Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Problème VPN site à site via une connexion ADSL

Bonjour à tous,

J'ai un petit problème pour connecter en VPN un modem/routeur CISCO 887 VA-W-E-K9 à un WRV210. Mes réseaux internes fonctionnent bien, les connexions ADSL aussi.

J'arrive à créer une liaison VPN entre les 2 routeurs étant donné que je vois sur le WRV210 que l'état du tunnel est connecté. (Pas de message d'erreur dans les logs). Cependant ils ne communiquent pas. Lorsque j’essaie de pinger du router 887 vers l'autre réseau interne ça ne fonctionne pas, et vise versa.

Voici ma configuration du CISCO 887 :

[code:1:5b5c4d29dc]
Building configuration...

Current configuration : 2989 bytes
!
! Last configuration change at 15:08:03 UTC Sun Nov 18 2012
! NVRAM config last updated at 00:04:33 UTC Sun Nov 18 2012
! NVRAM config last updated at 00:04:33 UTC Sun Nov 18 2012
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname LEHAVRE
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXXXXXXX
enable password 7 XXXXXXXX
!
no aaa new-model
crypto pki token default removal timeout 0
!
!
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 192.168.1.103
!
ip dhcp pool DHCP_LEHAVRE
network 192.168.10.0 255.255.255.0
default-router 192.168.10.103
dns-server 192.168.10.103
domain-name lehavre.local
!
!
ip domain name lehavre.local
no ipv6 cef
!
!
license udi pid C887VA-W-E-K9 sn FCZ1644C0U0
!
!
username LeHavre privilege 15 secret 4 XXXXXXXX
!
!
!
!
controller VDSL 0
!
ip ssh version 2
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key XXXXXXXX address 82.101.5.XXX
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 82.101.5.XXX
set transform-set TS
match address VPN-TRAFFIC
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
crypto map CMAP
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
no fair-queue
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
shutdown
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Embedded Service module interface to manage the embedded AP
no ip address
shutdown
!
interface Vlan1
ip address 192.168.10.103 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname fti/XXXXXXX
ppp chap password 7 XXXXXXXX
ppp ipcp dns request
ppp ipcp route default
crypto map CMAP
!
no ip forward-protocol nd
ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip access-list extended VPN-TRAFFIC
permit ip 192.168.10.0 0.0.0.255 192.168.101.0 0.0.0.255
!
access-list 1 permit any
!
!
!
!
snmp-server community public RO
!
line con 0
password 7 XXXXXXX
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
stopbits 1
line vty 0 4
password 7 XXXXXXXXX
login local
transport input ssh
!
scheduler allocate 20000 1000
end
[/code:1:5b5c4d29dc]


Pour info :

[code:1:5b5c4d29dc]
LEHAVRE#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
92.132.127.XXX 82.101.5.XXX QM_IDLE 2013 ACTIVE

IPv6 Crypto ISAKMP SA
[/code:1:5b5c4d29dc]

[code:1:5b5c4d29dc]
LEHAVRE#ping 192.168.101.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.101.250, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
[/code:1:5b5c4d29dc]

Un petit peu d'aide serai la bienvenue. Merci BEAUCOUP d'avance.
bonjour,

Ayant déjà pas mal travaillé avec du matériel CISCO Séries 8xx je te donnes ici quelques petits conseils qui pourront peut être t'aider à dépatouiller ton problème.

Le premier concerne ta route par défaut :

de mémoire la série 800 fonctionnait mal lorsqu'on lui indique une route par une interface dialer. il fallait lui indiquer l'adresse IP du prochain saut, cependant dans ton cas comme tu est client DHCP je crains que cela ne pose un problème.

Autre point, qui concerne la configuration d'une interface dialer, il te faut une commande dialer-group comme tu l'as mise cependant cette commande est liée à une autre commande en conf générale qui est :
Dialer-List 1 protocole IP Permit
hors j'ai beau regarder ta conf je ne trouve pas cette commande.

voila j'éspère que ces conseils pourront t'aider à résoudre ton problème.

tibo
Bonjour,

Merci pour ta réponse.

Effectivement j'avais oublié de remettre : [code:1:dd234e9db1]dialer-list 1 protocol ip permit [/code:1:dd234e9db1]
Mais ça ne fonctionne pas plus.


Concernant la route pas défaut vers Dialer0 je ne vois pas bien comment je peux faire autrement. Etant donné mon vlan1 doit pouvoir accéder à Internet et j'aimerai qu'il puisse également accéder au Lan distant.

J'avoue être complétement bloqué sur le sujet, mes recherche ne donne rien, mais j'espère quand même qu'il y a une solution, ça ne parait pas être impossible ce que j’essaie de faire.

Je suis ouvert à toutes aides et propositions.
ip access-list extended PERMIT-NAT
deny ip 192.168.10.0 0.0.0.255 192.168.101.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any
!
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
route-map SDM_RMAP_1 permit 1
match ip address PERMIT-NAT
!

Maintenant tout marche nickel!