Petit soucis avec mon cisco 871

[mathduvar]

Bonjour à tous

J'aurais juste une petite question :

- Je suis actuellement en train de tester mon routeur cisco derrière une freebox dont le NAT est desactivé. Donc j'ai bien mon adresse ip publique à la sortie de la freebox.
- Lorsque je configure ma connexion WAN, sur Eth4 et si je choisi d'obtenir automatiquement mon adresse ip, alors mon routeur fonctionne à la perfection. Par contre si je choisi de saisir moi meme l'adresse, alors le routeur ne sort pas. Je pense que cela provient du fait que la Gateway n'est pas renseignée. Si c'est bien cela serait il possible de m'indiquer la marche à suivre pour l'indiquer dans la config ?
merci pour tout

[realmaxx]

ça depend de ta config
si tu donne toi meme les adresses tu doit ler atribuer une adresse DNS
Et comme je voit que tu as un cisco 800 tu devrai surment installer le SDM
et si ce n'est pas fais
http://www.fcug.fr/cisco-installer-sdm-merge-flash-webflash-upgrade-memoire

[mathduvar]

J'ai déjà installé le SDM (2.5). Ya pas de soucis sur ce point là. De plus j'ai renseigné le DNS, les deux adresses de Free. Mais même si j'essaye de faire un ping d'une adresse ( par ex www.free.Fr) il essaye de résoudre l'adresse avec les adresses de free mais il ne sort pas.

[Padawan]

Mathduvar, non mais ça fait un léger moment que "realmaxx" n'arrête pas de copier/coller ses mêmes réponses à des problèmes qui n'ont aucun rapport.
Ne l'écoute pas.

Et SDM te sera inutile, voire même un poids en trop je dirais.

Maintenant, pour renseigner une route par défaut il suffit de faire :
ip route 0.0.0.0 0.0.0.0 [adresse du routeur de ton FAI]
en mode de configuration globale (conf term).

A+

Padawan

[mathduvar]

ok j'essaye et je te tiens au courant.

Merci pour tout

[mathduvar]

Alors comme promis je vous tiens au courant

je peux maintenant sortir, donc c'est ok.

Seulement :

J'ai récemment établi un VPN entre ce CISCO et un netasq F200
Tout va bien. Seulement, lorsque j'essaie de faire un ping avec 2048 octets, j'ai un délai d'attente dépassé. Je crois que cela provient du MTU; côté NETASQ il est bien configuré seulement après une analyse de trames, je reçois du cisco des données fragmentées, je pense que cela vient de là.

Je vous met ma config ci-dessous.
Merci de m'aider; cela fait 15 jours que je galère dessus.


Building configuration...

Current configuration : 6940 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
clock timezone Paris 1
clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1757611124
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1757611124
revocation-check none
rsakeypair TP-self-signed-1757611124
!
!
crypto pki certificate chain TP-self-signed-1757611124
certificate self-signed 01
3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31373537 36313131 3234301E 170D3032 30333031 30373238
33375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37353736
31313132 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009E4A 866F5D54 B3909E1A B6410255 8CAEC772 125AE0C7 46A51884 744B663C
87FC5D5E A53BB550 5A3F954B 561831FD 9530A415 FA8FA599 D5CA0953 49B7DE89
CC4029CB 517D9A16 1A48A5B0 BCB030DA 5F0FEB55 39FEE4C5 DF302828 03532442
15505385 0C3D1DE9 B289E756 13109832 BBB274F6 2FDE8135 FF021B26 E7F908CB
A6FD0203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
551D1104 18301682 14617469 616D2D38 332E6174 69616D2E 6C6F6361 6C301F06
03551D23 04183016 80146615 5CDC66C4 5ACB0046 93D2E3EB 99F16D12 C9CB301D
0603551D 0E041604 1466155C DC66C45A CB004693 D2E3EB99 F16D12C9 CB300D06
092A8648 86F70D01 01040500 03818100 82703890 1AFF406D 99FC0750 1F7D431B
B953F7EC B0D0642E C453E154 5A8C1DF7 729F2CA0 464E1AC7 234B1257 F17730B5
D3A50DA7 975B0F85 BB1029D5 C17A1596 BA1A4DB9 A7B441E1 C2CA2CFF 7BD4DF1A
8CB7FE43 EFEC6FC8 758D8666 3793FB47 32651CCB 4D475656 10ABB968 96E5369C
A8512CAC 5544716F D79F91ED 3BFA217A
quit
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key 7A2681EF4551E447A address 62.161.107.82
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-MD5-3DES esp-3des esp-md5-hmac
crypto ipsec df-bit clear
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to62.1xx.xxx.xxx
set peer 62.1xx.xxx.xxx
set transform-set ESP-3DES-SHA1
match address 103
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.0.1 10.10.10.0
ip dhcp excluded-address 10.10.10.7 10.255.255.254
!
ip dhcp pool sdm-pool
import all
network 10.0.0.0 255.0.0.0
default-router 10.10.10.1
domain-name atiam.local
dns-server 217.15.80.4 217.15.88.4
lease 0 2
!
!
ip domain name xxxxx.xxxx
ip name-server 217.15.80.4
ip name-server 217.15.88.4
!
multilink bundle-name authenticated
password encryption aes
!
!
username xxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxx
archive
log config
hidekeys
!
!
ip tcp mss 1300
zone security WAN_1
!
!
!
interface Tunnel0
no ip address
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ETH-WAN$
ip address 83.16x.xxx.xxx 255.255.255.248
ip mask-reply
ip mtu 1300
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
duplex auto
speed auto
crypto map SDM_CMAP_1
crypto ipsec df-bit clear
crypto ipsec fragmentation before-encryption
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.0.0.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 192.168.0.3 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1000
!
interface Dialer0
mtu 1300
no ip address
ip tcp adjust-mss 1300
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 83.16x.xxx.xxx permanent
ip route 192.168.2.0 255.255.255.0 192.168.6.233 permanent
ip route 192.168.3.0 255.255.255.0 192.168.6.233 permanent
ip route 192.168.4.0 255.255.255.0 192.168.6.233 permanent
ip route 192.168.5.0 255.255.255.0 192.168.6.233 permanent
ip route 192.168.7.0 255.255.255.0 192.168.6.233 permanent
ip route 192.168.8.0 255.255.255.0 192.168.6.233 permanent
ip route 192.168.9.0 255.255.255.0 192.168.6.233 permanent
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source static tcp 192.168.0.1 3389 interface FastEthernet4 3389
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.0.0.0 0.255.255.255
access-list 1 permit 192.0.0.0 0.255.255.255
access-list 101 remark SDM_ACL Category=1
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 101 permit ip any any
access-list 102 deny ip 192.168.0.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 103 remark SDM_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 192.168.0.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 103 permit icmp any any log
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
control-plane
!
banner exec ^CCCCC
% Password expiration warning.
-----------------------------------------------------------------------

Cisco Router and Security Device Manager (SDM) is installed on this device and
it provides the default username "cisco" for one-time use. If you have already
used the username "cisco" to login to the router and your IOS image supports the
"one-time" user option, then this username has already expired. You will not be
able to login to the router with this username after you exit this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you want to
use.

-----------------------------------------------------------------------
^C
banner login ^CCCCC-------------------------------------------------------------------------
*****************************************

*******************
****************
*********************
*************
************
--------------------------------------------------------------------------
********************************

^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 101 in
access-class 101 out
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000

!
webvpn cef
end

[Padawan]

Mouais... SDM c'est mal.
Il faudrait penser à refaire une configuration propre sans SDM.

Bon, concernant ton problème, tu vas devoir fixer le MTU en fonction de ta connexion WAN :
- 1472 pour du PPPoA
- 1492 pour du PPPoE
- 1500 pour de l'Ethernet standard
- Plus haut (9000, ...) dans le cas de certains réseaux en full-giga

N'oublie pas de fixer le TCP-MSS aussi, à 1452 dans les deux premiers cas :
ip tcp mss 1452

A+

Padawan

[mathduvar]

Merci je vais essayer

bon mais dis moi je pourrais envoyer un ping en 2048 octets ????
En fait je te dis pourquoi c'est pour des remontées de GPO et Micro$oft t'oblige à autoriser le ping en 2048


Alors voila
tiens moi au courant stp

[Padawan]

C'est pas très bon ça. C'est encore une des logiques bien tordues de Microsoft.

Enfin, bref. Tu pourras tenter, je n'en sais rien.

A+

Padawan

[gunm]

en fait Padawan, le ping à 2048 octets permet de détecter si une liaison est lente ou rapide (grâce à un test entre la différence de temps entre un echo et un reply à 0octets puis à 2048octets). Ainsi si la connexion est considérée comme lente, certaines stratégies de groupe ne seront pas appliquée car inutiles.
_________________
Cordialement,

~~~ GunM ~~~

[Padawan]

Oh. Mais pourquoi ne pas éviter de les appliquer tout le temps (peu importe la latence) si elles sont inutiles ?

A+

Padawan

[gunm]

Microsoft inside


_________________
Cordialement,

~~~ GunM ~~~

[Padawan]

Ah, c'est clair comme ça.

A+

Padawan

[mathduvar]

Alors voila je crois que je vais craquer :

- Je vous indique ma situation now :

j'ai un netasq : adresse privée : 192.168.6.5
j'ai un cisco : adresse privée : 192.168.0.3

le netasq est sur un site et le cisco sur un autre .
Il y a une liaison SHDSL sur le cisco. J'ai deux VLAN le VLAN 1 utilisé par défaut connecté sur le port 1 et le VLAN 2 que j'ai utilisé pour ma connexion.
Le Netasq lui est branché derrière une ligne ADSL.
Le MTU/MSS du netasq est de 1500 ( si je le modifie j'ai des pb d'ouverture de certains sites).

- Alors voila si je ping du cisco sur le netasq : ping 192.168.6.5 Ok pas de problème
si je ping en 2048 : ping -l 2048 192.168.6.5 Ok pas de problème.
Si maintenant je ping derrière le Netasq ( ex sur un serveur) : ping 192.168.6.1 Ok pas de probleme
Si maintenant je fais la meme chose sur le serveur mais en 2048 :
ping -l 2048 192.168.6.1 ça ne marche pas
si maintenant je ping du coté NETASQ maintenant :
ping 192.168.0.1 (serveur derriere le cisco) : Ok
si je fais un ping en 2048 le serveur ça ne marche pas
Si je ping le Cisco ok pas de probleme mais si je ping en 2048 ca ne marche pas.

Alors je commence à craquer !!!! j'ai essayé de modifier le MTU le MSS j'ai mais en rade 120 personnes car elles n'accédaient plus sur certains sites bon tout est rentré dans l'ordre. d'après netasq après avoir fait des analyses, il s'avère que ils me disent qu'ils voient l'écho revenir sur le cisco
alors que faire s'il vous plait je suis dans l'impasse.

[mathduvar]

Je reviens vers vous pour savoir si vous avez une idée ???