Contest #2 : IPSEC Troubleshooting – 2 : Remote VPN
Voilà le second contest ! Ce coup-ci on s’attaque au Remote VPN.
Edit: Alors, personne ne trouve ?
La topologie est toute simple, il s’agit d’un routeur (R1), dont l’interface F0/0 à l’IP 192.0.0.1 qui est utilisée pour se connecter en remote VPN. (pensez à modifier la ligne F0/0= dans le fichier.net).
Petit indice: Debug Crypto ISAKMP.
Bon puisque personne ne trouve, ou n’a testé, je donne la solution:
La commande debug crypto isakmp indiquais pre-shared auth, avec tous les bons paramètres, mais malgré tout le SA proposal était refusé. En fait, même si je déclare mon groupe ISAKMP en local (avec la clé du groupe), le routeur ne vas pas faire d’auth local, tant que je ne créérais pas une liste aaa auth login toto local, et que je ne l’affecterai pas au profile ISAKMP. Voilà si vous avez des questions…
Le run conf (inclus dans le fichier .net):
! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 15 no network-clock-participate slot 1 no network-clock-participate wic 0 ip cef ! ! ! ! ! ! ! ! ! crypto isakmp policy 666 encr aes 256 authentication pre-share group 2 ! crypto isakmp client configuration group VPNUSERS key cisco domain network.lan pool vpnpool crypto isakmp profile RVPN match identity group VPNUSERS client configuration address respond virtual-template 1 ! ! crypto ipsec transform-set VPN esp-aes esp-sha-hmac ! crypto ipsec profile VPNVTI set transform-set VPN ! ! ! ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 ip address 192.0.0.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Virtual-Template1 type tunnel ip unnumbered FastEthernet0/0 tunnel source FastEthernet0/0 tunnel mode ipsec ipv4 tunnel protection ipsec profile VPNVTI ! ip local pool vpnpool 192.168.0.1 192.168.0.254 ! ! ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end
Voilà, même tarif, le premier qui trouve gagne… De la notoriété sur mon blog 
(c’est quand même 2000 Visites par mois 
)
Recent Entries
- Définir des « handlers » personnalisés pour associer les liens d’un protocole avec une application perso.
- DMVPN over GETVPN avec KS COOP (redondance) et KS Forwarding
- EAP-TLS avec Autorité de certification autonome (Standalone CA) sous Windows 2003
- Static subnet NAT avec VRF pour monter des ‘PODs’ (LAB)
- Capture WiFi en mode monitor sous windows, et capture par process
- Comment taper un point d’interrogation ‘?’ dans un mot de passe ?
- IPSEC High Availability Stateful Failover avec VTI
- Exemple GETVPN avec utilisation du CA server IOS
- Vente de matériel cisco : ip phone 7960, 3550 PoE, AP 1131Ag
- Prise en main d’un IDS 4215 et utilisation IDM sous Windows 7
décembre 31st, 2009 at 15:58
[...] Première chose, ne pas oublier la liste AAA avec les profiles VPN (c’était l’objet du dernier contest). [...]