0.1 point-to-point
 description $ES_WAN$$FW_OUTSIDE$
 pvc 8/35  
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1 type tunnel
 ip unnumbered ATM0.1
 tunnel mode ipsec ipv4
!
interface Virtual-Template2 type tunnel
 ip unnumbered ATM0.1
 tunnel mode ipsec ipv4
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 192.xx.xx.xx 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
!
interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 no ip route-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 
 crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
 
ip nat pool branch 80.xx.xx.xx 80.xx.xx.xx netmask 255.255.255.240
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip nat inside source route-map nonat pool branch overload
!
logging trap debugging
 
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.xx.xx.0 0.0.0.255
 
access-list 120 permit ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 deny   ip 192.xx.xx.0 0.0.0.255 172.xx.xx.0 0.0.0.255 log
access-list 130 permit ip 192.xx.xx.0 0.0.0.255 any log
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map nonat permit 10
 match ip address 130
!
!
control-plane
 
line con 0
 login local
 no modem enable
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end


 
l'ASA :  
 

Citation :

ASA Version 7.0(8)
 
!
interface Ethernet0/0
 description SDSL
 nameif SDSL
 security-level 0
 ip address 92.xx.xx.xx 255.255.255.248
!
interface GigabitEthernet1/3
 description VPN
 nameif VPN
 security-level 75
 ip address 172.xx.xx.xx 255.255.255.0
!
 
!-- ACL permettant d'autoriser le ping  
access-list 111 extended permit icmp any host 172.xx.xx.xx echo
access-list 111 extended permit icmp any any echo-reply
access-list 111 extended permit icmp any any source-quench
access-list 111 extended permit icmp any any unreachable
access-list 111 extended permit icmp any any time-exceeded
 
access-list ipsec extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0
access-list ipsec extended permit icmp 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0
 
access-list nonat extended permit ip 172.xx.xx.0 255.255.255.0 192.xx.xx.0 255.255.255.0
 
 
mtu SDSL 1500
mtu VPN 1500
no failover
 
icmp permit any SDSL
icmp permit any VPN
 
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (SDSL) 4 interface
 
nat (VPN) 0 access-list nonat
nat (VPN) 0 172.xx.xx.0 255.255.255.0
 
static (VPN,SDSL) 172.xx.xx.xx 92.xx.xx.xx netmask 255.255.255.255
access-group 111 in interface SDSL
 
!--route vers le routeur internet
route SDSL 0.0.0.0 0.0.0.0 xx.xx.xx.xx 2
 
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy DfltGrpPolicy attributes
 banner none
 wins-server none
 dns-server none
 dhcp-network-scope none
 vpn-access-hours none
 vpn-simultaneous-logins 3
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-filter none
 vpn-tunnel-protocol IPSec
 password-storage disable
 ip-comp enable
 re-xauth disable
 group-lock value DefaultL2LGroup
 pfs enable
 ipsec-udp enable
 ipsec-udp-port 10000
 split-tunnel-policy tunnelall
 split-tunnel-network-list none
 default-domain none
 split-dns none
 secure-unit-authentication disable
 user-authentication disable
 user-authentication-idle-timeout 30
 ip-phone-bypass disable
 leap-bypass disable
 nem disable
 backup-servers keep-client-config
 client-firewall none
 client-access-rule none
 webvpn
  functions url-entry
  port-forward-name value Application Access
 
 
http server enable
http 172.16.128.0 255.255.248.0 MGT
http 10.0.0.202 255.255.255.255 MGT
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
 
crypto map SDSL_map 20 match address ipsec
crypto map SDSL_map 20 set pfs
crypto map SDSL_map 20 set peer 80.xx.xx.xx
crypto map SDSL_map 20 set transform-set ESP-3DES-MD5
crypto map SDSL_map 20 set security-association lifetime seconds 28800
crypto map SDSL_map 20 set security-association lifetime kilobytes 4608000
crypto map SDSL_map 20 set nat-t-disable
crypto map SDSL_map 20 set phase1-mode aggressive
crypto map SDSL_map interface SDSL
 
isakmp identity address
isakmp enable SDSL
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp ipsec-over-tcp port 10000
 
tunnel-group DefaultL2LGroup ipsec-attributes
 pre-shared-key *
 
tunnel-group tunnel_vpn type ipsec-l2l
tunnel-group tunnel_vpn ipsec-attributes
 pre-shared-key *
telnet 10.xx.xx.xx 255.255.255.255 MGT
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global


 
 
Voila j'espère que quelqu'un pourra m'éclairer sur les raison du dysfonctionnement de se tunnel


Message édité par moniomox le 06-07-2009 à 10:22:37
Reply

Marsh Posté le 06-07-2009 à 10:23:43    

sinon ouvre un incident chez ton mainteneur ça ira plus vite :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 06-07-2009 à 10:23:43   

Reply

Marsh Posté le 07-07-2009 à 10:36:37    

Arf oui je me doute bien mais en tant que stagiaire sa le fait pas d'appeler le support ^^ mais bon j'avance sur mon problème, après une semaine dessus :| ... la suite de la discussion se fait sur le forum de commentçamarche.net :  http://www.commentcamarche.net/for [...] co-877-asa
 
Merci pour toute l'aide que vous avez put m'apporter sur ce topic ;p  :hello:  
 
Suite et fin (j'espère ...) sur commentçamarche.net


Message édité par moniomox le 07-07-2009 à 10:38:13
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed