Index - FAQ - Rechercher - Membres - Groupes - S'enregistrer - Messages Privés - Connexion
[Résolu] VPN site à site - ACL

 
Poster un nouveau sujet   Répondre au sujet    Forum du Laboratoire SUPINFO des Technologies Cisco Index du Forum -> Configuration et problèmes de routeurs | Routers configurations and problems
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
guismai
Participant
Participant


Inscrit le: 14 Nov 2007
Messages: 22
MessagePosté le: Lun Juin 16, 2008 3:38 pm    Sujet du message: [Résolu] VPN site à site - ACL Répondre en citant
Bonjour,

Je dois faire un VPN site à site, mais je ne configure que le routeur de mon coté (SiteA - Soho97). Je pense avoir la bonne configuration pour monter le tunnel (Cf. configuration ci-dessous). Mais, je ne sais pas comment m'y prendre au niveau des ACLs.

Pour le SiteB, seuls les port du DNS et HTTP sont accessibles.
Pour le SiteA, je veux tout bloquer sauf les connexions HTTP établies vers le siteB.

Code:

crypto isakmp policy 90
encr 3des
authentication pre-share
group 2
crypto isakmp key Client-Site address siteB
!
!
crypto ipsec transform-set client-transf esp-3des esp-sha-hmac
!
crypto map client-map 90 ipsec-isakmp
set peer siteB
set transform-set client-transf
match address 101


Dernière édition par guismai le Jeu Aoû 28, 2008 3:16 pm; édité 1 fois
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
guismai
Participant
Participant


Inscrit le: 14 Nov 2007
Messages: 22
MessagePosté le: Lun Juin 16, 2008 4:47 pm    Sujet du message: Répondre en citant
Code:
access-list 101 deny   ip any



Est-ce que ça ne réponderais pas tout simplement à ma question ?
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
mia13
Visiteur
Visiteur


Inscrit le: 28 Mai 2008
Messages: 16
Localisation: Marseille
MessagePosté le: Mar Juin 17, 2008 9:17 am    Sujet du message: Répondre en citant
Salut,

Ton ACL 101 doit définir le trafique intéressant (Crypto ACL), c-a-d le trafique devant transiter via le tunnel sécurisé. Ici, je pense, tu veux faire communiquer 2 LAN. Ex : LAN du Site A avec le LAN du Site B. Voici un exemple :

RouterA

ip access-list extended VPN_TO_B
permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

172.16.3.0 étant le LAN A et 172.16.1.0 le LAN B (source --> destination)

Il est préférable d'utiliser des ACL nommées car elles peuvent être modifiées.

Ta Crypto map donnerai ceci :

crypto map client-map 90 ipsec-isakmp
set peer siteB
set transform-set client-transf
match address VPN_TO_B

Ensuite, tu doit lier ta crypto map à ton interface WAN. EX :

interface S0/0
crypto map client-map

De plus, tu dois autoriser les protocoles IPSec sur tes interfaces WAN via une ACL. Exemple :

Si ton RouterA a une IP publique en 80.100.100.1 et que ton routerB a une IP publique en 90.10.10.2

Sur ton RouterA ce serait :

ip access-list extended PERMIT_IPSEC
permit esp host 90.10.10.2 host 80.100.100.1
permit ahp host 90.10.10.2 host 80.100.100.1
permit udp host host 90.10.10.2 host 80.100.100.1 eq isakmp

Ensuite, sur l'interface WAN du RouterA :

interface S0/0
ip access-group PERMIT_IPSEC in

Cela devrait fonctinner sans oublier que sur ton RouterB (distant), les souces et destination de tes ACLs doivent être inversées.

@+
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
mia13
Visiteur
Visiteur


Inscrit le: 28 Mai 2008
Messages: 16
Localisation: Marseille
MessagePosté le: Lun Juin 23, 2008 8:03 pm    Sujet du message: Répondre en citant
Salut,

Alors... Resolu ou non résolu ???

@+
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
guismai
Participant
Participant


Inscrit le: 14 Nov 2007
Messages: 22
MessagePosté le: Jeu Aoû 28, 2008 3:15 pm    Sujet du message: Répondre en citant
Salut,

désolé pour le temps de réponse ...

Je n'ai au final pas eu à traitre ce problème...

Après que le tunnel est crée, je dois me mettre sous une plage IP particulière pour accéder aux services souhaités.

De leur coté, il n'y a pas de plage d'IP qu'ils peuvent utiliser ...

Merci
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Forum du Laboratoire SUPINFO des Technologies Cisco Index du Forum -> Configuration et problèmes de routeurs | Routers configurations and problems Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Powered by phpBB © phpBB Group
phpBB SEO

© Copyright 2000-2005 SUPINFO Paris, Paris Academy of Computer Science
23, rue de Château Landon - 75010 PARIS - Tél : +33 (0) 153359700 Fax : +33 (0) 153359701
Conditions d'utilisation et Copyright |  Respect de la vie privée

Site audité par