RE: [FRnOG] [TECH] Aide VPN distant sur Cisco881
> André DU a écrit : > J'ai mis en place la configuration ci-dessous sur un cisco 881. J'arrive bien > à me connecter et accéder à notre serveur depuis le VPN. Sans relation avec ton problème, et c'est du boulot, mais je te conseille de laisser tomber les crypto-map. Cà fait longtemps que c'est démodé et çà n'a jamais bien marché avec NAT. Un exemple de configuration plus moderne ici : https://confusticate.com/2015/12/27/basic-road-warrior-vpn-using-a-cisco-router.html > Avec cette configuration je n'arrive pas à sortir sur internet, ou est mon > erreur ? C'est quoi l'autre coté, c'est quoi l'IP qu'il obtient, et est-ce que la route par défaut vers le VPN est installée (traceroute s'arrête ou ?) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Aide VPN distant sur Cisco881
Déjà, il te manquerait pas un: access-list 111 permit ip 192.168.1.0 0.0.0.255 any ? Je pratique peu les VPN IPsec Cisco car c’est trop complexe et peu lisible à mon goût. Ce que je sais c’est qu’un paquet sera éventuellement NATé s’il sort par une interface « ip nat outside » seulement s’il est passé avant par une interface « ip nat inside » . Dans le cas d’un paquet qui vient d’un VPN IPsec, je ne sais pas s’il est passé par ton interface Vlan1. J’en doute en fait. > Le 21 mars 2020 à 12:37, André DU a écrit : > > Bonjour, > > > J'ai mis en place la configuration ci-dessous sur un cisco 881. J'arrive bien > à me connecter et accéder à notre serveur depuis le VPN. > > Je voudrais maintenant sortir sur internet avec l'ip de notre routeur cisco > 881 car nous avons une application qui n'est autorisée que depuis notre > réseau/ip WAN du cisco881. > > Avec cette configuration je n'arrive pas à sortir sur internet, ou est mon > erreur ? > > > aaa new-model > aaa authentication login userauthen local > aaa authorization network groupauthor local > aaa session-id common > ! > username vpnuser password XXX > ! > crypto isakmp policy 3 > encr 3des > authentication pre-share > group 2 > ! > crypto isakmp client configuration group vpnclient > key X > dns 192.168.10.250 > domain test.local > pool ippool > acl 101 > ! > crypto ipsec transform-set myset esp-3des esp-md5-hmac > ! > crypto dynamic-map dynmap 10 > set transform-set myset > reverse-route > ! > crypto map clientmap client authentication list userauthen > crypto map clientmap isakmp authorization list groupauthor > crypto map clientmap client configuration address respond > crypto map clientmap 10 ipsec-isakmp dynamic dynmap > ! > interface vlan1 > description LAN interface > ip address 192.168.10.1 255.255.255.0 > ip nat inside > ! > interface FastEthernet4 > description WAN interface > ip address X.X.X.X 255.255.255.252 > ip nat outside > ip virtual-reassembly > duplex auto > speed auto > crypto map clientmap > ! > ip local pool ippool 192.168.1.1 192.168.1.100 > ! > ip nat inside source list 111 interface FastEthernet4 overload > ! > access-list 10 remark Permittable Subnet To Access > access-list 10 permit 192.168.10.0 0.0.0.255 > access-list 10 permit 192.168.1.0 0.0.0.255 > ! > access-list 111 remark NAT for Internet Traffic Only > access-list 111 deny ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 > access-list 111 permit ip 192.168.10.0 0.0.0.255 any > ! > access-list 101 remark No NAT for VPN traffic > access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 > ! > > Merci et bon courage pour la suite !! --- Liste de diffusion du FRnOG http://www.frnog.org/
