vpn IPcop 1.4.0a derriere des routeurs ft ...

[phig]

bonjour a tous. <BR> <BR>j'ai besoin de mettre en place un reseau vpn qui a la forme suivante : <BR> <BR> <BR>192.1.1.0/24--192.1.1.250--192.168.1.3--192.168.1.1--xxx.....yyy--192.168.1.1--192.168.1.2--192.1.4.1--192.1.4.0/24 <BR> <BR> <BR>192.1.1.250 -- green| ipsec 1.4.0a <BR>192.168.1.3 -- red | <BR> <BR>192.168.1.1 : routeurs ft <BR> <BR> <BR>192.168.1.2 -- red | <BR>192.1.4.1 -- green | netgear VP318 <BR> <BR>est-ce possible ? peut-on translater 4500 et 500 du routeur vers l'interface red ? <BR> <BR>il faux utiliser nextlefthop et nextrighthop, c'est ca ? <BR> <BR>pour info: le test sans les routeurs FT fonctionne ( cablage direct de ipcop a routeur ) <BR> <BR>excusez pour la classe d'adresse utilisée en green, mais bon, elle est en place depuis perpette ! <IMG SRC="images/smiles/icon_wink.gif">

[phig]

bon, ben comme on s'en doutait, ca ne marche pas, malgré les éfforts de france-telecom. <BR> <BR>on a natté les ports 50,1723,4500 vers le vfs et vers l'ipcop, mais ca ne fonctionne pas, alors que la maquette fonctionne sans les routeurs ft ( les deux reds reliés par un cable croisé.) <BR> <BR>le premier paquet ike arrive du vfs sur l'ipcop qui repond, mais j'ai une erreur icmp 3.... <BR> <BR>des idées ? <BR> <BR>pour info, les regles du sisco : <BR> <BR>

Code: Tout sélectionner

  <BR>ip nat inside source static udp 192.168.1.2 500 xx.xx.xx.xx 500 extendable <BR>ip nat inside source static gre 192.168.1.2  xx.xx.xx.xx  extendable <BR>ip nat inside source static ah 192.168.1.2  xx.xx.xx.xx  extendable <BR>ip nat inside source static esp 192.168.1.2  xx.xx.xx.xx  extendable <BR>ip nat inside source static udp 192.168.1.2 1701 xx.xx.xx.xx 1701 extendable <BR>ip nat inside source static udp 192.168.1.2 1723 xx.xx.xx.xx 1723 extendable <BR>ip nat inside source static tcp 192.168.1.2 1723 xx.xx.xx.xx 1723 extendable <BR>

<BR><BR><font size=-2></font>

[tomtom]

en plus des ports précités, il faut translater sur tes ipcops (ou routeurs) le protocole IP n° 50 (attention, ca n'est pas le port 50 !! ). <BR> <BR>Verifie avec les technicos FT que leurs roueturs sont capables de faire ça sans quoi tu es foutu. AUtre chose, tu as une translation d'adresse dans ton cas, je ne suis pas sur que ca passe, il faut que les routeurs NT fassent du nat traversal aussi.. pas gagné. <BR> <BR>Dernier point, tu devrais utiliser un adressage privé sur tes lans (192.168.xxx.yyy), c'est plus sur. <BR> <BR>Bon courage pour tes tests ! <BR> <BR>t.

[phig]

merci pour le conseil, mais bon, changer d'adressage, c'est pas gagné. le protocole 50, c lequel ? on a forwarde ah,gre et esp. <BR> <BR>pour le nat traversal, je sais pas comment faire <IMG SRC="images/smiles/icon_frown.gif"> je ne suis pas un pro du sisco ( meme pas certifié) <BR> <BR>si tu as une idée, je suis preneur !