Discussion :

[Korrigan5]

Bonsoir,

J'ai un petit problème réseau, je vous fait un petit schéma c'est plus parlant.



J'essaie d'établir une communication entre le réseau 1 et 3
Jusque là, j'ai réussi à faire la liaison VPN entre le réseau 1 et 2, tout fonctionne bien entre ces 2 réseaux.
J'ai accès à la configuration des routeurs 1 et 2 mais pas au 3, ces routeurs sont des Cisco que je configure avec le logiciel Cisco CP
Le problème c'est que le routeur 3 ne laisse passer le trafic qu'en provenance du réseau 2 (192.168.2.0) et donc le réseau 1 ne peut pas y accéder.
Je vois bien qu'il me manque un truc pour réaliser la communication entre le réseau 1 et 3 mais je ne sais pas trop quoi. Il faut comme une sorte de NAT sur le routeur 2 afin de changer l'adresse source des paquets ip en provenance du réseau 1 avec une adresse du réseau 2 ...
Est-ce que quelqu'un à une idée ?
Merci d'avance

[Invité]

Salut,

il faut terminer le boulot avec une ou deux routes statiques...

Peux-tu donner les tables de routage des 3 routeurs ?

Steph

[Korrigan5]

Le routeur 1 ne possède qu'une seule route, la route par défaut vers l'interface WAN, ce routeur ne sert qu'a connecter le réseau local 1 sur Internet et le VPN

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ip route 0.0.0.0 0.0.0.0 X.X.X.X permanent

Le routeur 2 à une route par défaut sur Internet et j'ai ajouté une 2ème route pour router le traffic vers le réseau 3 sur l'interface du routeur 3 (192.168.2.250)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y permanent
ip route 192.168.3.0 0.0.0.255 192.168.2.250 permanent

Pour le routeur 3 je n'ai pas accès à sa table de routage.
Je sais juste qu'il ne laisse passer la communication que entre des adresses du réseau 2 et 3.

[Invité]

Alors oui, si tu n'as pas accès au routeur 3, ou si tu ne peux pas demander à son admin de lui entrer une route statique pour joindre le réseau 192.168.1.0/24, il te faudra un "artifice" pour forwarder le traffic entre 192.168.1.0/24 et 192.1.68.3.0/24.

Il faudra configurer l'interface 192.168.2.X/24 du routeur 2 en NAT overload.

Quel est le modèle de routeur ? Sa version ?

Steph

[Korrigan5]

Le routeur 2 est un Cisco 1921 en version 15.1

[Invité]

Il y a des exemples de NAT overload sur le site de Cisco.

Si tu attaches le 'sh run', je peux jeter un oeil.

Steph

[Korrigan5]

Bonjour,

J'ai ajouté un static sur le routeur 2 je ne sais pas si c'est bien cela qu'il faut.
Mes paquets semblent passés jusqu'au réseau 3 lorsque je fait un ping depuis le réseau 1 mais la réponse du ping semble rester coincé sur le réseau 2 ...

je laisse un extrait de la running

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
crypto isakmp policy 3
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 28800
!
crypto isakmp key xxxxxxxxxxxxxxxxxxxxxxx address X.X.X.X
!
!
crypto ipsec transform-set ESP_3DES_MD-5 esp-3des esp-md5-hmac 
crypto ipsec df-bit clear
!
crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Tunnel toX.X.X.X
 set peer X.X.X.X
 set transform-set ESP_3DES_MD-5 
 match address 100
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description $FW_OUTSIDE$$ETH-WAN$
 ip address Y.Y.Y.Y 255.255.255.248
 ip dns view-group Z.Z.Z.Z
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map SDM_CMAP_1
!
interface GigabitEthernet0/1
 description $ES_LAN$$FW_INSIDE$$ETH-LAN$
 ip address 192.168.2.254 255.255.255.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no mop enabled
 !
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
ip flow-top-talkers
 top 5
 sort-by bytes
!
ip nat inside source route-map SDM_RMAP_3 interface GigabitEthernet0/0 overload
ip nat outside source static network 192.168.1.1 192.168.2.254 /32
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y permanent
ip route 192.168.3.0 255.255.255.0 GigabitEthernet0/1 192.168.2.250 permanent
!
logging history size 250
access-list 100 remark CCP_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 145 permit udp host X.X.X.X host Y.Y.Y.Y eq non500-isakmp
access-list 145 permit udp host X.X.X.X host Y.Y.Y.Y eq isakmp
access-list 145 permit esp host X.X.X.X host Y.Y.Y.Y
access-list 145 permit ahp host X.X.X.X host Y.Y.Y.Y
access-list 145 deny   ip any 192.168.1.0 0.0.0.255
access-list 145 deny   ip any 192.168.3.0 0.0.0.255
access-list 145 deny   ip any 192.168.2.0 0.0.0.255
access-list 145 permit ip any any
!
!
route-map SDM_RMAP_3 permit 1
 match ip address 145

[Invité]

Le problème, c'est que l'interface Gi0/1 de routeur 2 est déjà configurée en nat inside. C'est donc peine perdue de vouloir faire du NAT overload sur cette même interface... Une interface routée est soit inside, soit outside, pas les 2 en même temps.

Sans indiscrétion, pourquoi l'admin de routeur 3 refuserait de créer cette route ?

Steph

[Korrigan5]

En fait le réseau 3 est le réseau de notre client, auquel doivent accéder les réseau 1 et 2 mais pour des raisons de sécurité obscures ils refusent de laisser 2 plages d'adresses traverser le routeur 3 ...

Autrement je pensais ré adresser le réseau 2 192.168.2.0/24 en 192.168.2.0/25
puis sur le routeur 1 faire une translation d'adresse du réseau 1 192.168.1.0/24 vers 192.168.2.128/25 (nat inside) lors de la communication au travers du VPN. Comme cela les postes du réseau 1 seront vu par le réseau 2 et le routeur 3 comme 192.168.2.X et normalement le routeur 3 laisse passer le trafic des adresses en 192.168.2.X.
Est-ce que ce genre de choses est possible ?

[Invité]

Autrement je pensais ré adresser le réseau 2 192.168.2.0/24 en 192.168.2.0/25
puis sur le routeur 1 faire une translation d'adresse du réseau 1 192.168.1.0/24 vers 192.168.2.128/25 (nat inside) lors de la communication au travers du VPN. Comme cela les postes du réseau 1 seront vu par le réseau 2 et le routeur 3 comme 192.168.2.X et normalement le routeur 3 laisse passer le trafic des adresses en 192.168.2.X.
Est-ce que ce genre de choses est possible ?

Oui, je pense que c'est possible.

EDIT : je viens de penser à une chose en relisant ce fil
Dans l'IOS Cisco, la translation inside-outside intervient avant l'envoi des données dans le crypto-engine. Il faudra donc inclure une ligne supplémentaire dans ton access-list qui définit le traffic éligible pour l'encryption. Quelque chose du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Steph