Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
> > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > Ben non Coco! Là, tu dis à ton Cisco de ne pas envoyer sur Dialer1 ce qui vient de 192.168.1.0/24 et qui va vers 192.168.0.0/24 C'est l'inverse! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
Je vois pas pourquoi mais y a un truc qui me turlupine: si tu as des tunnels entre ce routeur et l'autre, pourquoi tu fais du NAT sur les Dialer ? Tu peux pas passer en mode routé sans NAT ? David Ponzone > Le 1 juil. 2016 à 20:03, Sébastien 65 <sebastien...@live.fr> a écrit : > > D'accord, je viens d'essayer une policy-routing mais maintenant je ne ping > même plus l'ip lan du routeur depuis le VPN > > > interface FastEthernet0/0 > ip address 192.168.1.1 255.255.255.0 > ip policy route-map LAN_101_POLICY > ! > interface FastEthernet0/1 > ip address 192.168.2.1 255.255.255.0 > ip policy route-map LAN_102_POLICY > ! > ip nat inside source route-map ISP1_NAT interface Dialer1 overload > ip nat inside source route-map ISP2_NAT interface Dialer2 overload > > > route-map LAN_101_POLICY permit 10 > match ip address 101 > set interface Dialer1 > ! > route-map LAN_102_POLICY permit 10 > match ip address 102 > set interface Dialer2 > ! > route-map ISP1_NAT permit 10 > match ip address NAT_ACL > match interface Dialer1 > ! > route-map ISP2_NAT permit 10 > match ip address NAT_ACL > match interface Dialer2 > ! > > ip access-list standard NAT_ACL > permit any > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > > > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de David > Ponzone <david.ponz...@gmail.com> > Envoyé : vendredi 1 juillet 2016 19:51:22 > À : Sébastien 65 > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco > > Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer. > Pour router d’après la source, c’est policy-routing (ou segmentation en VRF). > > David Ponzone Direction Technique > email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr> > tel: 01 74 03 18 97 > gsm: 06 66 98 76 34 > > Service Client IPeva > tel: 0811 46 26 26 > www.ipeva.fr<http://www.ipeva.fr> <blocked::http://www.ipeva.fr/> - > www.ipeva-studio.com<http://www.ipeva-studio.com> > <blocked::http://www.ipeva-studio.com/> > > Ce message et toutes les pièces jointes sont confidentiels et établis à > l'intention exclusive de ses destinataires. Toute utilisation ou diffusion > non autorisée est interdite. Tout message électronique est susceptible > d'altération. IPeva décline toute responsabilité au titre de ce message s'il > a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce > message, merci de le détruire immédiatement et d'avertir l'expéditeur. > > > > >> Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit : >> >> Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 >> et le LAN n°2 passe sur le Dialer2. >> >> Donc je n'ai pas besoin de policy-routing non ? >> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>> >> Envoyé : vendredi 1 juillet 2016 19:27:00 >> À : Sébastien 65 >> Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> >> Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco >> >> Je vois pas de policy-routing pour router le paquet sur le bon dialer par >> rapport à sa source. >> Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. >> >> >> >>> Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr >>> <mailto:sebastien...@live.fr>> a écrit : >>> >>> Bonsoir, >>> >>> J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers >>> montent une session vers un autre routeur X (A.B.C.D). >>> >>> Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par >>> dialer1) et 192.168.2.0/24 (utilisé par dialer2). >>> >>> Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP >>> du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau >>> (192.168.1.12). >>> >>> Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", >>> je ne comprends pas quelle est cette ACL :( >>> >>> Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est >>> bien joignable. >>> >>> crypto map MYMAP 1 ipsec-isakmp >>> description RemoteSite0Link >>> set peer A.B.C.D &
RE: [FRnOG] [TECH] ACL deny IPSEC Cisco
D'accord, je viens d'essayer une policy-routing mais maintenant je ne ping même plus l'ip lan du routeur depuis le VPN interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip policy route-map LAN_101_POLICY ! interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip policy route-map LAN_102_POLICY ! ip nat inside source route-map ISP1_NAT interface Dialer1 overload ip nat inside source route-map ISP2_NAT interface Dialer2 overload route-map LAN_101_POLICY permit 10 match ip address 101 set interface Dialer1 ! route-map LAN_102_POLICY permit 10 match ip address 102 set interface Dialer2 ! route-map ISP1_NAT permit 10 match ip address NAT_ACL match interface Dialer1 ! route-map ISP2_NAT permit 10 match ip address NAT_ACL match interface Dialer2 ! ip access-list standard NAT_ACL permit any access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 102 permit ip 192.168.2.0 0.0.0.255 any De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de David Ponzone <david.ponz...@gmail.com> Envoyé : vendredi 1 juillet 2016 19:51:22 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer. Pour router d’après la source, c’est policy-routing (ou segmentation en VRF). David Ponzone Direction Technique email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr> tel: 01 74 03 18 97 gsm: 06 66 98 76 34 Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr<http://www.ipeva.fr> <blocked::http://www.ipeva.fr/> - www.ipeva-studio.com<http://www.ipeva-studio.com> <blocked::http://www.ipeva-studio.com/> Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. > Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit : > > Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et > le LAN n°2 passe sur le Dialer2. > > Donc je n'ai pas besoin de policy-routing non ? > De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>> > Envoyé : vendredi 1 juillet 2016 19:27:00 > À : Sébastien 65 > Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> > Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco > > Je vois pas de policy-routing pour router le paquet sur le bon dialer par > rapport à sa source. > Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. > > > > > Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr > > <mailto:sebastien...@live.fr>> a écrit : > > > > Bonsoir, > > > > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers > > montent une session vers un autre routeur X (A.B.C.D). > > > > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par > > dialer1) et 192.168.2.0/24 (utilisé par dialer2). > > > > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP > > du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau > > (192.168.1.12). > > > > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", > > je ne comprends pas quelle est cette ACL :( > > > > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est > > bien joignable. > > > > crypto map MYMAP 1 ipsec-isakmp > > description RemoteSite0Link > > set peer A.B.C.D > > set transform-set vpnset > > set pfs group5 > > match address listeVPN > > > > ip access-list extended listeVPN > > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > > > ip nat inside source list 101 interface Dialer1 overload > > ip nat inside source list 102 interface Dialer2 overload > > > > ip route 0.0.0.0 0.0.0.0 Dialer2 > > ip route 0.0.0.0 0.0.0.0 Dialer1 > > > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > > > C'est quoi le remède ? Merci :) > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer. Pour router d’après la source, c’est policy-routing (ou segmentation en VRF). David Ponzone Direction Technique email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr> tel: 01 74 03 18 97 gsm: 06 66 98 76 34 Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr <blocked::http://www.ipeva.fr/> - www.ipeva-studio.com <blocked::http://www.ipeva-studio.com/> Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. > Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit : > > Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et > le LAN n°2 passe sur le Dialer2. > > Donc je n'ai pas besoin de policy-routing non ? > De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>> > Envoyé : vendredi 1 juillet 2016 19:27:00 > À : Sébastien 65 > Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> > Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco > > Je vois pas de policy-routing pour router le paquet sur le bon dialer par > rapport à sa source. > Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. > > > > > Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr > > <mailto:sebastien...@live.fr>> a écrit : > > > > Bonsoir, > > > > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers > > montent une session vers un autre routeur X (A.B.C.D). > > > > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par > > dialer1) et 192.168.2.0/24 (utilisé par dialer2). > > > > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP > > du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau > > (192.168.1.12). > > > > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", > > je ne comprends pas quelle est cette ACL :( > > > > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est > > bien joignable. > > > > crypto map MYMAP 1 ipsec-isakmp > > description RemoteSite0Link > > set peer A.B.C.D > > set transform-set vpnset > > set pfs group5 > > match address listeVPN > > > > ip access-list extended listeVPN > > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > > > ip nat inside source list 101 interface Dialer1 overload > > ip nat inside source list 102 interface Dialer2 overload > > > > ip route 0.0.0.0 0.0.0.0 Dialer2 > > ip route 0.0.0.0 0.0.0.0 Dialer1 > > > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > > > C'est quoi le remède ? Merci :) > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] ACL deny IPSEC Cisco
Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et le LAN n°2 passe sur le Dialer2. Donc je n'ai pas besoin de policy-routing non ? De : David Ponzone <david.ponz...@gmail.com> Envoyé : vendredi 1 juillet 2016 19:27:00 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco Je vois pas de policy-routing pour router le paquet sur le bon dialer par rapport à sa source. Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. > Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr> a écrit : > > Bonsoir, > > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers montent > une session vers un autre routeur X (A.B.C.D). > > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par > dialer1) et 192.168.2.0/24 (utilisé par dialer2). > > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP du > routeur (192.168.1.1) mais pas celle d'un PC sur le réseau (192.168.1.12). > > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", je > ne comprends pas quelle est cette ACL :( > > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est bien > joignable. > > crypto map MYMAP 1 ipsec-isakmp > description RemoteSite0Link > set peer A.B.C.D > set transform-set vpnset > set pfs group5 > match address listeVPN > > ip access-list extended listeVPN > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > ip nat inside source list 101 interface Dialer1 overload > ip nat inside source list 102 interface Dialer2 overload > > ip route 0.0.0.0 0.0.0.0 Dialer2 > ip route 0.0.0.0 0.0.0.0 Dialer1 > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > C'est quoi le remède ? Merci :) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
Je vois pas de policy-routing pour router le paquet sur le bon dialer par rapport à sa source. Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. > Le 1 juil. 2016 à 19:23, Sébastien 65a écrit : > > Bonsoir, > > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers montent > une session vers un autre routeur X (A.B.C.D). > > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par > dialer1) et 192.168.2.0/24 (utilisé par dialer2). > > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP du > routeur (192.168.1.1) mais pas celle d'un PC sur le réseau (192.168.1.12). > > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", je > ne comprends pas quelle est cette ACL :( > > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est bien > joignable. > > crypto map MYMAP 1 ipsec-isakmp > description RemoteSite0Link > set peer A.B.C.D > set transform-set vpnset > set pfs group5 > match address listeVPN > > ip access-list extended listeVPN > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > ip nat inside source list 101 interface Dialer1 overload > ip nat inside source list 102 interface Dialer2 overload > > ip route 0.0.0.0 0.0.0.0 Dialer2 > ip route 0.0.0.0 0.0.0.0 Dialer1 > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > C'est quoi le remède ? Merci :) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] ACL deny IPSEC Cisco
Bonsoir, J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers montent une session vers un autre routeur X (A.B.C.D). Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par dialer1) et 192.168.2.0/24 (utilisé par dialer2). Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau (192.168.1.12). Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", je ne comprends pas quelle est cette ACL :( Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est bien joignable. crypto map MYMAP 1 ipsec-isakmp description RemoteSite0Link set peer A.B.C.D set transform-set vpnset set pfs group5 match address listeVPN ip access-list extended listeVPN permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 ip nat inside source list 101 interface Dialer1 overload ip nat inside source list 102 interface Dialer2 overload ip route 0.0.0.0 0.0.0.0 Dialer2 ip route 0.0.0.0 0.0.0.0 Dialer1 access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 102 permit ip 192.168.2.0 0.0.0.255 any C'est quoi le remède ? Merci :) --- Liste de diffusion du FRnOG http://www.frnog.org/