Mon problème doit être assez simple, mais je patauge depuis quelques
jours. Je ne suis pas débutant en routage, mais je suis totalement
néophyte en matériel Cisco (2911) et j'ai un peu de mal à voir d'où
vient mon problème.
Considérons un modem SDSL (liaison louée) qui attaque la patte
GigabitEthernet0/1. Sur ce lien transite un VLAN 600 que je dois
router au travers d'un VPN (en bridge) vers un autre routeur à
l'autre bout du monde, le monde étant connecté à GigabitEthernet0/2.
Avec un routeur BSD ou Linux, je sais faire sans aucun problème.
Avec le 2911 de Cisco, je n'arrive à rien d'autant que le truc est
livré dans documentation et que la documentation sur le site Cisco
ne m'est d'aucun secours. Soit je me perds dedans, soit je ne
cherche pas au bon endroit.
J'ai bien créé un VPN (enfin, il me semble) grâce à :
principal#sh crypto map
Crypto Map "VPN_MAP_1" 100 ipsec-isakmp
Peer = 212.217.8.34
Extended IP access list 100
access-list 100 permit ip 10.0.0.0 0.255.255.255 10.0.0.0
0.255.255.255
Current peer: 212.217.8.34
Security association lifetime: 4608000 kilobytes/86400 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
VPN_1: { esp-3des esp-md5-hmac } ,
}
Interfaces using crypto map VPN_MAP_1:
GigabitEthernet0/2
1/ Comment voir si ce truc est bien monté ?
2/ Est-ce bien un bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du VLAN
dans ce VPN ?
Ces questions sont sans doute triviales pour quelqu'un habitué au
monde Cisco et j'en suis parfaitement conscient... Mais je serai
éternellement reconnaissant à quiconque pouvant m'apporter un coup
de main...
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Je ne m'y connais pas vraiment en VPN bridgé, mais tu peux essayer :
On 24/10/2011 19:21, JKB wrote:
1/ Comment voir si ce truc est bien monté ?
show interfaces status pour voir si les interfaces sont up ou down.
2/ Est-ce bien un bridge ? 3/ Une fois qu'il est monté, comment s'assurer d'un routage du VLAN dans ce VPN ?
show ip route pour voir la table de routage
Tu as aussi les commandes ping et traceroute qui peuvent t'aider à debugger et des show bridge tunnel (dont je ne me sers pas).
hth, -- Erwann
Eric Belhomme
Le Mon, 24 Oct 2011 17:21:30 +0000, JKB a écrit :
1/ Comment voir si ce truc est bien monté ? 2/ Est-ce bien un
bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du
VLAN
dans ce VPN ?
Je n'ai jamais fait ce genre de choses sous IOS non plus, mais voici quelques pistes issues du IOS cookbook :
Selon ta config, tu utilises des clés pré-partagés, mais tu ne fais pas référence à leur création :
crypto key generate rsa
pour voir la clé publique du routeur : show crypto key mypubkey rsa
pour copier cette clé sur le routeur distant : crypto key pubkey-chain rsa
sinon, pour voir l'état du tunnel : show crypto isakmp sa show crypto ipsec sa show crypto engine connections active show crypto engine connections dropped-packet show crypto map
En espérant que cela t'aide...
-- Rico
Le Mon, 24 Oct 2011 17:21:30 +0000, JKB a écrit :
1/ Comment voir si ce truc est bien monté ? 2/ Est-ce bien un
bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du
VLAN
dans ce VPN ?
Je n'ai jamais fait ce genre de choses sous IOS non plus, mais voici
quelques pistes issues du IOS cookbook :
Selon ta config, tu utilises des clés pré-partagés, mais tu ne fais pas
référence à leur création :
crypto key generate rsa
pour voir la clé publique du routeur :
show crypto key mypubkey rsa
pour copier cette clé sur le routeur distant :
crypto key pubkey-chain rsa
sinon, pour voir l'état du tunnel :
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connections active
show crypto engine connections dropped-packet
show crypto map
1/ Comment voir si ce truc est bien monté ? 2/ Est-ce bien un
bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du
VLAN
dans ce VPN ?
Je n'ai jamais fait ce genre de choses sous IOS non plus, mais voici quelques pistes issues du IOS cookbook :
Selon ta config, tu utilises des clés pré-partagés, mais tu ne fais pas référence à leur création :
crypto key generate rsa
pour voir la clé publique du routeur : show crypto key mypubkey rsa
pour copier cette clé sur le routeur distant : crypto key pubkey-chain rsa
sinon, pour voir l'état du tunnel : show crypto isakmp sa show crypto ipsec sa show crypto engine connections active show crypto engine connections dropped-packet show crypto map
En espérant que cela t'aide...
-- Rico
JKB
Le 26 Oct 2011 08:21:23 GMT, Eric Belhomme <rico-{nntp}@ricozome.net> écrivait :
Le Mon, 24 Oct 2011 17:21:30 +0000, JKB a écrit :
1/ Comment voir si ce truc est bien monté ? 2/ Est-ce bien un
bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du
VLAN
dans ce VPN ?
Je n'ai jamais fait ce genre de choses sous IOS non plus, mais voici quelques pistes issues du IOS cookbook :
Selon ta config, tu utilises des clés pré-partagés, mais tu ne fais pas référence à leur création :
crypto key generate rsa
pour voir la clé publique du routeur : show crypto key mypubkey rsa
pour copier cette clé sur le routeur distant : crypto key pubkey-chain rsa
sinon, pour voir l'état du tunnel : show crypto isakmp sa show crypto ipsec sa show crypto engine connections active show crypto engine connections dropped-packet show crypto map
En espérant que cela t'aide...
Merci pour toutes ces informations. Je dois dire que je suis en train de disjoncter sérieusement. Le gros problème est que le donneur d'ordre ne maîtrise pas sa configuration (et je ne suis même pas sûr qu'au final, ce soit routable).
Lorsque j'applique ses specs, je me retrouve avec un tunnel de niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien vu à la place un bridge de niveau 2 mais avec le matériel qu'il impose c'est juste impossible. Et les specs m'interdisent aussi la translation d'adresses... Bref, sale nuit en perspective !...
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Le 26 Oct 2011 08:21:23 GMT,
Eric Belhomme <rico-{nntp}@ricozome.net> écrivait :
Le Mon, 24 Oct 2011 17:21:30 +0000, JKB a écrit :
1/ Comment voir si ce truc est bien monté ? 2/ Est-ce bien un
bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du
VLAN
dans ce VPN ?
Je n'ai jamais fait ce genre de choses sous IOS non plus, mais voici
quelques pistes issues du IOS cookbook :
Selon ta config, tu utilises des clés pré-partagés, mais tu ne fais pas
référence à leur création :
crypto key generate rsa
pour voir la clé publique du routeur :
show crypto key mypubkey rsa
pour copier cette clé sur le routeur distant :
crypto key pubkey-chain rsa
sinon, pour voir l'état du tunnel :
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connections active
show crypto engine connections dropped-packet
show crypto map
En espérant que cela t'aide...
Merci pour toutes ces informations. Je dois dire que je suis en
train de disjoncter sérieusement. Le gros problème est que le
donneur d'ordre ne maîtrise pas sa configuration (et je ne suis même
pas sûr qu'au final, ce soit routable).
Lorsque j'applique ses specs, je me retrouve avec un tunnel de
niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien
vu à la place un bridge de niveau 2 mais avec le matériel qu'il
impose c'est juste impossible. Et les specs m'interdisent aussi la
translation d'adresses... Bref, sale nuit en perspective !...
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Le 26 Oct 2011 08:21:23 GMT, Eric Belhomme <rico-{nntp}@ricozome.net> écrivait :
Le Mon, 24 Oct 2011 17:21:30 +0000, JKB a écrit :
1/ Comment voir si ce truc est bien monté ? 2/ Est-ce bien un
bridge ?
3/ Une fois qu'il est monté, comment s'assurer d'un routage du
VLAN
dans ce VPN ?
Je n'ai jamais fait ce genre de choses sous IOS non plus, mais voici quelques pistes issues du IOS cookbook :
Selon ta config, tu utilises des clés pré-partagés, mais tu ne fais pas référence à leur création :
crypto key generate rsa
pour voir la clé publique du routeur : show crypto key mypubkey rsa
pour copier cette clé sur le routeur distant : crypto key pubkey-chain rsa
sinon, pour voir l'état du tunnel : show crypto isakmp sa show crypto ipsec sa show crypto engine connections active show crypto engine connections dropped-packet show crypto map
En espérant que cela t'aide...
Merci pour toutes ces informations. Je dois dire que je suis en train de disjoncter sérieusement. Le gros problème est que le donneur d'ordre ne maîtrise pas sa configuration (et je ne suis même pas sûr qu'au final, ce soit routable).
Lorsque j'applique ses specs, je me retrouve avec un tunnel de niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien vu à la place un bridge de niveau 2 mais avec le matériel qu'il impose c'est juste impossible. Et les specs m'interdisent aussi la translation d'adresses... Bref, sale nuit en perspective !...
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Bruno Tréguier
Bonsoir,
Le 26/10/2011 à 21:10, JKB a écrit :
Lorsque j'applique ses specs, je me retrouve avec un tunnel de niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien vu à la place un bridge de niveau 2 mais avec le matériel qu'il impose c'est juste impossible. Et les specs m'interdisent aussi la translation d'adresses... Bref, sale nuit en perspective !...
Hum... A ce niveau-là, à part un cierge à Saint Isidore de Séville, je ne vois pas. ;-)
Essayer de relier 2 réseaux de mêmes adresses par un tunnel niveau 3, ça ne me paraît pas faisable, à part si vous subnettez (mais du coup ça vous impose des contraintes au niveau adressage).
Cordialement,
-- Bruno Tréguier
Bonsoir,
Le 26/10/2011 à 21:10, JKB a écrit :
Lorsque j'applique ses specs, je me retrouve avec un tunnel de
niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien
vu à la place un bridge de niveau 2 mais avec le matériel qu'il
impose c'est juste impossible. Et les specs m'interdisent aussi la
translation d'adresses... Bref, sale nuit en perspective !...
Hum... A ce niveau-là, à part un cierge à Saint Isidore de Séville, je
ne vois pas. ;-)
Essayer de relier 2 réseaux de mêmes adresses par un tunnel niveau 3, ça
ne me paraît pas faisable, à part si vous subnettez (mais du coup ça
vous impose des contraintes au niveau adressage).
Lorsque j'applique ses specs, je me retrouve avec un tunnel de niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien vu à la place un bridge de niveau 2 mais avec le matériel qu'il impose c'est juste impossible. Et les specs m'interdisent aussi la translation d'adresses... Bref, sale nuit en perspective !...
Hum... A ce niveau-là, à part un cierge à Saint Isidore de Séville, je ne vois pas. ;-)
Essayer de relier 2 réseaux de mêmes adresses par un tunnel niveau 3, ça ne me paraît pas faisable, à part si vous subnettez (mais du coup ça vous impose des contraintes au niveau adressage).
Cordialement,
-- Bruno Tréguier
JKB
Le Wed, 26 Oct 2011 23:22:02 +0200, Bruno Tréguier écrivait :
Bonsoir,
Le 26/10/2011 à 21:10, JKB a écrit :
Lorsque j'applique ses specs, je me retrouve avec un tunnel de niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien vu à la place un bridge de niveau 2 mais avec le matériel qu'il impose c'est juste impossible. Et les specs m'interdisent aussi la translation d'adresses... Bref, sale nuit en perspective !...
Hum... A ce niveau-là, à part un cierge à Saint Isidore de Séville, je ne vois pas. ;-)
Essayer de relier 2 réseaux de mêmes adresses par un tunnel niveau 3, ça ne me paraît pas faisable, à part si vous subnettez (mais du coup ça vous impose des contraintes au niveau adressage).
C'est exactement ce que j'essaie de faire comprendre au donneur d'ordre... Et la prochaine fois, ce sera deux routeurs Linux ou BSD avec un soupçon de HA au milieu plutôt que des Cisco !
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Le Wed, 26 Oct 2011 23:22:02 +0200,
Bruno Tréguier <bruno.treguier_at_shom.fr@nullepart.invalid> écrivait :
Bonsoir,
Le 26/10/2011 à 21:10, JKB a écrit :
Lorsque j'applique ses specs, je me retrouve avec un tunnel de
niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien
vu à la place un bridge de niveau 2 mais avec le matériel qu'il
impose c'est juste impossible. Et les specs m'interdisent aussi la
translation d'adresses... Bref, sale nuit en perspective !...
Hum... A ce niveau-là, à part un cierge à Saint Isidore de Séville, je
ne vois pas. ;-)
Essayer de relier 2 réseaux de mêmes adresses par un tunnel niveau 3, ça
ne me paraît pas faisable, à part si vous subnettez (mais du coup ça
vous impose des contraintes au niveau adressage).
C'est exactement ce que j'essaie de faire comprendre au donneur
d'ordre... Et la prochaine fois, ce sera deux routeurs Linux ou BSD
avec un soupçon de HA au milieu plutôt que des Cisco !
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Le Wed, 26 Oct 2011 23:22:02 +0200, Bruno Tréguier écrivait :
Bonsoir,
Le 26/10/2011 à 21:10, JKB a écrit :
Lorsque j'applique ses specs, je me retrouve avec un tunnel de niveau 3 reliant deux réseaux de mêmes adresses (!). J'aurais bien vu à la place un bridge de niveau 2 mais avec le matériel qu'il impose c'est juste impossible. Et les specs m'interdisent aussi la translation d'adresses... Bref, sale nuit en perspective !...
Hum... A ce niveau-là, à part un cierge à Saint Isidore de Séville, je ne vois pas. ;-)
Essayer de relier 2 réseaux de mêmes adresses par un tunnel niveau 3, ça ne me paraît pas faisable, à part si vous subnettez (mais du coup ça vous impose des contraintes au niveau adressage).
C'est exactement ce que j'essaie de faire comprendre au donneur d'ordre... Et la prochaine fois, ce sera deux routeurs Linux ou BSD avec un soupçon de HA au milieu plutôt que des Cisco !
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
