Posté le: Ven Juil 11, 2008 12:35 pm Sujet du message: Vpn site to site - routeurs 871
Bonjour à tous et bravo pour ce forum.
Je dois réaliser un tunnel vpn entre 3 sites distants avec des routeurs 871 chacun derrière une livebox (avec adresse ip public). Mes livebox sont configurés en DMZ.
Pour l'instant, j'ai réalisé une maquette dans ma boîte avec seulement 2 routeurs.
Schéma de ma maquette:
Réseau local 1 (lan1) : 192.168.101.0/24
Cisco 1 (c1) : 192.168.101.1 (côté lan1)
192.168.1.2 (côté wan1)
Un pc sous linux simule les livebox et internet (ip forwarding activé) avec 2 cartes réseaux.
pc (pc) : 192.168.1.1 (côté wan1)
192.168.2.1 (côté wan2)
lan1 | c1 | wan1 | pc | wan2 | c2 | lan2
Voila pour la topologie du réseau.
J'ai configuré mes 2 routeurs pour qu'il établisse un vpn entre eux. Jusque là, tout va bien. J'arrive depuis un pc côté lan1 à pinger, prendre la main sur un PC distant (côté lan2). Donc pour moi, tout va bien jusqu'à ce que mon client me demande de tester le tunnel VPN avec un serveur HTTP.
Et là, ça marche de façon bizarre.
Côté lan2, j'ai un serveur http/https (apache/mysql/php)
Côté lan1, j'ai 5 types de PC :
- un pc XP SP1 (pc0)
- un pc XP SP2 (pc1)
- un pc XP SP2 + dernieres MAJ (pc2)
- un pcXP SP3 (pc3)
- un pc sous linux (pc4)
Depuis un navigateur, j'essaie d'afficher une page HTML de mon serveur HTTP
Résultat :
- pc0 et pc1 : OK
- pc2, pc3, pc4 : NOK
Bien entendu, si je met tous mes pc côté lan2, je n'ai pas de problème.
Je suis perdu dans ma conf qui me semble pourtant plus que basique (cf ci-dessous)
Pour le moment, je n'ai pas mis de firewall (pour éliminer tout problème)
J'ai pensé un moment que ça pouvait venir du fait que mes routeurs n'acceptaient pas de protocole en-dessous du port 1024 mais j'ai configuré sendmail (port 25) sur mon serveur http pour qu'il accepte les connexions et j'arrive bien à faire un telnet avec tous les pc en local ou bien à travers le vpn.
Merci pour votre aide,
Xavier
Config du routeur c1:
Code:
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname XXXXXX
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 XXXXXX
!
no aaa new-model
clock timezone PCTime 1
!
crypto pki trustpoint TP-self-signed-XXXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-XXXXXX
revocation-check none
rsakeypair TP-self-signed-XXXXXX
!
!
crypto pki certificate chain TP-self-signed-XXXXXX
certificate self-signed 01
XXXXXX
quit
dot11 syslog
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.101.1 192.168.101.100
ip dhcp excluded-address 192.168.101.201 192.168.101.254
!
ip dhcp pool sdm-pool1
import all
network 192.168.101.0 255.255.255.0
default-router 192.168.101.1
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
no ip domain lookup
ip domain name XXXXXX.lan
!
!
!
username XXXXXX privilege 15 secret 5 XXXXXX
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key XXXXXX address 192.168.3.2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to192.168.3.2
set peer 192.168.3.2
set transform-set ESP-3DES-SHA
match address 100
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $FW_OUTSIDE$$ES_WAN$
ip address 192.168.1.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.101.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.101.0 0.0.0.255 192.168.103.0 0.0.0.255
no cdp run
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device and
it provides the default username "cisco" for one-time use. If you have already
used the username "cisco" to login to the router and your IOS image supports the
"one-time" user option, then this username has already expired. You will not be
able to login to the router with this username after you exit this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
Replace <myuser> and <mypassword> with the username and password you want to
use.
-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Inscrit le: 08 Fév 2006 Messages: 4375 Localisation: France, Ile de France
Posté le: Mer Juil 16, 2008 2:02 pm Sujet du message:
Salut,
Le truc bizarre, c'est que tu aies à le placer à 1260.
Théoriquement, vu le type de lien fourni avec une Livebox, il devrait être à 1452... et le MTU à 1492 (enfin, pour du PPPoE).
Pour le PPPoA, le MTU doit être fixé à 1472.
A+
Padawan
Dernière édition par Padawan le Dim Aoû 10, 2008 2:30 am; édité 1 fois
Posté le: Jeu Aoû 07, 2008 4:13 pm Sujet du message:
Désolé pour la réponse tardive, mais j'étais en vacances
Padawan a écrit:
Le truc bizarre, c'est que tu aies à le placer à 1260.
Théoriquement, vu le type de lien fournis avec une Livebox, il devrait être à 1452... et le MTU à 1492 (enfin, pour du PPPoE).
Pour le PPPoA, le MTU doit être fixé à 1472
Je pensais exactement la même chose que toi jusqu'à ce que je sois obligé de mettre le mtu à 1300 et donc le mss à 1260
1260 pour la longueur de la trame max
40 pour les entetes tcp
D'aute part, je me suis rendu compte que quand le client Cisco VPN est installé sur un pc, l'installation ajoute une clé de registre MTU à 1300.
HKLM/System/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/XXX/MTU où XXX correspond à une configuration de carte réseau.
Les pc ayant cette clé n'avait pas les problèmes cités précédemment (connexion à un site web au travers d'un vpn).
Je trouve "bizarre" que cisco oblige les clients Vpn à avoir un mtu à 1300 et pas les routeurs ???
Si j'ai mis cette valeur de 1260 pour le mss, c'est plus part sécurité. J'ai essayé de mettre un mss à 1350 et cela fonctionne aussi. Par contre un mss à 1400, non
Inscrit le: 08 Fév 2006 Messages: 4375 Localisation: France, Ile de France
Posté le: Dim Aoû 10, 2008 2:33 am Sujet du message:
Une explication... Non. Je ne connais pas bien les entrailles du client VPN de Cisco (sur Windows), mais je suppose que si le MTU a été placé à 1300 par défaut, ce doit être pour une bonne raison.
Peut-être que le problème vient de Windows... Je n'en sais rien.
Si t'as du temps, amuse-toi à réverser le client VPN de Cisco.
Posté le: Lun Aoû 11, 2008 10:40 am Sujet du message:
Le problème ne vient pas de Windows puisque j'ai relevé le même problème sous linux. Par défaut, le MTU n'est pas fixé sur des pc (windows ou linux). Sous windows, il suffit d'ajouter une clé de registre, sous linux, j'ai pas cherché.
Je pense que l'on peut passer ce post en résolu mais je ne sais pas comment on fait
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
Vpn site to site - routeurs 871
