subject:"Re\: \[FRnOG\] \[TECH\] ACL deny IPSEC Cisco"

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

2016-07-01 Par sujet David Ponzone

> 
> access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 102 permit ip 192.168.2.0 0.0.0.255 any
> 

Ben non Coco!
Là, tu dis à ton Cisco de ne pas envoyer sur Dialer1 ce qui vient de 
192.168.1.0/24 et qui va vers 192.168.0.0/24
C'est l'inverse!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

2016-07-01 Par sujet David Ponzone

Je vois pas pourquoi mais y a un truc qui me turlupine: si tu as des tunnels 
entre ce routeur et l'autre, pourquoi tu fais du NAT sur les Dialer ? Tu peux 
pas passer en mode routé sans NAT ?

David Ponzone



> Le 1 juil. 2016 à 20:03, Sébastien 65 <sebastien...@live.fr> a écrit :
> 
> D'accord, je viens d'essayer une policy-routing mais maintenant je ne ping 
> même plus l'ip lan du routeur depuis le VPN
> 
> 
> interface FastEthernet0/0
> ip address 192.168.1.1 255.255.255.0
> ip policy route-map LAN_101_POLICY
> !
> interface FastEthernet0/1
> ip address 192.168.2.1 255.255.255.0
> ip policy route-map LAN_102_POLICY
> !
> ip nat inside source route-map ISP1_NAT interface Dialer1 overload
> ip nat inside source route-map ISP2_NAT interface Dialer2 overload
> 
> 
> route-map LAN_101_POLICY permit 10
> match ip address 101
> set interface Dialer1
> !
> route-map LAN_102_POLICY permit 10
> match ip address 102
> set interface Dialer2
> !
> route-map ISP1_NAT permit 10
> match ip address NAT_ACL
> match interface Dialer1
> !
> route-map ISP2_NAT permit 10
> match ip address NAT_ACL
> match interface Dialer2
> !
> 
> ip access-list standard NAT_ACL
> permit any
> 
> access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 102 permit ip 192.168.2.0 0.0.0.255 any
> 
> 
> 
> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de David 
> Ponzone <david.ponz...@gmail.com>
> Envoyé : vendredi 1 juillet 2016 19:51:22
> À : Sébastien 65
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
> 
> Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer.
> Pour router d’après la source, c’est policy-routing (ou segmentation en VRF).
> 
> David Ponzone  Direction Technique
> email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr>
> tel:  01 74 03 18 97
> gsm:   06 66 98 76 34
> 
> Service Client IPeva
> tel:  0811 46 26 26
> www.ipeva.fr<http://www.ipeva.fr> <blocked::http://www.ipeva.fr/>  -   
> www.ipeva-studio.com<http://www.ipeva-studio.com> 
> <blocked::http://www.ipeva-studio.com/>
> 
> Ce message et toutes les pièces jointes sont confidentiels et établis à 
> l'intention exclusive de ses destinataires. Toute utilisation ou diffusion 
> non autorisée est interdite. Tout message électronique est susceptible 
> d'altération. IPeva décline toute responsabilité au titre de ce message s'il 
> a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce 
> message, merci de le détruire immédiatement et d'avertir l'expéditeur.
> 
> 
> 
> 
>> Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit :
>> 
>> Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 
>> et le LAN n°2 passe sur le Dialer2.
>> 
>> Donc je n'ai pas besoin de policy-routing non ?
>> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
>> Envoyé : vendredi 1 juillet 2016 19:27:00
>> À : Sébastien 65
>> Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>
>> Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
>> 
>> Je vois pas de policy-routing pour router le paquet sur le bon dialer par 
>> rapport à sa source.
>> Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer.
>> 
>> 
>> 
>>> Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr 
>>> <mailto:sebastien...@live.fr>> a écrit :
>>> 
>>> Bonsoir,
>>> 
>>> J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers 
>>> montent une session vers un autre routeur X (A.B.C.D).
>>> 
>>> Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par 
>>> dialer1) et 192.168.2.0/24 (utilisé par dialer2).
>>> 
>>> Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP 
>>> du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau 
>>> (192.168.1.12).
>>> 
>>> Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", 
>>> je ne comprends pas quelle est cette ACL :(
>>> 
>>> Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est 
>>> bien joignable.
>>> 
>>> crypto map MYMAP 1 ipsec-isakmp
>>> description RemoteSite0Link
>>> set peer A.B.C.D
&

RE: [FRnOG] [TECH] ACL deny IPSEC Cisco

2016-07-01 Par sujet Sébastien 65

D'accord, je viens d'essayer une policy-routing mais maintenant je ne ping même 
plus l'ip lan du routeur depuis le VPN


interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip policy route-map LAN_101_POLICY
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip policy route-map LAN_102_POLICY
!
ip nat inside source route-map ISP1_NAT interface Dialer1 overload
ip nat inside source route-map ISP2_NAT interface Dialer2 overload


route-map LAN_101_POLICY permit 10
 match ip address 101
 set interface Dialer1
!
route-map LAN_102_POLICY permit 10
 match ip address 102
 set interface Dialer2
!
route-map ISP1_NAT permit 10
 match ip address NAT_ACL
 match interface Dialer1
!
route-map ISP2_NAT permit 10
 match ip address NAT_ACL
 match interface Dialer2
!

ip access-list standard NAT_ACL
 permit any

access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any



De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de David 
Ponzone <david.ponz...@gmail.com>
Envoyé : vendredi 1 juillet 2016 19:51:22
À : Sébastien 65
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer.
Pour router d’après la source, c’est policy-routing (ou segmentation en VRF).

David Ponzone  Direction Technique
email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr>
tel:  01 74 03 18 97
gsm:   06 66 98 76 34

Service Client IPeva
tel:  0811 46 26 26
www.ipeva.fr<http://www.ipeva.fr> <blocked::http://www.ipeva.fr/>  -   
www.ipeva-studio.com<http://www.ipeva-studio.com> 
<blocked::http://www.ipeva-studio.com/>

Ce message et toutes les pièces jointes sont confidentiels et établis à 
l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non 
autorisée est interdite. Tout message électronique est susceptible 
d'altération. IPeva décline toute responsabilité au titre de ce message s'il a 
été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, 
merci de le détruire immédiatement et d'avertir l'expéditeur.




> Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit :
>
> Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et 
> le LAN n°2 passe sur le Dialer2.
>
> Donc je n'ai pas besoin de policy-routing non ?
> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
> Envoyé : vendredi 1 juillet 2016 19:27:00
> À : Sébastien 65
> Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
>
> Je vois pas de policy-routing pour router le paquet sur le bon dialer par 
> rapport à sa source.
> Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer.
>
>
>
> > Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr 
> > <mailto:sebastien...@live.fr>> a écrit :
> >
> > Bonsoir,
> >
> > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers 
> > montent une session vers un autre routeur X (A.B.C.D).
> >
> > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par 
> > dialer1) et 192.168.2.0/24 (utilisé par dialer2).
> >
> > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP 
> > du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau 
> > (192.168.1.12).
> >
> > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", 
> > je ne comprends pas quelle est cette ACL :(
> >
> > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est 
> > bien joignable.
> >
> > crypto map MYMAP 1 ipsec-isakmp
> > description RemoteSite0Link
> > set peer A.B.C.D
> > set transform-set vpnset
> > set pfs group5
> > match address listeVPN
> >
> > ip access-list extended listeVPN
> > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> >
> > ip nat inside source list 101 interface Dialer1 overload
> > ip nat inside source list 102 interface Dialer2 overload
> >
> > ip route 0.0.0.0 0.0.0.0 Dialer2
> > ip route 0.0.0.0 0.0.0.0 Dialer1
> >
> > access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> > access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> > access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> > access-list 102 permit ip 192.168.2.0 0.0.0.255 any
> >
> > C'est quoi le remède ? Merci :)
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ <http://www.frnog.org/>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

2016-07-01 Par sujet David Ponzone

Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer.
Pour router d’après la source, c’est policy-routing (ou segmentation en VRF).

David Ponzone  Direction Technique
email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr>
tel:  01 74 03 18 97
gsm:   06 66 98 76 34

Service Client IPeva
tel:  0811 46 26 26
www.ipeva.fr <blocked::http://www.ipeva.fr/>  -   www.ipeva-studio.com 
<blocked::http://www.ipeva-studio.com/>

Ce message et toutes les pièces jointes sont confidentiels et établis à 
l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non 
autorisée est interdite. Tout message électronique est susceptible 
d'altération. IPeva décline toute responsabilité au titre de ce message s'il a 
été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, 
merci de le détruire immédiatement et d'avertir l'expéditeur.




> Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit :
> 
> Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et 
> le LAN n°2 passe sur le Dialer2.
> 
> Donc je n'ai pas besoin de policy-routing non ?
> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
> Envoyé : vendredi 1 juillet 2016 19:27:00
> À : Sébastien 65
> Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>
> Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco
>  
> Je vois pas de policy-routing pour router le paquet sur le bon dialer par 
> rapport à sa source.
> Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer.
> 
> 
> 
> > Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr 
> > <mailto:sebastien...@live.fr>> a écrit :
> > 
> > Bonsoir,
> > 
> > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers 
> > montent une session vers un autre routeur X (A.B.C.D).
> > 
> > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par 
> > dialer1) et 192.168.2.0/24 (utilisé par dialer2).
> > 
> > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP 
> > du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau 
> > (192.168.1.12).
> > 
> > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", 
> > je ne comprends pas quelle est cette ACL :(
> > 
> > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est 
> > bien joignable.
> > 
> > crypto map MYMAP 1 ipsec-isakmp
> > description RemoteSite0Link
> > set peer A.B.C.D
> > set transform-set vpnset
> > set pfs group5
> > match address listeVPN
> > 
> > ip access-list extended listeVPN
> > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> > 
> > ip nat inside source list 101 interface Dialer1 overload
> > ip nat inside source list 102 interface Dialer2 overload
> > 
> > ip route 0.0.0.0 0.0.0.0 Dialer2
> > ip route 0.0.0.0 0.0.0.0 Dialer1
> > 
> > access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> > access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> > access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> > access-list 102 permit ip 192.168.2.0 0.0.0.255 any
> > 
> > C'est quoi le remède ? Merci :)
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ <http://www.frnog.org/>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] ACL deny IPSEC Cisco

2016-07-01 Par sujet Sébastien 65

Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et 
le LAN n°2 passe sur le Dialer2.


Donc je n'ai pas besoin de policy-routing non ?


De : David Ponzone <david.ponz...@gmail.com>
Envoyé : vendredi 1 juillet 2016 19:27:00
À : Sébastien 65
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

Je vois pas de policy-routing pour router le paquet sur le bon dialer par 
rapport à sa source.
Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer.



> Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr> a écrit :
>
> Bonsoir,
>
> J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers montent 
> une session vers un autre routeur X (A.B.C.D).
>
> Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par 
> dialer1) et 192.168.2.0/24 (utilisé par dialer2).
>
> Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP du 
> routeur (192.168.1.1) mais pas celle d'un PC sur le réseau (192.168.1.12).
>
> Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", je 
> ne comprends pas quelle est cette ACL :(
>
> Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est bien 
> joignable.
>
> crypto map MYMAP 1 ipsec-isakmp
> description RemoteSite0Link
> set peer A.B.C.D
> set transform-set vpnset
> set pfs group5
> match address listeVPN
>
> ip access-list extended listeVPN
> permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
>
> ip nat inside source list 101 interface Dialer1 overload
> ip nat inside source list 102 interface Dialer2 overload
>
> ip route 0.0.0.0 0.0.0.0 Dialer2
> ip route 0.0.0.0 0.0.0.0 Dialer1
>
> access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 102 permit ip 192.168.2.0 0.0.0.255 any
>
> C'est quoi le remède ? Merci :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

2016-07-01 Par sujet David Ponzone

Je vois pas de policy-routing pour router le paquet sur le bon dialer par 
rapport à sa source.
Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer.



> Le 1 juil. 2016 à 19:23, Sébastien 65  a écrit :
> 
> Bonsoir,
> 
> J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers montent 
> une session vers un autre routeur X (A.B.C.D).
> 
> Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par 
> dialer1) et 192.168.2.0/24 (utilisé par dialer2).
> 
> Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP du 
> routeur (192.168.1.1) mais pas celle d'un PC sur le réseau (192.168.1.12).
> 
> Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", je 
> ne comprends pas quelle est cette ACL :(
> 
> Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est bien 
> joignable.
> 
> crypto map MYMAP 1 ipsec-isakmp
> description RemoteSite0Link
> set peer A.B.C.D
> set transform-set vpnset
> set pfs group5
> match address listeVPN
> 
> ip access-list extended listeVPN
> permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> 
> ip nat inside source list 101 interface Dialer1 overload
> ip nat inside source list 102 interface Dialer2 overload
> 
> ip route 0.0.0.0 0.0.0.0 Dialer2
> ip route 0.0.0.0 0.0.0.0 Dialer1
> 
> access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> access-list 102 deny   ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255
> access-list 102 permit ip 192.168.2.0 0.0.0.255 any
> 
> C'est quoi le remède ? Merci :)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

RE: [FRnOG] [TECH] ACL deny IPSEC Cisco

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

RE: [FRnOG] [TECH] ACL deny IPSEC Cisco

Re: [FRnOG] [TECH] ACL deny IPSEC Cisco

6 matches

Site Navigation

Mail list logo

Footer information