Salut
 
Je voudrais que des postes itinérant sous xp puisent se connecter au réseau par un tunnel VPN.
 
J'ai trouvé cette config sur le site cisco : http://www.cisco.com/en/US/tech/tk [...] 4685.shtml
 
Mais j'ai un peut de mal.
Je vous commente donc se que je ne comprends pas :
 
vpn2611#show run
Building configuration...
 
Current configuration : 2265 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2611
!
 
!--- Enable AAA for user authentication  
!--- and group authorization.
 
aaa new-model // Ok on crée un nouveau groupe d’autentification
!
!
 
!--- In order to enable X-Auth for user authentication,  
!--- enable the aaa authentication commands.
 
aaa authentication login userauthen local // La si je comprends bien on l’appel userauthen ??
 
 
!--- In order to enable group authorization, enable  
!--- the aaa authorization commands.
 
aaa authorization network groupauthor local // La on crée un groupe d’autentification
aaa session-id common
!
 
 
!--- For local authentication of the IPSec user,  
!--- create the user with a password.
 
username cisco password 0 cisco // la on crée un user pour le vpn
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
 
 
!--- Create an Internet Security Association and  
!--- Key Management Protocol (ISAKMP)  
!--- policy for Phase 1 negotiations for the VPN 3.x Clients.
// la con choisi le mode de criptage
 
crypto isakmp policy 3  
encr 3des
authentication pre-share
group 2
!
 
 
!--- Create an ISAKMP policy for Phase 1  
!--- negotiations for the LAN-to-LAN tunnels.
// La on s’en fou
crypto isakmp policy 10
hash md5
authentication pre-share
 
 
!--- Specify the PreShared key for the LAN-to-LAN tunnel.  
!--- Make sure that you use the
!--- no-xauth parameter with your ISAKMP key.
// La aussi on s’en fou
crypto isakmp key cisco123 address 172.18.124.199 no-xauth
!
 
 
!--- Create a group that is used to  
!--- specify the WINS, DNS servers' address
!--- to the client, along with the pre-shared  
!--- key for authentication.
// La on configure des parameter pour les client vpn
crypto isakmp client configuration group 3000client
key cisco123
dns 10.10.10.10
wins 10.10.10.20
domain cisco.com
pool ippool
!
!
 
 
!--- Create the Phase 2 Policy for actual data encryption.
// La je ne sais pas
crypto ipsec transform-set myset esp-3des esp-md5-hmac  
!
 
 
!--- Create a dynamic map and apply  
!--- the transform set that was created earlier.
// La je ne vois pas non plus
crypto dynamic-map dynmap 10
set transform-set myset  
!
!
 
 
!--- Create the actual crypto map, and  
!--- apply the AAA lists that were created  
!--- earlier. Also create a new instance for your  
!--- LAN-to-LAN tunnel. Specify the peer IP address,  
!--- transform set, and an Access Control List (ACL) for this  
!--- instance.
// La non plus je ne vois pas
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp  
set peer 172.18.124.199
set transform-set myset  
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap  
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!
 
 
!--- Apply the crypto map on the outside interface.
// On configure les interfaces pour le vpn
interface Ethernet0/0
ip address 172.18.124.159 255.255.255.0
half-duplex
crypto map clientmap
!
interface Serial0/0
no ip address
shutdown
!
interface Ethernet0/1
ip address 10.10.10.1 255.255.255.0
no keepalive
half-duplex
!
!
 
!--- Create a pool of addresses to be  
!--- assigned to the VPN Clients.
// On configure le dhcp
ip local pool ippool 14.1.1.100 14.1.1.200
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!
!
 
 
!--- Create an ACL for the traffic  
!--- to be encrypted. In this example,  
!--- the traffic from 10.10.10.0/24 to 10.10.20.0/24  
!--- is encrypted.
 
access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
!
!
snmp-server community foobar RO
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
!
end
 
Se que je voudrais juste faire c'est créer un nouveau réseau sur le routeur avec une nouvelle interface avec sa propre plage d'ip et que les gens se connecte dessus et récupère les bonne routes qui vont bien pour aller sur les différents réseau derrière le routeur.
 
Merci de votre aide.

bon j'avance doucement, voilà ma config :

Mais j'ai cette erreur quand je tente de me connecter : CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode  failed with peer at 172.20.4.1
Je vois que c'est un problème de cryptage mais je ne sais pas d'où viens mon erreur.
J'utilise cisco vpn client 5.0.0
Merci

C'est quoi le message de log juste avant ?
 
http://www.cisco.com/en/US/tech/tk [...] 55aa.shtml

Moi je ne vois que ça sur le terminal, mais il faut taper où la commande debug pour avoir plus de détails? Merci

faut que tu commences à jouer avec les "show crypto ipsec blabla" et "show crypto isakmp blabla" pour avoir plus d'infos

ok merci