Contest #2 : IPSEC Troubleshooting – 2 : Remote VPN

Voilà le second contest ! Ce coup-ci on s’attaque au Remote VPN.
Edit: Alors, personne ne trouve ?
La topologie est toute simple, il s’agit d’un routeur (R1), dont l’interface F0/0 à l’IP 192.0.0.1 qui est utilisée pour se connecter en remote VPN. (pensez à modifier la ligne F0/0= dans le fichier.net).
Petit indice: Debug Crypto ISAKMP.

Bon puisque personne ne trouve, ou n’a testé, je donne la solution:

La commande debug crypto isakmp indiquais pre-shared auth, avec tous les bons paramètres, mais malgré tout le SA proposal était refusé. En fait, même si je déclare mon groupe ISAKMP en local (avec la clé du groupe), le routeur ne vas pas faire d’auth local, tant que je ne créérais pas une liste aaa auth login toto local, et que je ne l’affecterai pas au profile ISAKMP. Voilà si vous avez des questions…

ipsec_cnt2_rvpn

Le run conf (inclus dans le fichier .net):

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip cef
!
!
!
!
!
!
!
!
!
crypto isakmp policy 666
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNUSERS
 key cisco
 domain network.lan
 pool vpnpool
crypto isakmp profile RVPN
 match identity group VPNUSERS
 client configuration address respond
 virtual-template 1
!
!
crypto ipsec transform-set VPN esp-aes esp-sha-hmac
!
crypto ipsec profile VPNVTI
 set transform-set VPN
!
!
!
!
!
interface Loopback0
 no ip address
!
interface FastEthernet0/0
 ip address 192.0.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet0/0
 tunnel source FastEthernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VPNVTI
!
ip local pool vpnpool 192.168.0.1 192.168.0.254
!
!
ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

Voilà, même tarif, le premier qui trouve gagne… De la notoriété sur mon blog 😉 (c’est quand même 2000 Visites par mois 🙂 )

Recent Entries

One Response to “Contest #2 : IPSEC Troubleshooting – 2 : Remote VPN”

  1. ISCW Lab: MPLS,VRF, VPNs, BGP, PPPoE, PPPoA, IPSec Site To Site/Remote access,... | Blog sur les technologies réseau et sécurité Says:

    […] Première chose, ne pas oublier la liste AAA avec les profiles VPN (c’était l’objet du dernier contest). […]

Leave a Reply

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.