le 18-04-2021 03:30 AM
Bonjour.
Après avoir retourner le problème dans tous les sens et sans trouver de solution, je me tourne vers vous aujourd'hui pour voir si quelqu'un a une solution.
Je possède deux routeur CISCO RV160. Le premier se trouve sur le site A (Argenteuil), le second sur le site B (Biarritz). Entre ces deux routeurs, j'ai configurer un VPN IPSec SiteToSite afin de faire communiquer les serveurs et autres périphériques comme si j'avais un réseau local.
Aujourd'hui, j'ai besoin d'ajouter des clients externes à ce réseau en passant par OpenVPN.
Le problème est le suivant, depuis le client OpenVPN, je peux communiquer avec la l'entièreté du routeur A, mais impossible de communiquer avec le routeur B. J'ai essayé de faire des routes depuis le routeur A vers le routeur B mais sans succès.
Voici ci-dessous le diagramme pour que ce soit plus clair pour vous.
Merci d'avance.
Résolu ! Accéder à la solution.
le 19-04-2021 10:33 AM
Bonjour,
(je suis désolé car je n'ai pas ce routeur sous la main, donc je suis pas trop sur pour les menus).
Sur le 12.0.1.0.
Selectionner: System / IP Address Group / Remote WAN IP
Il y a peut être le moyen d'utiliser "Remote group setup" et de déclarer 12.0.3.0/24 dans ce groupe :
Remote Identifier type: REMOTE WAN IP
remote ID: 12.0.0.0
Remote IP type subnet
Ip address 12.0.3.0
mask 255.255.255.0
De cette façon vous déclarez que le réseau distant peut être joint par 12.0.0.0.
le 23-04-2021 12:08 PM
Bonsoir.
Voici ce que j'ai fait ce soir et maintenant ça fonctionne parfaitement.
Donc vous aviez raison, en passant par le Site To Site existant, on peut lui dire données plusieurs plages d'adresses.
En utilisant les paramètres que vous avez mentionné pour le routeur ARGENTEUIL, malheureusement ça ne fonctionne pas parce qu'il ne sait plus où trouver le site BIARRITZ.
Mais j'ai quand même cherché sur cette piste là.
Sur le routeur du site A (Biarritz), j'ai modifié Local Group Setup dans la section VPN IPSEC Site To Site. J'ai créé un groupe d'IP (MONGROUPEIP) en ajoutant deux plages d'IP (12.0.0.0/24 et 12.0.3.0/24). Toujours dans la section Local Group Setup, j'ai modifier section Local IP Type de SUBNET en IP Group (MONGROUPIP)
Depuis le routeur du site B (Argenteuil), j'ai effectué la même procédure, sauf que c'est dans la section Remote Group Setup sur j'ai changé la section Remote IP Type de SUBNET en IP Group (MONGROUPIP)
Du coup maintenant, depuis mon client VPN je peux pinger 12.0.0.0, 12.0.1.0, 12.0.3.0 et bien sur naviguer sur internet.
Je passe ce sujet en résolu. Merci encore pour votre précieuse aide. Bonne soirée et bonne continuation.
PS: j'espère que mes explications sont assez claires, n'hésitez pas à me le dire si ce n'est pas le cas. Au pire je prendrai des impressions d'écrans pour plus de détails et ne pas s'y perdre.
le 18-04-2021 04:02 AM
Bonjour,
Petite réponse rapide à première vue.
Merci pour le schéma, n'oubliez pas de mettre le masque de sous-réseau (pour les 12.0.0.0 je suppose que vous avez utilisé /24 ?).
à priori cela va pour les couches 1 et 2 du modèle OSI.
Maintenant le routage (couche 3 du modèle OSI):
Si c'est un problème de routage:
- Vous pingez de 12.0.3.0 vers 12.0.0.0 OK ?
- Vous pingez de 12.0.0.0 vers 12.0.1.0 OK ?
- Mais vous ne pingez pas de 12.0.3.0 vers 12.0.1.0 ?
Vérifiez que le routeur en 12.0.1.0 a bien une route pour 12.0.3.0 /24. parce que la route par défaut est vers la BOX sfr, si le réseau n'est pas déclaré correctement la réponse va partir vers Internet (route par défaut).
Dites moi si vous avez encore le problème. Sinon vous pouvez donner les configurations des deux routeurs ?
Bon week-end
le 18-04-2021 04:13 AM
Bonjour,
Merci pour votre réponse.
Donc l'intégralité des masques du réseau sont /24 (255.255.255.0), que se soit sur la VLAN 12.0.0.0 , 12.0.1.0 , OpenVPN et même les WAN des routeurs sont en /24.
Donc vous avez très bien compris le problème.
PING de 12.0.0.0 vers 12.0.1.0 --> OK
PING de 12.0.1.0 vers 12.0.0.0 --> OK
PING de 12.0.3.0 vers 12.0.0.0 --> OK
PING de 12.0.3.0 vers 12.0.1.0 --> NON OK
Je vais de ce pas essayer de faire une route depuis le routeur 12.0.1.0 vers 12.0.3.0.
On est bien d'accord, pour ce faire je dois entrer les informations suivantes
NETWORK 12.0.3.0
MASQUE 255.255.255.0
NEXT HOP 12.0.0.1
Je vous partages les impressions d'écran au prochain message si la route ne fonctionne pas.
Merci encore.
le 18-04-2021 04:43 AM
Re bonjour.
Du coup j'ai essayé avec une route depuis le routeur 12.0.1.0 vers OpenVPN 12.0.3.0 mais sans succès.
Voici quelques captures d'écrans pour vous aider à y voir plus clair sur les configurations des routeurs.
J'ai également essayé avec "Split Tunnel" sur l'OpenVPN vers les IPs 12.0.0.0 et 12.0.1.0 mais sans succès.
le 18-04-2021 11:29 AM
Bonjour,
Le principe est simple il faut que mettiez la route vers 12.0.3.0/24 sur l'autre routeur. Donc ici OpenVpn arrive sur BIARRITZ, il faut mettre la route sur ARGENTEUIL.
Page "STATIC ROUTING"
Par contre dans votre route je vois "WAN". Or WAN est défini comme étant votre accès Internet j'imagine.
Peut être dans le menu déroulant "interface" vous pouvez trouver VPN ?
Ou qlq chose dans le genre ?
le 19-04-2021 07:51 AM
Bonjour,
du coup j'ai bien compris pour la route que je dois ajouter sur le routeur 12.0.1.0 (argenteuil), vers OpenVPN 12.0.3.0 qui est sur le routeur 12.0.0.0 (biarritz).
Seulement dans la route qu'on voit sur l'avant dernière image "STATIC ROUTING", je peux seulement choisir WAN (192.168.1.253 (vers la box SFR ARGENTEUIL)) ou VLAN1 (12.0.1.0 (ARGENTEUIL)).
Je vais essayer de voir si dans les paramètres je ne peux pas ajouter une interface de plus ...
le 19-04-2021 10:26 AM
Re bonjour.
Donc le seul moyen de créer une nouvelle interface sur la page "STATIC ROUTING" c'est avec un tunnel GRE. Mais je ne pense pas que ça soit la solution...
J'ai beau essayer en créant une route depuis le site ARGENTEUIL ou une route depuis le site BIARRITZ, impossible... Quand je fais un tracert 12.0.1.XXX, je vois le flux sortir directement sur internet...
Merci encore, bonne soirée.
le 19-04-2021 10:33 AM
Bonjour,
(je suis désolé car je n'ai pas ce routeur sous la main, donc je suis pas trop sur pour les menus).
Sur le 12.0.1.0.
Selectionner: System / IP Address Group / Remote WAN IP
Il y a peut être le moyen d'utiliser "Remote group setup" et de déclarer 12.0.3.0/24 dans ce groupe :
Remote Identifier type: REMOTE WAN IP
remote ID: 12.0.0.0
Remote IP type subnet
Ip address 12.0.3.0
mask 255.255.255.0
De cette façon vous déclarez que le réseau distant peut être joint par 12.0.0.0.
le 20-04-2021 09:40 AM
Bonsoir.
Malheureusement ce routeur possède des menus vraiment minimaliste. J'ai cherché partout mais je n'ai pas non plus trouvé le moyen de faire avec un "Remote Group Setup".
Par contre, j'ai essayé une autre "astuce", qui fonctionne à moitié. Je vous montre ci-dessous.
La sélection "OPENVPN" dans la ligne "Source Address" colonne "Original", je l'ai ajouter manuellement depuis le menu "System Configuration" -> "IP Address Group"
Je dis que ça fonctionne à moitié parce que maintenant, depuis le client OpenVPN je peux ping l'intégralité des machines présentes sur les réseaux 12.0.0.0 et 12.0.1.0, mais j'ai accès qu'en "mode intranet", plus aucun accès à l'extérieur (internet).
Donc même si ça fonctionne, ça ne doit pas être la bonne solution.
Ci-dessous, je vous partage le lien du manuel en français du routeur. C'est la version sans Wifi.
Peut-être que ça vous aidera à mieux voir les capacités des routeurs.
https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/RV160/Administration_Guide/b_RV160x_AG_Fr.pdf
Merci encore pour votre précieuse aide.
le 20-04-2021 10:38 AM
Bonjour,
Merci pour ces informations
En fait pour "Remote Group Setup" vous pouvez trouver ça en allant dans :
VPN /
IPSec VPN/
Site-to-Site /
Checker la box d'un 'Connection Name' puis cliquez sur le logo "Edit"
Vous arrivez sur "Add/Edit a New Connection"
dans "Basic setting" allez tout en bas, vous trouverez "Remote Group Setup"
Tenez moi au courant.
Bonne soirée.
le 23-04-2021 12:08 PM
Bonsoir.
Voici ce que j'ai fait ce soir et maintenant ça fonctionne parfaitement.
Donc vous aviez raison, en passant par le Site To Site existant, on peut lui dire données plusieurs plages d'adresses.
En utilisant les paramètres que vous avez mentionné pour le routeur ARGENTEUIL, malheureusement ça ne fonctionne pas parce qu'il ne sait plus où trouver le site BIARRITZ.
Mais j'ai quand même cherché sur cette piste là.
Sur le routeur du site A (Biarritz), j'ai modifié Local Group Setup dans la section VPN IPSEC Site To Site. J'ai créé un groupe d'IP (MONGROUPEIP) en ajoutant deux plages d'IP (12.0.0.0/24 et 12.0.3.0/24). Toujours dans la section Local Group Setup, j'ai modifier section Local IP Type de SUBNET en IP Group (MONGROUPIP)
Depuis le routeur du site B (Argenteuil), j'ai effectué la même procédure, sauf que c'est dans la section Remote Group Setup sur j'ai changé la section Remote IP Type de SUBNET en IP Group (MONGROUPIP)
Du coup maintenant, depuis mon client VPN je peux pinger 12.0.0.0, 12.0.1.0, 12.0.3.0 et bien sur naviguer sur internet.
Je passe ce sujet en résolu. Merci encore pour votre précieuse aide. Bonne soirée et bonne continuation.
PS: j'espère que mes explications sont assez claires, n'hésitez pas à me le dire si ce n'est pas le cas. Au pire je prendrai des impressions d'écrans pour plus de détails et ne pas s'y perdre.
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français