Bonjour à tous, Nous souhaiterions mettre en place un routeur VPN mutualisé à l'aide de VFR sur un routeur cisco 7200 + carte VPN VAM+
L'objectif est de fournir un ensemble ( l2tp/ipsec et/ou gre/ipsec ) séparé à nos clients, sans être obligés d'utiliser autant de routeur physique qu'il y a de client. Chaque client dispose entre autre, dans son VRF, d'une interface loopback avec une ip publique qui lui est dédiée. Les tunnels site à site en gre fonctionnent. Ils ont comme source l'interface loopback dédiée au client et le cryptage se fait à l'aide de la commande "tunnel protection ipsec profile" dans l'interface tunnel. Du côté de la partie l2tp/ipsec par contre, pas moyen d'avoir quelque chose qui fonctionne. Le problème commence au niveau des crypto map dynamiques. Ils sont habituellement à appliquer sur l'interface physique. Mais comme on n'a le droit qu'un à seul crypto map avec un seul "local-address" par crypto map, ça ne permet pas la mise en service du système ( erreur "invalid local address" au moment de la mise en place d'ipsec ). Nous avons essayé de passer par un profil isakmp et l'option "l2tp sercurity crypto-profile" dans le groupe vpdn , mais la aussi "invalid local address" au niveau de la couche ipsec , même en indiquant "local-interface" dans le profile isakmp. Si on applique un crypto map spécifique avec un "local-address" qui correspond à chaque interface loopback , on a le compteur "decaps" qui tourne (au niveau du show crypro ipsec sa ) mais il n'y a pas d"encaps" et le trafic sortant L2TP semble être envoyé en clair puis ce que routé vers l'interface physique dans passer par la loopback sur laquelle est attaché le crypto map. Nous avons essayé de forcer un routage par l'interface loopback à l'aide d'un "ip local policy". Les compteurs "encaps" semblent tourner, mais ça ne fonctionne toujours pas (la partie l2tp et/ou ppp ne semble pas se mettre en place). Partant du principe qu'on pourrait, dans l'absolu, faire arriver toutes les connexions l2tp/ipsec sur l'ip de l'interface physique du routeur, pas moyen, ensuite, de "placer" les utilisateurs dans le bon vrf, puis ce qu'ils arrivent tous dans le même vpdn-group. On a regarder pour créer des identifiants avec un @domain, mais la distinction ne semble pouvoir être mise en place que sur un LAC. Et pas moyen de trouver non plus une solution du côté d'attributs RADIUS pour placer l'utilisateur dans son VFR. Merci pour votre aide Cyrille / DSOFT - HR Net rillo...@gmail.com 06 64 93 20 81 -- __________________________ Cyrille KISLIG DSOFT Informatique 2-4, Rue Jean Lamour 54630 Richardmenil Tél : 03 83 25 20 20 Fax : 03 83 25 26 80 kis...@dsoft.fr __________________________ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
