Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1108 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN routeur cisco et netgear

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

VPN routeur cisco et netgear

n°46402
scouby64
Posté le 24-11-2008 à 12:03:51  profilanswer
 

Bonjour,
 
J'aimerais créer pour mon entreprise, une connexion VPN entre deux sites distants. L'un (le siège) comportant un routeur NETGEAR ProSafe VPN Firewall FVX538, là ou est créé mon VPN passerelle, là un tunnel VPN est configuré pour recevoir les connexion de mon autre site. Et l'autre (un des autres site de l'entreprise) constitué d'un routeur Cisco 877. Sur ce dernier est configuré un accès VPN client pointant vers l'adresse public du siège. Et aussi configuré le firewall pour un accès dans les deux sens pour le port 4723 et le protocole IP GRE.
 
Lors des tests, mon Cisco est incapable de détecter le VPN distant, et donc de s'y connecter. Lors du "debugging" de ce dernier, le tunnel apparait "down" (normal), l'interface est OK, configuration OK, routing OK, peer connectivity OK, firewall OK.
 
Lors d'un essai à partir du routeur netgear, voilà ce que m'affiche le VPN log :
 

Code :
  1. 2008 Nov 24 11:29:24 [FVX538] [IKE] accept a request to establish IKE-SA: 80.XX.XX.XX_
  2. 2008 Nov 24 11:29:24 [FVX538] [IKE] Configuration found for 80.XX.XX.XX._
  3. 2008 Nov 24 11:29:24 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.XX.XX.XX[500]<=>80.XX.XX.XX[500]_
  4. 2008 Nov 24 11:29:24 [FVX538] [IKE] Beginning Aggressive mode._
  5. 2008 Nov 24 11:29:24 [FVX538] [IKE] NAT-Traversal is Enabled_
  6. 2008 Nov 24 11:29:24 [FVX538] [IKE] Ignore information because the message has no hash payload._
  7. 2008 Nov 24 11:29:55 [FVX538] [IKE] Invalid SA protocol type: 0_
  8. 2008 Nov 24 11:29:55 [FVX538] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. _
  9. 2008 Nov 24 11:30:24 [FVX538] [IKE] Phase 1 negotiation failed due to time up for 80.XX.XX.XX[500]. ab3e0314df8ea45a:0000000000000000_


 
 
Que faire ??
 
Merci pour d'éventuelles réponses !

Message cité 1 fois
Message édité par Krapaud le 24-11-2008 à 14:51:19
mood
Publicité
Posté le 24-11-2008 à 12:03:51  profilanswer
 

n°46430
mmc
Posté le 24-11-2008 à 16:17:47  profilanswer
 

scouby64 a écrit :


... Et aussi configuré le firewall pour un accès dans les deux sens pour le port 4723 et le protocole IP GRE.

Code :
  1. ...
  2. 2008 Nov 24 11:29:24 [FVX538] [IKE] Ignore information because the message has no hash payload._
  3. 2008 Nov 24 11:29:55 [FVX538] [IKE] Invalid SA protocol type: 0_
  4. ...




 
Le log indique que le routeur ne reçoit pas de protocole sécurisé (no hash payload).
 
Pour info, le protocole GRE ne prévoit pas de chiffrement des données qui passent dans le tunnel à lui seul.
Le protocole GRE (Generic Route Encapsulation) s'utilise en association avec le protocole PPTP (Point-to-Point Tunneling Protocol) pour le chiffrement de donnés par exemple.


Message édité par mmc le 24-11-2008 à 16:47:48
n°46435
scouby64
Posté le 24-11-2008 à 16:36:25  profilanswer
 

Ok merci pour ta réponce mmc...
Mais j'avoue ne pas savoir l'interpréter. Que dois je faire?  
GRE est débloqué sur le firewall de mon Cisco.

n°46465
mmc
Posté le 25-11-2008 à 09:26:38  profilanswer
 

Quel type de cryptage utilises-tu ?
Poste ici la configuration Netgear et Cisco.


Message édité par mmc le 25-11-2008 à 09:29:04
n°46487
scouby64
Posté le 25-11-2008 à 14:34:22  profilanswer
 

NETGEAR :
  IKE policies :  
     _Name : vpn_toulouse
     _Direction/Type : responder
     _Echange mode : aggressive
     _Local FQDN : fvl_local
     _Remote FQDN : fvl_remote
     _Encryption Algo : 3DES
     _Authentification Algo : SHA-1
     _Preshared Key : ********
     _DH Group : 2 (1024bit)
     _SA lifetime : 86400
     _Enable dead peer detection : NO
     _XAUTH configuration : NONE
 
  VPN policies :
     _Police type : Auto policy
     _Local Gateway : WAN1
     _Remote endpoint : fvl_remote
     _Local IP : 192.168.2.0
     _Local SM : 255.255.255.0
     _Remote IP : ANY
     _SA lifetime : 3600
     _Encryption Algo : 3DES
     _Entigrity Algo : DH Group2 1024bits
     _IKE policy : vpn_toulouse
 
   VPN user :  
     _username : vpn_toulouse
     _Password : *******
 
 
CISCO :  
     _Connection name : vpn_toulouse
     _VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
     _Mode of operation : Client
     _Authentification : Pre-Shared key
     _User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
     _Key : ******** (la même que sous Netgear)
     _XAuth : vpn_toulouse
     _Password : ****** (le même que vpn user sous NetGear)
     _Interface to local network : vlan1 (connexion internet)
     _Interface to internet : Dialer0
     _Remote conection client : Automatically
 
 
merci encore pour ton aide !!

n°46512
M4vrick
Mad user
Posté le 25-11-2008 à 17:06:33  profilanswer
 

Il manque la config du cryptage coté Cisco


---------------
--== M4vr|ck ==--
n°46514
scouby64
Posté le 25-11-2008 à 17:41:13  profilanswer
 

dsl je viens de la fignioler :  
 
Cisco :  
 
  Transform set :  
     _ESP Encryption : ESP_3DES  
     _ESP Integrity :  ESP_SHA_HMAC
 
  IPSec Rules :  
     _Action : PERMIT
     _Source : 10.10.10.0  
     _Destination : 78.xx.xx.xx
     _Service : IP
 
  IKE Policies :
     _Encryption : 3DES  
     _Hash : SHA_1  
     _DH-Group : 2  
     _Authentification : PRE-SHAREDKEY
     
  PRE-Shared Key :  
     _Peer IP/name : 78.xx.xx.xx  
     _Masque : 255.0.0.0
     _Pre-Shared key : *********
   
  IKE Profiles :  
     _Name : TOULOUSE
     _Used By : IPSec Profile
 
  Group Policies :
     _Name : vpn_toulouse
     _Pool : SDM_POOL1

n°46515
mmc
Posté le 25-11-2008 à 17:44:57  profilanswer
 

C'est une liaison VPN entre deux routeurs ou un liaison VPN entre un client(PC) et routeur que tu cherches à faire ?
 
Parce que ta config Netgear est en mode client (PC) VPN et sur ton log constate une tentative de connexion VPN routeur à routeur.


Message édité par mmc le 25-11-2008 à 18:05:08
n°46518
scouby64
Posté le 25-11-2008 à 18:10:22  profilanswer
 

A vrai dire j'aimerai qu'elle soit de routeur à routeur de préférence. Mais si cela n'est pas possible , client vpn to serveur vpn. (ce que j'ai testé sans succés, le client safe vpn de netgear me marque "driver not installed" )
 
Merci !

n°46531
scouby64
Posté le 26-11-2008 à 09:10:42  profilanswer
 

Voici par exemple le log VPN sur le NETGEAR :
 
2008 Nov 26 09:07:43 [FVX538] [IKE] Failed to attach schedSaCreate in IKE configuraion_
2008 Nov 26 09:07:45 [FVX538] [IKE] Configuration found for 80.XX.XX.XX._
2008 Nov 26 09:07:45 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.XX.XX.XX[500]<=>80.13.243.7[0]_
2008 Nov 26 09:07:45 [FVX538] [IKE] Unknown notify message from 80.XX.XX.XX[500].No phase2 handle found._
                - Last output repeated twice -
2008 Nov 26 09:08:20 [FVX538] [IKE] Phase 2 negotiation failed due to time up. e821bbb7c67b7cbe:7cda573f1a274655:e7339033_
2008 Nov 26 09:08:20 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2008 Nov 26 09:08:36 [FVX538] [IKE] Unknown notify message from 80.XX.XX.XX[500].No phase2 handle found._
2008 Nov 26 09:08:45 [FVX538] [IKE] Phase 2 negotiation failed due to time up. e821bbb7c67b7cbe:7cda573f1a274655:e4e21467_
2008 Nov 26 09:08:45 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2008 Nov 26 09:08:46 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
2008 Nov 26 09:08:46 [FVX538] [IKE] Configuration found for 80.XX.XX.XX._
2008 Nov 26 09:08:46 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.XX.XX.XX[0]<=>80.XX.XX.XX[0]_
2008 Nov 26 09:08:46 [FVX538] [IKE] Unknown notify message from 80.XX.XX.XX[500].No phase2 handle found._

mood
Publicité
Posté le 26-11-2008 à 09:10:42  profilanswer
 

n°46542
mmc
Posté le 26-11-2008 à 12:22:30  profilanswer
 

Commence par configurer, de routeur à routeur, ton netgear comme ceci par exemple :
 
En mode remote VPN Gateway:
 
IKE Policy :

 
Policy Name --> vpn_toulouse
Direction/Type --> Both Directions
Exchange Mode --> Main Mode
 
 
Local Identity Type  --> WAN IP Address
Local Identity Data  --> 78.x.x.x            (IP routeur netgear)
Remote Identity Type --> Remote WAN IP  
Remote Identity Data --> 80.x.x.x           (IP routeur Cisco)
 
Encryption Algorithm --> 3DES
Authentication Algorithm --> SHA-1
Authentication Method --> Pre-shared Key --> Password
Diffie-Hellman (DH) Group --> Group 2 (1024 Bit)
SA Life Time --> 28800
 
VPN - Auto Policy:
 
Policy Name -->  vpn_toulouse
IKE policy --> vpn_toulouse
Remote VPN Endpoint --> Address Type: IP Address
                                   Address Data: 80.x.x.x
 
SA Life Time --> 86400
IPSec PFS --> PFS Key Group: Group 2 (1024 Bit)
NetBIOS Enable
 
Local IP --> Single address :  78.x.x.x
                                        255.255.255.0
 
Remote IP --> Single address : 80.x.x.x
                                          255.255.255.0
 
Enable Encryption --> 3DES
Enable Authentication --> SHA-1


Message édité par mmc le 26-11-2008 à 12:29:09
n°46547
scouby64
Posté le 26-11-2008 à 14:16:08  profilanswer
 

Merci ...
 
Je vais tester ça !

n°46548
scouby64
Posté le 26-11-2008 à 15:25:05  profilanswer
 

Bon j'ai exactement mis ce que tu m'as dit. A part pour le masque de mon adresse publique 80.xx.xx.xx en 255.0.0.0 plutôt que ce que tu m'as proposé.
Ca me semble plus correct non?!
Enfin sinon ça ne marche toujours pas :
 
Log de NetGEAR
 
2008 Nov 26 15:03:29 [FVX538] [IKE] Phase 1 negotiation failed due to time up for 80.xx.xx.xx[500]. 6f5c2d231f564467:0000000000000000_
2008 Nov 26 15:04:55 [FVX538] [IKE] Using IPsec SA configuration: 78.xx.xx.xx/8<->80.xx.xx.xx/8_
2008 Nov 26 15:04:55 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 15:04:55 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
2008 Nov 26 15:04:55 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 15:05:26 [FVX538] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 80.xx.xx.xx->78.xx.xx.xx _
2008 Nov 26 15:05:44 [FVX538] [IKE] Using IPsec SA configuration: 78.xx.xx.xx/8<->80.xx.xx.xx/8_
2008 Nov 26 15:05:44 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 15:05:56 [FVX538] [IKE] Phase 1 negotiation failed due to time up for 80.xx.xx.xx[500]. 623009f487657bc0:0000000000000000_
2008 Nov 26 15:06:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 80.xx.xx.xx->78.xx.xx.xx _
2008 Nov 26 15:07:14 [FVX538] [IKE] Using IPsec SA configuration: 78.xx.xx.xx/8<->80.xx.xx.xx/8_
2008 Nov 26 15:07:14 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 15:07:14 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx500]_
2008 Nov 26 15:07:14 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 15:07:15 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
2008 Nov 26 15:07:15 [FVX538] [IKE] Received unknown Vendor ID_
                - Last output repeated twice -
2008 Nov 26 15:07:15 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2008 Nov 26 15:07:16 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:a87d6483bc04451c:7cda573fa21b6d0e_
2008 Nov 26 15:07:16 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2008 Nov 26 15:07:17 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.13.243.7[0]_
2008 Nov 26 15:07:18 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
2008 Nov 26 15:08:17 [FVX538] [IKE] Phase 2 negotiation failed due to time up. a87d6483bc04451c:7cda573fa21b6d0e:f5df064d_
2008 Nov 26 15:08:17 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2008 Nov 26 15:08:22 [FVX538] [IKE] Purged ISAKMP-SA with proto_id=ISAKMP and spi=a87d6483bc04451c:7cda573fa21b6d0e._
2008 Nov 26 15:08:23 [FVX538] [IKE] ISAKMP-SA deleted for 78.xx.xx.xx[500]-80.xx.xx.xx500] with spi:a87d6483bc04451c:7cda573fa21b6d0e_


Message édité par scouby64 le 26-11-2008 à 15:27:06
n°46549
Je@nb
Modérateur
Kindly give dime
Posté le 26-11-2008 à 15:49:20  profilanswer
 

sont à la même date/heure (en prenant en compte le fuseau horaire) ?

n°46550
scouby64
Posté le 26-11-2008 à 15:51:58  profilanswer
 

Non... ça a vraiment une importance?!

n°46551
scouby64
Posté le 26-11-2008 à 17:00:50  profilanswer
 

Bon après avoir réglé la date sur le cisco, divers réglages sur le NetGear, voici au résultat que j'ai obtenu :  
 
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IPSec configuration with identifier "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Adding IKE configuration with identifer "TOULOUSE"_
2008 Nov 26 16:55:08 [FVX538] [IKE] Using IPsec SA configuration: 192.168.2.0/24<->10.10.10.0/24_
2008 Nov 26 16:55:08 [FVX538] [IKE] Configuration found for 80.xx.xx.xx._
2008 Nov 26 16:55:08 [FVX538] [IKE] Initiating new phase 1 negotiation: 78.xx.xx.xx[500]<=>80.xx.xx.xx[500]_
2008 Nov 26 16:55:08 [FVX538] [IKE] Beginning Identity Protection mode._
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: CISCO-UNITY_
2008 Nov 26 16:55:12 [FVX538] [IKE] Received unknown Vendor ID_
                - Last output repeated twice -
2008 Nov 26 16:55:12 [FVX538] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2008 Nov 26 16:55:14 [FVX538] [IKE] ISAKMP-SA established for 78.xx.xx.xx[500]-80.xx.xx.xx[500] with spi:3acac3ccc885085a:7cda573f3d8b509a_
2008 Nov 26 16:55:14 [FVX538] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2008 Nov 26 16:55:15 [FVX538] [IKE] Initiating new phase 2 negotiation: 78.xx.xx.xx[0]<=>80.xx.xx.xx[0]_
2008 Nov 26 16:55:16 [FVX538] [IKE] Unknown notify message from 80.xx.xx.xx[500].No phase2 handle found._
2008 Nov 26 16:56:15 [FVX538] [IKE] Phase 2 negotiation failed due to time up. 3acac3ccc885085a:7cda573f3d8b509a:9cdfcc80_
2008 Nov 26 16:56:15 [FVX538] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
 
Je pense que ca commen à être positif non ?!
Alors à quoi ça correspond ce "Notify message"??
 
Merci !

n°46561
mmc
Posté le 26-11-2008 à 18:39:39  profilanswer
 

La phase 1 est passée (négociation ISAKMP SA established).
Il manque plus que la phase 2 (négociation SA pour AH et ESP).
 
C'est quoi la firmware de ton netgear ?


Message édité par mmc le 26-11-2008 à 20:14:34
n°46574
scouby64
Posté le 27-11-2008 à 09:28:36  profilanswer
 

System Name:  FVX538
Firmware Version (Primary):  3.0.2-21
Firmware Version (Secondary):  2.1.0-7

n°46586
scouby64
Posté le 27-11-2008 à 11:38:05  profilanswer
 

Bon ça y est !
La connexion VPN est établie....
 
...
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 80.xx.xx.xx->78.xx.xx.xx with spi=107693002(0x66b43ca)_
2008 Nov 27 10:38:58 [FVX538] [IKE] IPsec-SA established: ESP/Tunnel 78.xx.xx.xx->80.xx.xx.xx with spi=3190685695(0xbe2dffff)_
 
Il s'agissait des réglages IPSec Rules, mal configurées... je m'étais trompé entre l'adresse publique et l'adresse de mon réseau...
Bref !  
 
Le problème maintenant est que je ne peux pas encore accéder au PC de l'autre côté. Savez vous à quoi cela est du?!
J'arrive même pas à pinger mes postes distants, ainsi que le routeur (avec son @IP local) !
 
Merci

n°46594
mmc
Posté le 27-11-2008 à 12:45:50  profilanswer
 

scouby64 a écrit :


 
CISCO :  
     _Connection name : vpn_toulouse
     _VPN Server 1 : 78.XX.XX.XX (gateway du siege de l'entreprise et donc du routeur Netgear)
     _Mode of operation : Client
     _Authentification : Pre-Shared key
     _User Group : vpn_toulouse (je ne sais pas quoi mettre d'autre)
     _Key : ******** (la même que sous Netgear)
     _XAuth : vpn_toulouse
     _Password : ****** (le même que vpn user sous NetGear)
     _Interface to local network : vlan1 (connexion internet)
     _Interface to internet : Dialer0
     _Remote conection client : Automatically


 
T'es en mode remote client sur le Cisco ?
En principe c'est le mode "Site to Site" à configurer.
 
 
 

n°46608
scouby64
Posté le 27-11-2008 à 14:04:48  profilanswer
 

En fait t'as raison et ce ce que j'ai fait aussi pour que ca marche. Par contre, mmc, sais tu la marche à suivre afin que le pc d'une part et de l'autre du tunnel VPN puissent communiquer?!
 
Merci d'avance !


Message édité par scouby64 le 27-11-2008 à 15:12:09
n°46622
mmc
Posté le 27-11-2008 à 17:00:15  profilanswer
 

Je n'ai pas de procédure concernant le cisco en mode vpn.
 
Sur le netgear mettre :
 
Traffic selector:
 
Local IP --> Single address :  192.168.2.0      (Réseau LAN Netgear ou sur Any pour tester)  
                                        255.255.255.0
 
Remote IP --> Single address : 10.10.10.0      (Réseau LAN Cisco ou mettre sur Any pour tester)
                                          255.255.255.0  
 
 
Même chose de l'autre côté du Cisco mais inversé avec "traffic selector" ou "traffic to encrypt" ...
 
Ipsec Traffic Selector :
 
 interface Inside :      On locale site       10.10.10.0       (cela peut-être également une interface reliant au réseau LAN)
                                                       255.255.255.0
 
 interface outside :    On remote site     192.168.2.0
                                                      255.255.255.0


Message édité par mmc le 27-11-2008 à 17:15:00
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  VPN routeur cisco et netgear

 

Sujets relatifs
Besoin d'aide pour faire un VPN sur CISCO !Probleme connexion Linksys WRT54G et routeur ADSL D-link
Paramétrage Livebox et NetgearTunnel VPN entre WRT54GL et SonicWall TZ-180? Pour tel IP!
Pb Serveur distant TSE + connecion VPNSauvegardes configs de switch Cisco
VPN et contrôleur de domaine ?Problème routeur CISCO 871 avec modem LINKSYS - le net ne passe pas !
Plus de sujets relatifs à : VPN routeur cisco et netgear


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR