La Fibre
Télécom => Réseau => 
VPN => Discussion démarrée par: joplo le 13 juillet 2020 à 14:47:47
-
Bonjour,
Je souhaite mettre en place un VPN entre deux sites qui disposent chacun d'un routeur Cisco RV320 sur lesquels le port WAN est branché sur un port ethernet de Livebox.
J'ai donc paramétré un tunnel sur les deux routeurs et la configuration me semble correctement faite (inversion du groupe local et du groupe distant entre les deux routeurs, etc.) mais cela ne fonctionne pas. Les routeurs sont placés en DMZ, pare-feu Livebox désactivé.
Concernant les DynDNS et IP Fixe, cela est géré.
Avez-vous déjà été confronté à ce type de problème ? Je ne vois pas d'autres alternatives comme configuration à mon besoin, je souhaite avoir un tunnel de passerelle à passerelle pour former un seul et même réseau. (Exemple : utilisateur à Paris puisse accéder au serveur ou à l'imprimante de Marseille, etc.)
En vous remerciant par avance
-
poste les configurations des routeurs, ca manque de détails pour t'aider sinon.
-
Comme demandé, voici les configurations des routeurs des deux bureaux.
Merci
-
Dans le 1er screen de Bureau B, configuration du groupe local, je trouve bizarre le 192.168.1.1 en adresse IP et 192.168.3.0 2 lignes plus bas.
la tu ne poste que la conf vpn.
qu'affiche le 'récapitulatif systeme' de chaque site, t'es 2 réseaux sont bien distincts ?
que disent les journaux (logs)?
que donnent les tests de ping depuis les routeurs ?.
avec un accès CLI (ligne de commande) on peut avoir tout le conf d'un seul coup, c'est plus simple et rapide que de poster des screens.
-
Les logs sont vides, les ping n'aboutissent pas mais les routeurs ont bien accès à internet (j'accède à l'interface distance du bureau A depuis B, etc.) et les deux réseaux sont biens distincts (localisation des deux sites à 15 km de distance).
Voici ce que j'ai pu récupérer via la CLI :
- Bureau A :
access-list 1
interface: lan
Enable
Allow
service: All Traffic all 1~65535
src ip: 192.168.1.1/255.255.255.0
dst ip: any
no log
time range always
access-list 2
interface: lan
Enable
Allow
service: All Traffic all 1~65535
src ip: 192.168.2.1/255.255.255.0
dst ip: any
no log
time range always
access-list 3
interface: lan
Enable
Allow
service: All Traffic all 1~65535
src ip: 192.168.3.1/255.255.255.0
dst ip: any
no log
time range always
access-list 4
interface: usb1
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
access-list 5
interface: usb2
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
access-list 6
interface: wan1
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
access-list 7
interface: wan2
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
- Bureau B :
access-list 1
interface: lan
Enable
Allow
service: All Traffic all 1~65535
src ip: 192.168.1.1/255.255.255.0
dst ip: any
no log
time range always
access-list 2
interface: lan
Enable
Allow
service: All Traffic all 1~65535
src ip: 192.168.2.1/255.255.255.0
dst ip: any
no log
time range always
access-list 3
interface: lan
Enable
Allow
service: All Traffic all 1~65535
src ip: 192.168.3.1/255.255.255.0
dst ip: any
no log
time range always
access-list 4
interface: usb1
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
access-list 5
interface: usb2
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
access-list 6
interface: wan1
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
access-list 7
interface: wan2
Enable
Deny
service: All Traffic all 1~65535
src ip: any
dst ip: any
no log
time range always
-
J'ai comme l'impression que ton bureau B est exactement dans le même plan d'adressage 192.168.1.x que le bureau A (lui aussi en 192.168.1.x).
Dans ton screen du bureau B, on voit adresse ip 192.168.1.1
-
Dans l'adressage du VPN il faut que cela corresponde avec le DHCP ?
Si réseau principal du Bureau A en 192.168.1.X alors VPN en 192.168.1.X ?
Et Bureau B en 192.168.3.X alors VPN en 192.168.3.X ?
-
C'est ça.
A moins que Kgersen voit autre chose.
-
Dans l'adressage du VPN il faut que cela corresponde avec le DHCP ?
Si réseau principal du Bureau A en alors VPN en 192.168.1.X ?
Et Bureau B en 192.168.3.X alors VPN en 192.168.3.X ?
oui
les DHCP configurent les IP des machines locales a chaque site. la c'est ok s'ils sont distincts entre les 2 sites.
Le but du VPN est que n'importe quelle IP de 192.168.1.X (A) puisse communiquer avec n'importe quelle IP de 192.168.3.X (B) et vice-versa.
-
Après avoir mis en place le réseau A en 192.168.1.X et le réseau B en 192.168.4.X, le tunnel ne se monte toujours pas.
Je lance la connexion, petit temps de chargement et rafraîchissement puis retour à la base : "en attente de connexion".
Tentative de connexion lancée sur les deux appareils et ça échoue.
Aucune trace de quoi que ce soit dans les log.
-
a ce niveau la, faut reprendre un par un les champs dans les configurations et bien vérifier que tout est correct.
C'est le problème avec ce type routeur et leur interface graphique. C'est bien pour les trucs simples quand on débute mais pour diag et faire des configs plus pointues rien ne vaux la ligne de commande. Malheureusement je ne crois pas que les RV320 permettent de faire plus en ligne de commande. En plus y'a pas de mise a jour de firmware depuis 2016 je crois.
Cela dit y'a pas de raison que tu n'y arrives pas c'est juste pas facile de t'aider sur ce modèle de routeur.
-
je n'avais pas vu mais coche "traverser NAT" '(de chaque coté) vu que tes cisco sont en NAT derriere des livebox.
-
J'ai coché NAT transversal des deux côtés mais rien n'y fait. Toujours un rafraîchissement et "en attente de connexion" lorsque je tente une connexion. Les routeurs étant placés en DMZ je n'ai pas ouvert de port sur les Livebox. Pensez-vous que, malgré la DMZ, il faut ouvrir les ports pour IPSec et IKEv2 ?
J'ai comparé les deux configurations et tout semble coordonner.
-
oui dmz devrait suffire.
un truc qui me chagrine, les IP WAN des cisco sont a quelles valeurs? (visible la partie 'récapitulatif systeme' de chaque site).
un autre truc corollaire qui me chagrine: la valeur de la 2eme ligne (adresse IP) de chaque section 'configuration du groupe local'. en principe on met l'ip wan du router ou on met l'ip public de la livebox. la on dirait l'ip lan ... c'est pas logique
bref un truc comme ca n'est pas bon ca c'est le même réseau:
(https://i.imgur.com/wvzx2Iz.png)
sinon tes routeurs sont bien a jour niveau firmware ?
-
Je viens de faire les mise à jour (version juin 2020) mais le problème persiste (capture du bureau B juste avant de faire la màj).
Voici les configurations des routeurs (cf. captures).
Les Livebox sur les deux sites sont sur 192.168.1.2 mais du côté des routeurs, chacun à son réseau (bureau A en 192.168.1.0 et bureau B en 192.168.4.0).
Les routeurs Cisco sur les deux sites sont dans la DMZ sur 192.168.1.1.
-
pas étonnant que ca ne marche pas donc. aucun flux n'arrive sur routeur A il es mal configuré.
- routeur A: il ne faut pas le meme subnet coté WAN et coté LAN. il faut changer l'ip lan et le dhcp pour mettre autre chose que 192.168.1.x ou changer dans la livebox.
- routeur A et B: 2eme ligne partie groupe local : mettre l'ip public du coté ou on est