VPN Cisco et NAT

VPN Cisco et NAT - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 10-02-2014 à 21:01:09    

Bonjour,  
 
J'avais auparavant 2 routeurs reliés en VPN IP Sec (RV082 / SRP527W). L'un deux (RV082) était derrière un autre routeur, donc NAT. Ca a marché pas trop mal, hormis des déconnexions bizarres de temps à autre.
 
Depuis 2 semaines, mon 2ème routeur est aussi derrière un autre routeur. Pire, ce routeur est une Livebox Pro V3, avec son lot de plantage et autres joyeusetés (session expired !)
 
On a donc une liaison VPN IPSec à établir entre 2 routeurs, tout deux situés en DMZ derrière 2 routeurs.
Il y a 1 semaine, la liaison ne fonctionne plus pour la 1ère fois avec la nouvelle config (double NAT), et contrairement à avant, impossible de rétablir le pont !!!
J'ai tout essayé, en vain. J'ai refait la config en long en large et en travers, refait 10 fois les mêmes paramétrages, et au bout de la 10ème fois (après 2H30 de bataille), la liaison s'est rétablie sans comprendre pourquoi ?
 
Aujourd'hui, rebelotte. Liaison DOWN. Je regarde, rien d'anormal, mais impossible de faire revenir le lien. Les logs des 2 routeurs sont suspects. Le 1er (RV082), ne mentionne quasiment rien, à croire que mon routeur de l'autre côté est muet !

Citation :

Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: initiating Main Mode
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Feb 10 19:01:52 2014 System Log gateway_to_gateway.htm is changed.
Feb 10 19:09:08 2014 VPN Log (g2gips0): deleting connection
Feb 10 19:09:08 2014 VPN Log (g2gips0) #8: deleting state (STATE_MAIN_I1)
Feb 10 19:09:08 2014 VPN Log added connection description (g2gips0)
Feb 10 19:09:08 2014 VPN Log listening for IKE messages
Feb 10 19:09:08 2014 VPN Log forgetting secrets
Feb 10 19:09:08 2014 VPN Log loading secrets from '/etc/ipsec.d/ipsec.secrets'
Feb 10 19:09:09 2014 System Log gateway_to_gateway.htm is changed.


Et sur le SRP527 voilà les logs :  
 

Citation :

Dump pluto log message in syslog  :  
 
cat /var/log/messages |grep pluto
Jan  1 02:29:39 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Jan  1 02:29:39 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: STATE_MAIN_R1: sent MR1, expecting MI2
Jan  1 02:30:09 TLSR0254 authpriv.warn pluto[1156]: "G2" #186: max number of retransmissions (2) reached STATE_MAIN_R1
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [RFC 3947] method set to=109  
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: responding to Main Mode
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Jan  1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: STATE_MAIN_R1: sent MR1, expecting MI2
Jan  1 02:30:25 TLSR0254 authpriv.warn pluto[1156]: pending Quick Mode with 37.1.XXX.XXX "G2" took too long -- replacing phase 1
Jan  1 02:30:25 TLSR0254 authpriv.warn pluto[1156]: "G2" #189: initiating Main Mode to replace #185
Jan  1 02:30:49 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: max number of retransmissions (2) reached STATE_MAIN_R1
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [RFC 3947] method set to=109  
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan  1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: "G2" #190: responding to Main Mode


 
Quelqu'un pourrait m'aider à comprendre ce qu'il se passe ? J'ai laissé également un message sur le forum Cisco.
Je ne comprends pas pourquoi la liaison s'établit, puis d'un coup se coupe et ne peut plus se rétablir. Les logs sont en plus bizarres. J'ai du dépanner du VPN auparavant, avec des soucis de phase IKE, de PFS, de Remote ID, etc. Mais là...
 
Je précise que ce soir, la liaison est toujours H.S. J'ai donc une agence complètement survoltée à l'autre bout de la France.
Merci à vous.

Reply

Marsh Posté le 10-02-2014 à 21:01:09   

Reply

Marsh Posté le 11-02-2014 à 13:37:36    

Les équipements d'extrémité ont été rebootés ?

Reply

Marsh Posté le 11-02-2014 à 15:13:09    

En effet. Les routeurs avant, et les 2 routeurs mentionnés plus haut.
Bref, 1h30 avec la hotline CISCO ce matin : impossible de faire un pont avec le SRP527. L'autre semble fonctionner.
 
Du coup je suis dans l'obligation de changer le matos. Je vais prendre un routeur compatible VDSL, ça m'évitera d'avoir cette livebox vraiment instable.
 
Pas de bonnes nouvelles pour moi en tout cas.

Reply

Marsh Posté le 11-02-2014 à 15:31:30    

Pas de bol :/
J'avais eu un soucis similaire où le routeur distant conservait les anciens paramètres de session IKE pendant plusieurs heures, un reboot et tout rentrait dans l'ordre.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed