Discussion :

[aguisse5]

Bonjour ,
j'ai mis en place un remote vpn purement cisco.
Le client se connecte trés bien et tout a l'heure vraiment normale mais je ne parvient pas du tout a avoir accé aux ressources local.
Aidez moi s'il vous plait car cela fait 2 moi que je galère sur la question sans réponse.

Cordialement.
Informatique votre.

[Invité]

C'est avec EasyVPN ?

A quel type de ressources tu veux accéder ?

Tu peux poster le 'sh run' du 800 ?

Steph

[aguisse5]

Merci de m'avoir repondue IP_Steph,
J'utilise Le Cisco VPN Client V5.0
et Voici ma config.
NB: Il ya un autre VPN L2L sur le routeur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
emgmcafa#sh run
Building configuration...
 
Current configuration : 5773 bytes
!
! Last configuration change at 15:58:13 UTC Wed Apr 11 2012 by cisco
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname .......
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password xxxxxxx
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock summer-time PCTime date Mar 30 2003 1:00 Oct 26 2003 2:00
!
crypto pki trustpoint TP-self-signed-3478884566
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3478884566
 revocation-check none
 rsakeypair TP-self-signed-3478884566
!
crypto pki trustpoint tti
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3478884566
 certificate self-signed 01
  3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33343738 38383435 3636301E 170D3131 30333330 31373033
  35355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 34373838
  38343536 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100ECD3 508B04C4 313D1471 250550A9 CEDB35B4 B1F68024 4B8E7415 E3EDF383
  8DD869AD 234D519F 814C274C 799B7F40 F6028335 1D356008 37FC555A 06DD1769
  6162DD1A 3481A864 9B6A0640 CCD1A017 45C25343 780E8688 BE483FBC 9B10AE29
  6ED7D8D0 471C32BD C3324D4E AE2328FD 855B114B B29E977C 9E5F78F1 4D90ADD5
  13F30203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
  551D1104 18301682 14656D67 6D636166 612E6D63 616D616C 692E6F72 67301F06
  03551D23 04183016 8014F4D7 DC74CF3F 3342BE71 BF0EFD90 A819F59B 7D1C301D
  0603551D 0E041604 14F4D7DC 74CF3F33 42BE71BF 0EFD90A8 19F59B7D 1C300D06
  092A8648 86F70D01 01040500 03818100 5509646A 7020EE8F C878911B FAEE60C8
  38BE8A00 36879ECC AFEF8E64 F010B381 99304BCE 659787C9 CA79E738 5DE6F627
  41BF0C90 7F4FDF8F 373DAE38 C00947A0 59C0EC80 9CE03DD7 D1807D6D 5B2CBB2B
  016D4E50 35C0084E 4F11575D C730C878 F4A70E02 6D21E957 8C614C27 8D47A460
  6B22C7F0 3D78F631 A8255C87 9F83BDCD
        quit
crypto pki certificate chain tti
ip source-route
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.100
ip dhcp excluded-address 192.168.1.200
!
ip dhcp pool fa
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 196.200.80.4 196.200.80.24
   domain-name mcamali.org
   netbios-name-server 192.168.1.1 192.168.1.200
!
!
ip cef
no ip domain lookup
ip domain name noooooooo
ip name-server 196.200.80.4
ip name-server 196.200.80.24
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FTX151000GH
!
!
username cisco privilege 15 secret 5 $1$xpZJ$Zh5BAtZ4mvUmWjjTo3URs1
username vpn-user password 0 vpn-user-pwd
!
!
!
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 13
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key jamanamca address xxxxxxxxx
!
crypto isakmp client configuration group VPNCLIENT
 key zzzzzzzzz
 dns 196.200.80.4 196.200.80.24
 domain xxxxxxxx.org
 pool VPN-CLIENT-POOL
 acl 130
 include-local-lan
 netmask 255.255.255.0
!
!
crypto ipsec transform-set jamana esp-3des esp-md5-hmac
crypto ipsec transform-set VPN-CLIENT esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
 set transform-set VPN-CLIENT
!
!
crypto map mca client authentication list userauthen
crypto map mca isakmp authorization list groupauthor
crypto map mca client configuration address respond
crypto map mca 10 ipsec-isakmp dynamic dynmap
crypto map mca 13 ipsec-isakmp
 set peer 41.73.116.35
 set transform-set jamana
 match address 122
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 ip address xxxxxxxxxxxxx 255.255.255.192
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no keepalive
 crypto map mca
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip local pool VPN-CLIENT-POOL 192.168.1.245 192.168.1.253
ip forward-protocol nd
ip http server
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat pool mcafa xxxxxxxxxxxxx xxxxxxxxxx netmask 255.255.255.192
ip nat inside source route-map nonat pool mcafa overload
ip nat inside source static 192.168.1.200 xxxxxxxx
ip route 0.0.0.0 0.0.0.0 41.221.185.65
!
ip access-list extended filtrage
 permit udp 192.168.1.0 0.0.0.255 any eq domain
 permit tcp 192.168.1.0 0.0.0.255 any eq www
 permit tcp 192.168.1.0 0.0.0.255 any eq 443
 permit tcp 192.168.1.0 0.0.0.255 any eq ftp
 permit tcp 192.168.1.0 0.0.0.255 any eq ftp-data
 permit tcp 192.168.1.0 0.0.0.255 any eq pop3
 permit tcp 192.168.1.0 0.0.0.255 any eq telnet
 permit udp 192.168.1.0 0.0.0.255 any eq bootps
 permit tcp 192.168.1.0 0.0.0.255 any eq 22
!
access-list 121 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 122 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 130 deny   ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 130 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
 
!
!
!
!
route-map nonat permit 10
 match ip address 130
!
!
control-plane
!
banner login ^C
================================================================
                          ROUTEUR MCA_FA
                      ONLY AUTHORIZED USE
 
===============================================================^C
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
end

[Invité]

Deux remarques sur cette config.

1) Access-lists

L'access-list 130 est bien associée au route-map 'nonat' pour gérer le VPN-CLIENT-POOL, donc c'est OK...

L'access-list 122 est utilisée pour déclencher un crypto peer, donc c'est OK...

En revanche...
- l'access-list 121 ne sert à rien... Devrait-elle faire partie de la 122 ?
- et surtout l'access-list extended filtrage n'est associée à aucune interface ! Cette access-list me semble quand même vitale, c'est celle qui définit le type de traffic qui doit être transporté dans le VPN.

J'ai regardé en diagonale la config, a priori vous devriez l'appliquer à l'interface Vlan1 en incoming :

int vlan 1
ip access-group filtrage in

Personnellement, quand je déploie ce type de config, je positionne dans un premier temps tous les access-list à 'permit ip any any'. Ainsi je peux faire des pings, des traceroutes et toutes sortes de connexions IP. Quand tout est OK, je règle un peu plus finement les access-lists, service par service. Comme des petits coups de tournevis pour régler tout ça comme une horloge

Quoi qu'il en soit, interrogez-vous sur vos access-lists et les interfaces où vous les appliquez!

2) Routage

Je vois cette default route

ip route 0.0.0.0 0.0.0.0 41.221.185.65

Est-ce que cette adresse est joignable depuis emgmcafa ?

Enfin, je peux jeter un oeil sur la table de routage de emgmcafa lorsqu'un client est connecté ('sh ip ro'). Si tu acceptes, mieux vaut me l'envoyer par MP. Est-ce que la connexion d'un client génère une host route /32 (ça, c'est juste pour info) ?

Bon courage.

[aguisse5]

bonjour,
En faite l'ACL 121 ne travail pas car je l'avais mis un Pool que j'avais définie pour les remote client croyant que le problème allais être résolue en les mettant dans un réseau différent.
Et pour accès groupe filtrage j'ai déjà essaye ce que tu a suggéré mais c'est toujours la mm chose.
Je veut ajoute que quant le client est connecte les statistique montre "Réseau Local Désactive" alors ce bien coché l'onglé accès au réseau local sur l'interface du client .
je vous est envoyer en MP les accès a mon routeur.

Cordialement.
Informatique Votre.