Hello Anto, J'ai repris ta conf, et j'ai mis mes commentaires sous la forme : # .... commentaire... J'espere avoir vu tous les elements, mais il est possible qu'il reste qq points a revoir.
Paul ! CONF SITE A - routeur pour la sortie WAN ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 5 crypto isakmp key PASSWORD address X.X.X.B crypto isakmp invalid-spi-recovery ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpnset esp-3des esp-sha-hmac mode tunnel crypto ipsec df-bit clear ! crypto ipsec profile VPN set transform-set vpnset ! interface Loopback0 description TEST LAN SITE A ip address 192.168.1.254 255.255.255.0 ip nat inside # # Non, pas de raison de faire du ip nat inside ici # ip virtual-reassembly in ! interface Tunnel0 description * VPN vers Site B - 192.168.0.x * ip unnumbered Loopback0 ip mtu 1446 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1406 tunnel source FastEthernet4 tunnel mode ipsec ipv4 tunnel destination X.X.X.B tunnel protection ipsec profile VPN ! interface FastEthernet4 description WAN INTERCO ip address A.A.A.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex full speed 100 ! ip nat inside source list 100 interface FastEthernet4 overload # # Non, pas necessaire. # ip nat inside source list 101 interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 FastEthernet4 # # Non, tu mets # ip route 0.0.0.0 0.0.0.0 A.A.A.2 # puisque sur Fa4 tu as # ip address A.A.A.1 255.255.255.252 # ip route 192.168.0.0 255.255.255.0 Tunnel0 ! access-list 100 permit ip A.A.A.1 0.0.0.3 any # # Voir plus haut, access-list 100 inutile # access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit ip 192.168.0.0 0.0.0.255 any # # Pourquoi tu as 192.168.1.0 dans ton ACL ? # Sauf si tu as besoin de suivre les compteurs par /24, tu peux # mettre # access-list 101 permit ip 192.168.0.0 0.0.1.255 any # ! ! CONF SITE B ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 5 crypto isakmp key PASSWORD address X.X.X.A crypto isakmp invalid-spi-recovery ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set vpnset esp-3des esp-sha-hmac mode tunnel crypto ipsec df-bit clear ! crypto ipsec profile VPN set transform-set vpnset ! interface Loopback0 description IP PUB WAN ip address X.X.X.B 255.255.255.255 ! interface Tunnel0 description * VPN vers Site A - 192.168.1.x * ip unnumbered GigabitEthernet0/0 ip mtu 1446 ip tcp adjust-mss 1406 tunnel source Loopback0 tunnel mode ipsec ipv4 tunnel destination X.X.X.A tunnel protection ipsec profile VPN ! interface GigabitEthernet0/0 description LAN SITE B ip address 192.168.0.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside # # Non, voir plus bas # ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/1 description WAN INTERCO ip address B.B.B.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside # # Non, voir plus bas # ip virtual-reassembly in duplex full speed 100 ! ip nat inside source list 100 interface Loopback0 overload # # Non, voir plus bas # ip nat inside source list 101 interface Tunnel0 overload # # Non, voir plus bas # ip route 0.0.0.0 0.0.0.0 192.168.1.254 ip route X.X.X.A 255.255.255.255 GigabitEthernet0/1 # # Non, met plutot # ip route X.X.X.A 255.255.255.255 B.B.B.2 # ip route 192.168.1.0 255.255.255.0 Tunnel0 ! access-list 100 permit ip B.B.B.1 0.0.0.3 any # # Non, voir plus bas # access-list 101 permit ip 192.168.0.0 0.0.0.255 any # # Non, voir plus bas # OK, je reviens sur le NAT du routeur B... A quoi sert-il ? En effet, le traffic du routeur B qui serait concerne par le NAT est celui qui part dans le tunnel vers le routeur A qui fait du NAT de son cote. Donc, sauf erreur de comprehension de ma part de ton setup, tu n'as pas besoin de faire du NAT sur le routeur B. Paul --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
