Bonjour à tous,
 
Nouveau sur ce site, j’espère que vous pourrez m'aider à comprendre et corriger mon problème.
Je suis responsable informatique d'une entreprise avec plusieurs site distant. Nous avons depuis peu changer les connexions internet ainsi que les routeurs.
Depuis 6 ans je n'ai pas configurer de routeur et encore moins de VPN. Après pas mal de recherche, j'ai réussi à configurer les connexions internet ainsi que le VPN en PPTP client. Mon problème restant est la configuration du VPN  de gateway à gateway.  
Ma configuration est la suivante.  
Sur notre site de tours nous avons une liaison SDSL avec un modem configurer et géré par l'entreprise extérieur. Nous avons donc installer un routeur CISCO Small Business RV042G.  
Voici sa configuration :
 
Tunnel No.  1
Tunnel Name : ---
Interface :  WAN1
Enable  
 
Local Group Setup
 
Local Security Gateway Type : IP ONLY
IP Address :  217.............
Local Security Group Type : Subnet
IP Address : 192.168.1.0  
Subnet Mask : 255.255.255.0
 
Remote Group Setup
 
Remote Security Gateway Type :  Ip Only
IP adresse : 85..........
Remote Security Group Type : Subnet
IP Address : 192.168.3.0
Subnet Mask : 255.255.255.0
IPSec Setup
 
Keying Mode : IKE with preshared key  
Phase 1 DH Group : Group1 - 768bit
Phase 1 Encryption : DES
Phase 1 Authentication : MD5
Phase 1 SA Life Time : 28800 seconds
Perfect Forward Secrecy : oui
 
Phase 2 DH Group : Group1 - 768bit
Phase 2 Encryption : DES
Phase 2 Authentication : MD5  
Phase 2 SA Life Time :  3600 seconds
Preshared Key :  blabla
 
 
Pour la connexion de Nantes, nous avons une connexion numéricable, leur modem/routeur est configuré en modem uniquement. Nous avons donc mis un routeur identique CISCO Small Business RV042G.
 
Voici sa configuration :
 
Tunnel No.  1
Tunnel Name : ---
Interface :  WAN1
Enable  
 
Local Group Setup
 
Local Security Gateway Type : IP ONLY
IP Address :  192.168.2.254 (adresse de la patte du modem numéricable)
Local Security Group Type : Subnet
IP Address : 192.168.3.0  
Subnet Mask : 255.255.255.0
 
Remote Group Setup
 
Remote Security Gateway Type :  Ip Only
IP adresse : 217..........
Remote Security Group Type : Subnet
IP Address : 192.168.1.0
Subnet Mask : 255.255.255.0
IPSec Setup
 
Keying Mode : IKE with preshared key  
Phase 1 DH Group : Group1 - 768bit
Phase 1 Encryption : DES
Phase 1 Authentication : MD5
Phase 1 SA Life Time : 28800 seconds
Perfect Forward Secrecy : oui
 
Phase 2 DH Group : Group1 - 768bit
Phase 2 Encryption : DES
Phase 2 Authentication : MD5  
Phase 2 SA Life Time :  3600 seconds
Preshared Key :  blabla
 
Voilà j'espère avoir été assez clair.
J'attend avec impatience vos idées et peut être solution.  
Merci d'avance.
 
JM

Bonjour,
Si ton routeur numéricable est en bridge(donc modem uniquement)
Pourquoi indiques-tu une adresse 192.168.2.254 ?

Car je n'ai as le choix le routeur CISCO est configuré comme cela et on ne peut pas le modifier.

donc il est pas en bridge mais en mode routeur.
 
Dans ce cas la faut que ca soit lui qui initialise la connexion.

Je ne peux pas configurer la connexion sur mon modem numéricable puisque celui-ci ne fait pas VPN. De plus j'ai testé une connexion client VPN sur mon routeur à Tours ou à Nantes cela fonctionne. J'arrive à me connecter d'un poste vers chacun des routeur en VPN. Mais moi ce que je veux c'est une config permanente entre les 2 routeurs.

Si la box de Numéricable est en mode routeur, il suffit de rediriger les ports adéquats sur le Cisco. Dans ton cas, UDP 500 (IKE).

Si je veux rediriger mon port UDP 500 vers mon routeur CISCO, j'ai un problème car je ne peux le rediriger que vers des adresses IP en 192.168.2.... alors que mon routeur est en 192.168.3.0.
 
Tu as une idée ?

C'est tout à fait normal. Ton Cisco utilise la patte WAN en 192.168.2.0 pour pouvoir accéder à la box Numéricable. Le réseau en 192.168.3.0 correspond à la patte LAN.

Oui j'avais bien compris mais comment contourner le problème?

Bah y en à pas. A partir de la Box Numéricable, redirige le port 500 UDP vers la patte Wan de ton Cisco. Le reste se fera tout seul.

Mais alors pourquoi ça fonctionne quand je me connecte avec une connexion nomade ?

Pour contourner le probleme il suffit que ca soit le routeur cisco qui soit derriere la box numericable qui fait du NAT, ce routeur doit initier la connexion VPN avec un NAT-T.
 
C'est un setup assez courant. C'est ce que j'ai dit plus haut.

Et avec ce genre de routeur tu pense que c'est possible de le configurer comme cela gilesss ?

 
Euh... C'est bien le cas ou alors j'ai rien compris.
 
 

http://www.cisco.com/en/US/tech/tk [...] 4ecd.shtml

effectivement c'est déjà le cas ! Mon modem numéricable est celui qui fait le NAT. et le cisco est bien entre le modem et le réseau local.

Rassuré.
 
As tu réussi à rediriger le port ?

Non je ne sais pas trop ou allez ! tu as une idée ??

A partir de ton navigateur préféré : http(s)://ip_local_box_numéricable
Une fois logué, reste à trouver où configurer la redirection du port.

lol jusque là ça va ! J'ai vu un menu transfert de port pense tu que ça pourrait être ça ? champs à remplir !
Nom : Port de début : Port de fin : Protocole : UDP ou TCP adresse IP local : 192.168.2.?
 
A ton avis c'est ça ? Que mettre dedans ?

Cela y ressemble :
 
Nom : te laisse choisir.
Port début : 500
Port fin : ne rien saisir
Protocole : UDP
Adresse  IP local : adresse du Cisco 192.168.2.X (patte WAN).

Il me mets un message d'erreur !  
 
Error converting one or more entries:
 
Le port est en cours d'utilisation, sélectionnez l'une ou l'autre série.
TRY AGAIN

L'on dirait qu'il a déjà une redirection... Possible de faire une capture d'écran ?

Quelle version la box numéricable ?

tu veux un imprime ecran de quoi ? la box c'est une CBVG834G

Une capture du menu transfert de port.

Je ne sais pas comment je peux t'envoyer une photo !

Je viens de t'envoyer un MP avec mon mail.

sinon http://www.hfr-rehost.net/

J'avais oublié ce site. Merci.
 
@jmdu37 Mail reçu, dans le menu déroulant Choisir un service prédéfini. Rien concernant ipsec, ike ?

non je te liste ce qu'il y a déjà !
AIM - BGP - BOOTP_CLIENT - BOOTP_SERVER - CU-SEEME - DNS - FINGER - FTP - H.323 - HTTP - HTTPS - ICQ - IRC - NEWS - NFS - NNTP - POP3 - PPTP - RCMD - REAL-AUDIO - REXEC - RLOGIN - RTELNET - RTSP - SFTP - SMTP - SNMPTRAPS - SQLNET - STRWORKS - TACACS - TFTP - VDOLIVE - SSH - TELNET

Essaie avec port début : 500 / port fin : 500

Pour info, tu n'es pas le seul avec cette erreur...

Un redémarrage de la box pourra p'être résoudre le problème...

Tu peux tjrs poster ici

Le doc officielle ici

j'ai déjà essayé avec port début 500 et fin  500 de toute façon je suis obligé car sinon cela ne fonctionne pas du tout !

Ah... Tu aurais dû le préciser. Dois je comprendre que la règle est créée ?

non elle n'est pas créée ! il me mets le message d'erreur quand je veux la créée en mettant 500 et 500 si je mets 500 et 0 ça ne fonctionne pas du tout il me mets que c'est impossible !

D'accord.  
Essaye de créer ou modifier quelque chose, afin de voir si l'erreur se répète...

Si je crée une règle avec ce qu'il y a les services définie ça fonctionne. Si j'en crée une avec 500 ça fonctionne pas. et si j’essaye de faire la même chose avec 499 ça fonctionne très bien !

hmmm je pense que tu as l'ipsec passthrough activé sur le modem ce qui fait que tu n'as pas besoin de cette règle. C'est aussi du coup pour ça que tu peux pas créer la règle parce que en effet elle existe déjà de manière dynamique pour cette fonction

effectivement le passage ipsec est activé je pense que c'est ce dont tu parle Je@nb !

Mais alors pourquoi cela ne fonctionne pas ...

Jette un œil aux logs.
 
Sur le Cisco, dans le menu VPN. As tu un VPN Passthrough ? Si oui, est il bien sur Enable ?