aide pour améliorer ses acl

woodba · Visiteur Inscrit le: 11 Mar 2008 Messages: 13

Bonjour,

j'ai monté un VPN/IPSec entre 2 sites mais je pense que mes acl sont mal écrites.

Voici se que théoriquement j'aurai mis :

pour que mes routeurs communiques :
access-list 100 permit ip host 217.1.1.1 host 217.1.1.4
pour que mes réseaux communiques entre eux :
access-list 100 permit ip 130.1.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Malheureusement ca ne suffit pas Confused

Pour que ca fonctionne j'ai du rajouter une ligne qui m'embete beaucoup :
access-list 100 permit ip any any

Je pense que j'ai oublié une autre acl pour que je soit obligé de mettre cette ligne (any any). A ma grande surprise, si je laisse que cette ligne ca ne fonctionne pas non plus. Les 2 autres lignes ne peuvent donc pas etre remplacé par une seul ligne 'any any'.

Je demande donc aux pro des acl un petit coup de main pour m'aider à résoudre ce problème. Je n'ai pas mis la configuration entière car je n'en vois pas l'interret, cependant si quelqu'un souhaite vraiment la voir je la mettrai. J'en profite pour mettre mes lignes de routages mais je ne pense pas que ce soit necessaire :

le routeur 1 :
ip route 0.0.0.0 0.0.0.0 172.1.1.2 (passerelle)
ip route 130.1.0.0 255.255.0.0 FastEthernet0 (apparemment non necessaire)

routeur 2:
ip route 0.0.0.0 0.0.0.0 172.1.1.3 (passerelle)
ip route 172.16.0.0 255.255.0.0 FastEthernet0 (apparemment non necessaire)

Voici un petit scéma pour mieux comprendre :
http://www.imagup.com/imgs/1210670572.html

soukaina · Posté le: Mer Mai 14, 2008 12:51 pm Sujet du message:

salut
voilà ma réponse:
pour que les routeurs communiquent :
access-list 3 permit host 217.1.1.1
access-list 3 permit any
ensuite tu dois configurer sur l'interface 0/4
ip access goup 3 permit out
pour que les réseaux communiquent entre eux :
access-list 4 permit 130.1.0.0 0.0.255.255
access-list 4 permit any
et bien évidemment sur l'interface
ip access group 4 out
essayer de rafaire la configuration et bonne chance
_________________
un bienfait n'est jamais perdu

woodba · Visiteur Inscrit le: 11 Mar 2008 Messages: 13

Merci de m'avoir éguillé pour les acl.

J'ai compris à quoi serve chaque acl mais je ne comprend pas trop la syntaxe Confused

Par exemple :
access-list 3 permit host 217.1.1.1
'access-list 3' : c'est un numéro au hassard le 3 je suppose
'host 217.1.1.1' : en ne mettant qu'une seul partie à qui va s'appliquer l'acl

access-list 3 permit any : ici aussi je ne vois pas qu'elle est la destination.

Je n'ai apris que la syntaxe suivante :
access-list [numéro acl] [autorisation] [protocole] [liste expéditeur] [liste destinataire]

Ce n'est pas que je n'ai pas confiance en tes acl mais simplement que je souhaite comprendre pour ne pas redemander plus tard ... Rolling Eyes

Padawan · Posté le: Mer Mai 14, 2008 4:49 pm Sujet du message:

Salut woodba,

Oublie les propos de l'autre Soukaina, il a tout faux et il ne semble pas avoir compris comment fonctionnaient les ACLs (la preuve étant les "permit any" qu'il glisse dans ses règles par exemple).

Donc, dans ton cas si j'ai bien compris, il y a deux réseau :
- 172.16.0.0/16
- 131.1.0.0/16 --> Adressage non-privé, attention !

Les deux routeurs ont respectivement les adresses 217.1.1.1 et 217.1.1.4 sur le WAN.

Maintenant, ton VPN est-il bien monté ? C'est la première question que je me poserais, car il se pourrait que le tunnel ne se monte pas. Et dans ce cas, il faudrait les conf complètes des deux routeurs, voire un schéma de la topologie du réseau si ce que j'ai dit au dessus est faux (car cela prouve que je n'ai pas compris comment étaient reliés les différents réseaux entre-eux).

A+

Padawan

soukaina · Posté le: Jeu Mai 15, 2008 11:58 am Sujet du message:

salut
il existe de type d'acl standart et etendu
la règle que tu as ecrit correspond bien à une acl etendu parce que tu as manipulé les deux adresses source et destination mais tu as oublié de marquer le port
je vois que dans votre cas il suffit de travailler avec une acl standart qui nécessite que l'adresse source
le numéro d'une acl standart est borné entre 0 à 99
concernant les permit any c parce que par défaut il y a une acl appliquée qui interdit l'accés
tu peux tester ça avec un simulateur
voilà ma démonstration et bonne chance encore une fois
_________________
un bienfait n'est jamais perdu

Padawan · Posté le: Jeu Mai 15, 2008 12:17 pm Sujet du message:

Ca ne veut rien dire.
Je sais qu'il existe plusieurs types d'ACL, mais dans son cas il faut utiliser des ACLs étendues.
Et oui, je sais qu'il y a un "deny ip any any" implicite à la fin de chaque ACL.
Simplement, tu as commencé à jouer avec les "permit any". Et là est le problème.

A+

Padawan

soukaina · Posté le: Jeu Mai 15, 2008 2:49 pm Sujet du message:

à votre avis c quoi la configuration finalement
j'aimerais bien voir votre réponse si c possible
_________________
un bienfait n'est jamais perdu

Padawan · Posté le: Jeu Mai 15, 2008 8:56 pm Sujet du message:

Comme indiqué dans mon avant-dernier message, je manque de détails. Il reste encore trop de possibilités au niveau des ACLs en fonction de l'architecture actuelle du réseau.
Quand Woodba répondra, je devrais être alors capable de le faire aussi.

A+

Padawan