Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Nouveau sujet
570
Visites
1
Compliment
5
Réponses

Problème de cryptage AES DES pour un VPN

Accéder à la solution
Manu381
Level 1
Level 1

le ‎13-09-2023 03:21 AM

Bonjour,

j'ai un boitier CISCO ASA5516 en ASA 9.8 en cœur de réseau. J'ai 3 VPN existant entre ce boitier et des ASA5506 même version ASA.

Dans la configuration des VPN, l'encryptage utilisé est DES

Je dois faire un nouveau VPN entre le 5516 vers un nouveau 5506 mais qui a une version 9.16   . Cette version n'accepte plus l'encryptage DES, mais l'encryptage AES....

Ma question est: est ce que je peux ajouter l'encryptage AES sur le 5516 () sans risquer de perdre les 3 autres VPN  entre le 5516 et les 3 autres 5506 existants? 

Depuis l'ASDM quand je vais dans la config des IKE V1/V2 policies, j'ai le message : ''IKE policy is global. It is shared by all IPsec connection profile'' j'ai peur qu'en ajoutant l'AES cela me modifie la configuration actuelle et que je perde les 3 VPN existants en DES....

Merci

 

 

 

Étiquettes :
0 Compliments
1 SOLUTION APPROUVÉE

Solutions approuvées

Accéder à la solution
Manu381
Level 1
Level 1

le ‎14-09-2023 10:16 PM

je précise que je fais tout depuis l'ASDM, qui me semble avoir un comportement bizarre parfois...

Du coup pour le fichier de configuration a injecter en même temps que l'image ASA pour le donwgrade, j'avais peur que si je prenais celui du boitier que je devais downgrade il ne soit pas compatible avec une image ASA ultérieure, mais après comparaison avec un fichier de conf d'un ASA qui avait le firmware cible, les fichiers de conf sont les mêmes... donc downgrade sans pb avec le fichier de conf du boitier lui même, et j'ai retrouvé mes encryption obsolètes....

 

Voir la solution dans l'envoi d'origine

5 RÉPONSES 5

Accéder à la solution
Manu381
Level 1
Level 1

le ‎13-09-2023 10:26 PM

Bonjour, j'ai fait des tests et donc quand on modifie les IKE V1/V2 policies tous les vpn existants sont impactés.... je vais voir si je peux downgrader le cisco 5506 qui n'a pas la même version que les autres mais je ne sais pas encore comment faire

0 Compliments

Accéder à la solution
M02@rt37
VIP
VIP
En réponse à Manu381

‎13-09-2023 10:45 PM - modifié ‎13-09-2023 10:47 PM

Bonjour @Manu381,

Merci pour ce feedback.

Étonnant que ca fasse tomber les VPN existant. De ma compréhension le message explique que c'est IKE v1 ou v2 pour l'ensemble des VPN et non un florilège des deux. 

Que tes VPN existant utilisent le DES est une chose, mais étrange que tu ne puisses pas monter un quatrième VPN avec de l'AES.... ca serait une config 'phase 2' différente pour celui-ci seulement.

 

Best regards
.ı|ı.ı|ı. If This Helps, Please Rate .ı|ı.ı|ı.
0 Compliments

Accéder à la solution
Manu381
Level 1
Level 1

le ‎13-09-2023 11:14 PM

voici le test que j'ai réalisé :

sur le cisco 5516 en coeur de réseau, j'ai ajouté l'AES dans l'IKEV2. je suis allé dans la config des vpn existant est AES avait été ajouté à tous les IKE Policy de tous les VPN existants. 

Sur le nouveau cisco j'ai créé un deuxième vpn test, je n'ai gardé qu'un AES parmi les 3 qui étaient définis (aes-256,aes-192 et aes) dans la configuration IKE v2 policies et quand je suis allé contrôler dans les 2 vpn existant sur ce boitier je n'avais plus qu'un seul AES dans l'IKE Policy de chacun des vpn...

je vais me pencher sur le downgrade du coup, mais j'ai du mal à saisir... pour le downgrade il demande:

- une ASA image que j'ai récupérer sur un des cisco 5506 (qu'on va appeler C1) avec l'encryptage DES

- un fichier configuration : je vois pas ce que cela peut être???? si je mets le fichier du configuration du C1, je ne pourrais plus me connecter à distance sur mon boitier, comme la conf wan aura changé....

 

0 Compliments

Accéder à la solution
Manu381
Level 1
Level 1

le ‎14-09-2023 10:16 PM

je précise que je fais tout depuis l'ASDM, qui me semble avoir un comportement bizarre parfois...

Du coup pour le fichier de configuration a injecter en même temps que l'image ASA pour le donwgrade, j'avais peur que si je prenais celui du boitier que je devais downgrade il ne soit pas compatible avec une image ASA ultérieure, mais après comparaison avec un fichier de conf d'un ASA qui avait le firmware cible, les fichiers de conf sont les mêmes... donc downgrade sans pb avec le fichier de conf du boitier lui même, et j'ai retrouvé mes encryption obsolètes....

 

Accéder à la solution
M02@rt37
VIP
VIP
En réponse à Manu381

le ‎14-09-2023 10:20 PM

Parfait @Manu381.

Merci pour ce feedback.

Best regards
.ı|ı.ı|ı. If This Helps, Please Rate .ı|ı.ı|ı.
0 Compliments

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos R&S
Customers Also Viewed These Support Documents