Je vois pas pourquoi mais y a un truc qui me turlupine: si tu as des tunnels entre ce routeur et l'autre, pourquoi tu fais du NAT sur les Dialer ? Tu peux pas passer en mode routé sans NAT ?
David Ponzone > Le 1 juil. 2016 à 20:03, Sébastien 65 <sebastien...@live.fr> a écrit : > > D'accord, je viens d'essayer une policy-routing mais maintenant je ne ping > même plus l'ip lan du routeur depuis le VPN > > > interface FastEthernet0/0 > ip address 192.168.1.1 255.255.255.0 > ip policy route-map LAN_101_POLICY > ! > interface FastEthernet0/1 > ip address 192.168.2.1 255.255.255.0 > ip policy route-map LAN_102_POLICY > ! > ip nat inside source route-map ISP1_NAT interface Dialer1 overload > ip nat inside source route-map ISP2_NAT interface Dialer2 overload > > > route-map LAN_101_POLICY permit 10 > match ip address 101 > set interface Dialer1 > ! > route-map LAN_102_POLICY permit 10 > match ip address 102 > set interface Dialer2 > ! > route-map ISP1_NAT permit 10 > match ip address NAT_ACL > match interface Dialer1 > ! > route-map ISP2_NAT permit 10 > match ip address NAT_ACL > match interface Dialer2 > ! > > ip access-list standard NAT_ACL > permit any > > access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 > access-list 102 permit ip 192.168.2.0 0.0.0.255 any > > > ________________________________ > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de David > Ponzone <david.ponz...@gmail.com> > Envoyé : vendredi 1 juillet 2016 19:51:22 > À : Sébastien 65 > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco > > Avec ta conf, t’as du LB par paquet (par défaut je crois) entre les 2 Dialer. > Pour router d’après la source, c’est policy-routing (ou segmentation en VRF). > > David Ponzone Direction Technique > email: david.ponz...@ipeva.fr <mailto:david.ponz...@ipeva.fr> > tel: 01 74 03 18 97 > gsm: 06 66 98 76 34 > > Service Client IPeva > tel: 0811 46 26 26 > www.ipeva.fr<http://www.ipeva.fr> <blocked::http://www.ipeva.fr/> - > www.ipeva-studio.com<http://www.ipeva-studio.com> > <blocked::http://www.ipeva-studio.com/> > > Ce message et toutes les pièces jointes sont confidentiels et établis à > l'intention exclusive de ses destinataires. Toute utilisation ou diffusion > non autorisée est interdite. Tout message électronique est susceptible > d'altération. IPeva décline toute responsabilité au titre de ce message s'il > a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce > message, merci de le détruire immédiatement et d'avertir l'expéditeur. > > > > >> Le 1 juil. 2016 à 19:29, Sébastien 65 <sebastien...@live.fr> a écrit : >> >> Je n'ai pas de load-balancing. Je veux que le LAN n°1 passe sur le Dialer1 >> et le LAN n°2 passe sur le Dialer2. >> >> Donc je n'ai pas besoin de policy-routing non ? >> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>> >> Envoyé : vendredi 1 juillet 2016 19:27:00 >> À : Sébastien 65 >> Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> >> Objet : Re: [FRnOG] [TECH] ACL deny IPSEC Cisco >> >> Je vois pas de policy-routing pour router le paquet sur le bon dialer par >> rapport à sa source. >> Je sais pas trop comment le Cisco gère le load-balancing entre les 2 Dialer. >> >> >> >>> Le 1 juil. 2016 à 19:23, Sébastien 65 <sebastien...@live.fr >>> <mailto:sebastien...@live.fr>> a écrit : >>> >>> Bonsoir, >>> >>> J'ai un routeur Cisco double ADSL avec deux dialers. Chaques dialers >>> montent une session vers un autre routeur X (A.B.C.D). >>> >>> Le routeur Cisco ADSL a deux réseaux interne : 192.168.1.0/24 (utilisé par >>> dialer1) et 192.168.2.0/24 (utilisé par dialer2). >>> >>> Depuis le routeur X (192.168.0.1/24) via le VPN j'arrive bien à ping l'IP >>> du routeur (192.168.1.1) mais pas celle d'un PC sur le réseau >>> (192.168.1.12). >>> >>> Sur le débug je vois "IPSEC(sa_initiate): ACL = deny; sa request ignored", >>> je ne comprends pas quelle est cette ACL :( >>> >>> Je précise que depuis le routeur 192.168.1.1 l'adresse 192.168.1.12 est >>> bien joignable. >>> >>> crypto map MYMAP 1 ipsec-isakmp >>> description RemoteSite0Link >>> set peer A.B.C.D >>> set transform-set vpnset >>> set pfs group5 >>> match address listeVPN >>> >>> ip access-list extended listeVPN >>> permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 >>> permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 >>> >>> ip nat inside source list 101 interface Dialer1 overload >>> ip nat inside source list 102 interface Dialer2 overload >>> >>> ip route 0.0.0.0 0.0.0.0 Dialer2 >>> ip route 0.0.0.0 0.0.0.0 Dialer1 >>> >>> access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 >>> access-list 101 permit ip 192.168.1.0 0.0.0.255 any >>> access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 >>> access-list 102 permit ip 192.168.2.0 0.0.0.255 any >>> >>> C'est quoi le remède ? Merci :) >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ <http://www.frnog.org/> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
