Discussion :

[Purple Haze]

Bonjour,

j'ai un problème pour mettre en place un client VPN CISCO version 5 remote access avec un routeur CISCO ASA 5505, le réseaux est en 192.168.1.0

au niveau du routeur j'utilise "IPsec VPN Wizard" :

- mode REMOTE ACCESS VPN interface OUTSIDE

- client cisco

- je renseigne la clé partagé et le nom du groupe tunnel

- authentification par BDD d'utilisateur local

- je crée l'utilisateur

- je renseigne le pool IP client en 192.168.201.0

- je renseigne IP DNS, pas de WINS, pas de domaine

- IKE policy et IPsec encryption je laisse comme c'est

- NAT inside 192.168.1.0


au niveau du client vpn :

- entrée de connexion : nom du groupe tunnel

- hôte : IP publique du CISCO ASA

- authentification : nom du groupe tunnel + la clé partagée

j'enregistre, je fais connecter et j'ai un message "raison 412 le poste distant ne répond plus"

j'ai essayé plusieurs tuto et config mais rien ne marche et ça reste assez vague, que puis je faire ?

J'ai remarqué une carte cisco vpn adapter dans les connexion réseaux sur le client, par défaut elle est désactivé, et quand je l'active cela me récupère une adresse bizarre en 169.xxx.xxx.xxx, a quoi cela correspond ?

D'avance merci

[Purple Haze]

ne serai ce qu'au niveau du firewall, quelles devraient être les règles de filtrations ?
ne sont elles pas configurées par le wizard VPN ?

[Purple Haze]

C'est bon j'ai enfin mon lien VPN et le tunnel se monte bien, mais je suis encore aux portes du firewall :

-au niveau des access rules :

sur l'interface inside le réseaux local a destination du client vpn
sur l'interface outside le client vpn a destination d'un serveur applicatif sur le réseaux local


- au niveau NAT :

exempt inside réseaux local when connect to client VPN


Lorsque je fais un packet trace sur l'access rules outside, le paquet est droppé a la dernière étape et j'ai un message d'info " ipsec-spoof) IPSEC Spoof detected "

qu'est ce qu'il ne va pas dans ma configuration ?

D'avance merci

[Purple Haze]

j'ai trouvé ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
IPSEC Spoof detected:

This counter will increment when the security appliance receives a packet which should have been encrypted but was not. The packet matched the inner header security policy check of a configured and established IPSec connection on the security appliance but was received unencrypted. This is a security issue.

Recommendation: Analyze your network traffic to determine the source of the spoofed IPSec traffic.

et la réponse d'un internaute :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
port 2000 is used by skinny.if f/w sees some application running on tcp 2000 but it's not skinnt traffic,f/w will drop it.

Soln :

Disable inspect skinny

policy-map global_policy

class inspection_default

no inspect skinny

et dans le guite asdm cisco : "Use the TLS Proxy to enable inspection of SSL encrypted VoIP signaling, namely Skinny and SIP,
interacting with Cisco Call Manager."

mais quand je vais dans les paramètres tls proxy cela semble déjà désactivé :

[Purple Haze]

Est-ce un problème si le pool d'adresse pour les clients VPN est dans le même réseaux que le serveur que je veux joindre de l'autre coté du routeur ?

[Purple Haze]

J'ai refais toute la config avec un pool sur un autre réseaux et désactivé le split tunneling et maintenant je n'ai plus "IPSEC SPOOF". J'ai routé mon serveur d'application vers le VPN et le ping est concluant entre le client vpn et le serveur et j'ai bien accès aux ressources de l'un et de l'autre. Cependant quand j'essaye de lancer mon apllicatif depuis le poste client, la connexion ne se fait pas.
Au niveau du firewall les services ICMP et IP sont ouvert mais aucune connexion.
Est ce que quelqu'un aurait une idée du problème ?

Merci

[Purple Haze]

Le problème venait du DNS, il s'avère que mon client applicatif ne peut se connecter au serveur qu'avec son nom d'hôte et pas avec son adresse. Le DNS du client VPN ne pouvant pas résoudre ce nom d'hôte, je l'ai juste insèré dans le fichier host et ça marche !!!!