Discussion :

[gorgonite]

Bonjour,


Je essaie de mettre en place un vpn avec un cisco pix 501

J'ai deja lu toute la documentation fournie, mais je ne trouve pas comment generer les cles RSA. et je n'ai pas trouve sur


si quelqu'un connait...

[Aramis]

Bonjour,

je viens de chercher "PIX RSA key generation" sur . Le premier lien m'a l'air de correspondre a votre demande, non

A.

[gorgonite]

Euh, en fait je n'ai pas bien poser ma question...


J'ai cree une connexion vpn site-to-site avec les pre-shared keys
(je configure avec l'applet...)

et lorsque je tente la connexion avec cisco vpn client, ca marche pas...
en gros, le journal dit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Attempt connection with server

Attempting to etablish a connection

Output size mismatch. Actual 0, Expected 237   (plein de fois)

Unable to acquire local IP address after 600 attempts, probably due to network socket failure

Failed to set up connection data

Unable to contact server

Initializing CVPNDrv

IKE received signal to terminate VPN connection

Microsoft IPSec Policy Agent service started successfully

IPSec driver successfully started

Deleted all keys

IPSec driver successfully stopped

Je me demandais si quelqu'un avait un exemple de configuration a la souris...
Edit ou autre (je ne sais pas me loguer en console dessus... mais je peux essayer)

[gorgonite]

J'ai avancé un peu...
(j'ai enlevé l'ip du serveur... elle est publique)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
Begin connection process

Establish secure connection using Ethernet

Attempt connection with server

Attempting to establish a connection

SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Nat-T), VID(Frag), VID(Unity)) to 

IPSec driver successfully started

Deleted all keys

Received ISAKMP packet: peer = 

RECEIVING <<< ISAKMP OAK AG &#40;SA, VID&#40;Xauth&#41;, VID&#40;dpd&#41;, VID&#40;Unity&#41;, VID&#40;?&#41;, KE, ID, NON, HASH&#41; from 

Peer supports XAUTH

Peer supports DPD

Peer is a Cisco-Unity compliant peer

Received IOS Vendor ID with unknown capabilities flag 0x00000025

IOS Vendor ID Contruction successful

SENDING >>> ISAKMP OAK AG *&#40;HASH, NOTIFY&#58;STATUS_INITIAL_CONTACT, VID&#40;?&#41;, VID&#40;Unity&#41;&#41; to 

IKE Port in use - Local Port =  0x01F4, Remote Port = 0x01F4

Established Phase 1 SA.  1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

Established Phase 1 SA.  1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system

Firewall, Sygate Personal Firewall, is not running, the client will not send firewall information to concentrator.

Client sending a firewall request to concentrator

SENDING >>> ISAKMP OAK TRANS *&#40;HASH, ATTR&#41; to

Received ISAKMP packet&#58; peer = 

RECEIVING <<< ISAKMP OAK INFO *&#40;HASH, NOTIFY&#58;STATUS_RESP_LIFETIME&#41; from 

RESPONDER-LIFETIME notify has value of 86400 seconds

This SA has already been alive for 1 seconds, setting expiry to 86399 seconds from now

Received ISAKMP packet&#58; peer =

RECEIVING <<< ISAKMP OAK TRANS *&#40;HASH, ATTR&#41; from 

No private IP address was assigned by the peer

Failed to process ModeCfg Reply &#40;NavigatorTM&#58;175&#41;

Marking IKE SA for deletion  &#40;I_Cookie=A18144ED96BC192E R_Cookie=2C6EEB39A3EB339F&#41; reason = DEL_REASON_IKE_NEG_FAILED

SENDING >>> ISAKMP OAK INFO *&#40;HASH, DEL&#41; to 

Discarding IKE SA negotiation &#40;I_Cookie=A18144ED96BC192E R_Cookie=2C6EEB39A3EB339F&#41; reason = DEL_REASON_IKE_NEG_FAILED

Phase 1 SA deleted before Mode Config is completed cause by "DEL_REASON_IKE_NEG_FAILED".  0 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

Initializing CVPNDrv

IKE received signal to terminate VPN connection

Microsoft IPSec Policy Agent service started successfully

Deleted all keys

IPSec driver successfully stopped

je continue

[gorgonite]

J'ai un diagnostic plus précis.

J'ai tenté une connexion avec vpnc depuis une debian etch. et le log du PIX me répond cela...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
ISAKMP: session connected (local IP_PIX (responder), remote IP_CLIENT)
ISAKMP: Phase 1 SA created (local IP_PIX/500 (responder), remote IP_CLIENT/500, authentication=pre-share, encryption=3DES-CBC, hash=MD, group=2, lifetime=86400s)
ISAKMP: Failed to allocate address from client pool
ISAKMP session disconnected (local IP_PIX (responder), remote IP_CLIENT)

Voilà, si quelqu'un a la solution... je suis preneur

[gorgonite]

Sur le site cisco, j'ai trouve cette explication

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ip local pool—When a pool of addresses set by the ip local pool command is empty, the following syslog message now appears:

%PIX-4-404101: ISAKMP: Failed to allocate address for client from pool poolname

Le hic est que je ne trouve pas comment attribuer cette pool...

[gorgonite]

J'ai encore avance... ce coup-ci j'ai cette erreur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
ISAKMP: session connected (local IP_PIX (responder), remote IP_CLIENT)
ISAKMP: Phase 1 SA created (local IP_PIX/500 (responder), remote IP_CLIENT/500, authentication=pre-share, encryption=3DES-CBC, hash=MD, group=2, lifetime=86400s)
ISAKMP session disconnected (local IP_PIX (responder), remote IP_CLIENT)
Teardown dynamic TCP translation from inside IP_RANDOM_POOL/43386 to ouside IP_PIX/1895 duration 0:02:06

Quelqu'un voit maintenant... parce que je commence a secher

[gorgonite]

y a quelqu'un ???

[gorgonite]

Ben si personne ne voit...
connaissez-vous un forum où il y aurait des gens susceptibles de trouver ?


Merci.

[Freed0]

Désolé mais ton sujet est une colle
As-tu essayé de contacter Cisco ?

[gorgonite]

euh non... tu penses qu'ils me répondront ?

mais j'ai contacté des admins réseau, qui utilisent des vpn avec du matos cisco (mais non pix)... et leur config est similaire

[Freed0]

Bah essaie chez Cisco, toutes façon y'a plus que ça à faire

[Aramis]

Bonjour,

personnellement je ne suis pas un grand fan de la configuration via Interface Web/ Applet. A vrai dire, si je peux j'interdis mes eleves de l'utiliser. D'ailleurs lorsque Cisco met de la documentation en ligne, c'est toujours la forme des lignes de commandes qui est faovirsee.

Cependant, avant d'aller telephoner Cisco, avez vous jetter un coup d'oeil a ce tutoriel [ lien ] ?

A.

[gorgonite]

personnellement je ne suis pas un grand fan de la configuration via Interface Web/ Applet. A vrai dire, si je peux j'interdis mes eleves de l'utiliser. D'ailleurs lorsque Cisco met de la documentation en ligne, c'est toujours la forme des lignes de commandes qui est faovirsee.

En fait, je n'ai utilise l'applet qu'au debut... quand je pensais que je finirais vite en une aprem, sachant que je ne le verrais plus apres son installation

Depuis un petit moment, je fais baver minicom
c'est d'ailleurs la methode que j'utilise avec mes catalyst...

avant d'aller telephoner Cisco, avez vous jetter un coup d'oeil a ce tutoriel ?

j'ai utilise les deux tutoriels cisco: celui-ci, et celui concernant l'applet...

[Aramis]

Re,

j'ai le guide pour la certifcation Securite Cisco au bureau et il y a tout un chapitre sur la mise en place de VPN site a site. Cepedant, il semblerai que le tutoriel en ligne soit plus complet que celui donne dans le guide, par consequent je suis desole de ne pouvoir vous aider plus

A.

[gorgonite]

Si vous voulez bien, je peux vous envoyer le "show config"... ca se trouve, c'est juste un petit detail

[gorgonite]

J'ai recu une reponse de chez cisco... avec un joli exemple vraiment tres proche du mien


Je souhaite le tester, mais etant donne la longueur du fichier, je me demande si il y a un moyen comme avec mysql, un truc du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

minicom -S /etc/minicom_config < exemple.txt

ps: cette commande ne marche pas

[Aramis]

Bonjour,

et pour celles et ceux qui n'y connaissent rien en base de donnee, que voulez vous faire exactement?
En quoi la taille du fichier est elle genante?

A.

[gorgonite]

ben je veux que le contenu du fichier soit envoyé à travers la liaison
(en gros peut-on passer un fichier de commandes en paramètres)

la taille du fichier fait une cinquantaine de lignes et je ne voudrais pas les recopier un par une...

[Aramis]

Re,

ben je veux que le contenu du fichier soit envoyé à travers la liaison

La liaison? de quoi parler vous?

(en gros peut-on passer un fichier de commandes en paramètres)

la taille du fichier fait une cinquantaine de lignes et je ne voudrais pas les recopier un par une...

heu.. si vous utilisez un logiciel du style hyperterminal ou bien putty il est possible de faire un copier/coller.

Cette semaine nos eleves de 4eme annee et 7eme annee ont appris a construire une application en C# qui se connecte a un router et met a jour la configuration. Ce n'est pas tres difficile, je vous recommande de developper ce genre d'outils (C'est fou ce que les admins reseaux sont flemmards).

A.