Je travaille sur ce scénario:
http://bmigette.fr/wp-content/uploads/2009/12/topo.png
les configs complètes sont dispo ici:
http://bmigette.fr/2009/12/13/iscw-lab- ... te-access/
mais en l'occurence, seuls les 3 routeurs RTRDT, BBR1, et RTL1 vont nous interesser.
En gros RTRDT et BBR1 sont reliés en fast ethernet, et BBT1<=>RTL1 en ATM:
- Code: Select all
!RTL1
interface ATM1/0
ip address 100.0.2.2 255.255.255.0
no atm ilmi-keepalive
!
interface ATM1/0.1 point-to-point
no snmp trap link-status
pvc 20/200
encapsulation aal5snap
!
!BBR1
interface ATM2/0
ip address 100.0.2.1 255.255.255.0
pvc 10/100
encapsulation aal5snap
!
le ping passe entre RTL1 et BBR1
J'ai mis le nat sur RTL1 (c'est censé être le routeur d'un particulier).
- Code: Select all
RTL1(config-if)#int atm1/0
RTL1(config-if)#ip nat outside
RTL1(config-if)#int f0/0
RTL1(config-if)#ip nat inside
RTL1(config-if)#exit
RTL1(config)#access-list 1 permit 192.168.0.0 0.0.0.255
RTL1(config)#ip nat inside source list 1 int atm1/0 overload
J'ai fait une ptite conf VPN (pas toute petite d'ailleurs):
- Code: Select all
!aaa
RTRDT(config)#aaa new-model
RTRDT(config)#aaa authorization network remote_vpn local
RTRDT(config)#aaa authentication login remote_vpn local
!IPSEC transform set et profile
RTRDT(config)#crypto ipsec transform-set rvpn_tset esp-aes esp-sha-hmac
RTRDT(cfg-crypto-trans)#exit
RTRDT(config)#crypto ipsec profile rvpn_ipsec_profile
RTRDT(ipsec-profile)#set transform-set rvpn_tset
RTRDT(ipsec-profile)#set isakmp-profile rvpn_profile ! optionnel
!group VPN
RTRDT(config)#crypto isakmp client configuration group remote_users
RTRDT(config-isakmp-group)#key vpnp4$$
RTRDT(config-isakmp-group)#pool remote_vpn_pool
RTRDT(config-isakmp-group)#domain corp.lan
RTRDT(config-isakmp-group)#acl splitacl
RTRDT(config-isakmp-group)#exit
!ACL
RTRDT(config)#ip access-list
RTRDT(config-std-nacl)#permit 10.0.0.0 0.0.0.255
RTRDT(config-std-nacl)#exit
!user
RTRDT(config)#username remote_user password cisco
!pool
RTRDT(config)#ip local pool remote_vpn_pool 10.11.0.2 10.11.0.254
!Profile ISAKMP
RTRDT(config)#crypto isakmp profile rvpn_profile
% A profile is deemed incomplete until it has match identity statements
RTRDT(conf-isa-prof)#match identity group remote_users
RTRDT(conf-isa-prof)#client configuration address respond
RTRDT(conf-isa-prof)#virtual-template 1
RTRDT(conf-isa-prof)#client authentication list remote_vpn
RTRDT(conf-isa-prof)#isakmp authorization list remote_vpn
RTRDT(conf-isa-prof)#exit
!policy isakmp
RTRDT(config)#crypto isakmp p
RTRDT(config-isakmp)#auth pre-share
RTRDT(config-isakmp)#hash sha
RTRDT(config-isakmp)#encr aes
RTRDT(config-isakmp)#group 2
RTRDT(config-isakmp)#exit
!création du template de tunnel
RTRDT(config)#interface virtual-template 1 type tunnel
RTRDT(config-if)#tunnel mode ipsec ipv4
RTRDT(config-if)#tunnel protection ipsec profile rvpn_ipsec_profile
RTRDT(config-if)#ip mtu 1460
RTRDT(config-if)#ip unnumbered F0/1
RTRDT(config-if)#tunnel source F0/1
tout fonctionne, mon VPN monte, il y a bien le nat-T activé:
- Code: Select all
RTRDT#sh crypto ipsec sa peer 100.0.2.2 | i settings
in use settings ={Tunnel UDP-Encaps, }
in use settings ={Tunnel UDP-Encaps, }
par contre lorsque je tente de pinguer depuis mon poste en VPN la loopback de mon routeur BBR, le ping arrive bien (je pingue la loopback de RTRDT), est routé, mais ne reviens jamais au router RTL1. Je suspecte une erreur sur dynagen, car apparement la gestion d'ATM est un peu bizarre.
Bref j'ai floodé avec des pings, j'ai mis un debug ip nat sur mon routeur RTL1 qui me renvoi ceci:
dans les debugs:
192.168.0.1 = inside local PC VPN
100.0.2.2 Inside Global PC VPN.
10.11.0.2 = IP Interface VPN PC
10.0.0.1 = Loop0 RTRDR
100.0.0.2 = IP RTRDT
- Code: Select all
*Dec 30 02:16:15.927: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1337]
RTL1#
*Dec 30 02:16:17.051: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1338]
RTL1#
*Dec 30 02:16:18.095: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1339]
RTL1#
*Dec 30 02:16:19.247: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1340]
RTL1#
*Dec 30 02:16:20.355: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1341]
RTL1#
*Dec 30 02:16:21.415: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1342]
RTL1#
*Dec 30 02:16:22.511: NAT*: s=192.168.0.1->100.0.2.2, d=100.0.0.2 [1343]
les pings sont donc nattés.
au niveau de BBR1:
- Code: Select all
RTRDT#sh access-l
Extended IP access list 101
10 permit icmp any any
RTRDT#deb ip packet 101
IP packet debugging is on for access list 101
*Mar 1 00:09:37.935: IP: tableid=0, s=10.11.0.2 (Virtual-Access2), d=10.0.0.1 (Loopback0), routed via RIB
*Mar 1 00:09:37.935: IP: s=10.11.0.2 (Virtual-Access2), d=10.0.0.1, len 28, rcvd 4
*Mar 1 00:09:37.935: IP: tableid=0, s=10.0.0.1 (local), d=10.11.0.2 (Virtual-Access2), routed via FIB
*Mar 1 00:09:37.935: IP: s=10.0.0.1 (local), d=10.11.0.2 (Virtual-Access2), len 28, sending
RTRDT#deb ip icmp
ICMP packet debugging is on
RTRDT#
*Mar 1 00:09:42.443: ICMP: echo reply sent, src 10.0.0.1, dst 10.11.0.2
*Mar 1 00:09:43.399: ICMP: echo reply sent, src 10.0.0.1, dst 10.11.0.2
RTRDT#sh ip route | i Access
S 10.11.0.2/32 [1/0] via 0.0.0.0, Virtual-Access2
les pings sont bien reçu et sont apparement routés, mais ne sont pas vu par RTL1, ou alors sont droppés au niveau de ce routeur. Quelqu'un aurait-il une idée, ai-je oublié quelque chose, ou bien pensez vous que cela viens de dynagen ?
Le debug ip packet ne fonctionne pas avec le nat sur RTL1, avez vous une autre idée pour déboguer efficacement et voir si les pings retours arrivent ?
