Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer. Pour router d’après la source, c’est policy-routing (ou segmentation en VRF).
David Ponzone Direction Technique email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr> tel: 01 74 03 18 97 gsm: 06 66 98 76 34 Service Client IPeva tel: 0811 46 26 26 www.ipeva.fr <blocked::http://www.ipeva.fr/> - www.ipeva-studio.com <blocked::http://www.ipeva-studio.com/> Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. > Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit : > > Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 et > le LAN n°2 passe sur le Dialer2. > > Donc je n'ai pas besoin de policy-routing non ? > De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>> > Envoyé : vendredi 1 juillet 2016 19:27:00 > À : Sébastien 65 > Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> > Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco > > Je vois pas de policy-routing pour router le paquet sur le bon dialer par > rapport à sa source. > Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. > > > > > Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr > > <mailto:sebastien...@live.fr>> a écrit : > > > > Bonsoir, > > > > J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers > > montent une session vers un autre routeur X (A.B.C.D). > > > > Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par > > dialer1) et 192.168.2.0/24 (utilisé par dialer2). > > > > Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP > > du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau > > (192.168.1.12). > > > > Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", > > je ne comprends pas quelle est cette ACL :( > > > > Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est > > bien joignable. > > > > crypto map MYMAP 1 ipsec-isakmp > > description RemoteSite0Link > > set peer A.B.C.D > > set transform-set vpnset > > set pfs group5 > > match address listeVPN > > > > ip access-list extended listeVPN > > permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > > permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > > > ip nat inside source list 101 interface Dialer1 overload > > ip nat inside source list 102 interface Dialer2 overload > > > > ip route 0.0.0.0 0.0.0.0 Dialer2 > > ip route 0.0.0.0 0.0.0.0 Dialer1 > > > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > > > C'est quoi le remède ? Merci :) > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
