Salut,
Je rencontre un problème avec un VPN IPSEC que je n'arrive pas à comprendre.
Les tunnels sont bien UP => state QM_IDLE ainsi que status ACTIVE sur les deux
routeurs.
Je ne peux pas ping depuis chaque routeur les ip lan.
=> Routeur1 : IP WAN A.A.A.A / LAN 192.168.1.X/24
ip access-list extended VPN-Site2
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
=> Routeur2 : IP WAN B.B.B.B / LAN 192.168.2.X/24
ip access-list extended VPN-Site1
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Voici l'erreur que j'ai sur Routeur1 lorsque j'essaye un ping (192.168.1.1)
depuis le Routeur2 :
*Jun 29 08:04:37.275: ISAKMP:(2011):atts are acceptable.
*Jun 29 08:04:37.275: IPSEC(validate_proposal_request): proposal part #1
*Jun 29 08:04:37.275: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= A.A.A.A:0, remote= B.B.B.B:0,
local_proxy= 192.168.1.0/255.255.255.0/256/0,
remote_proxy= 192.168.2.0/255.255.255.0/256/0,
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Jun 29 08:04:37.275: IPSEC(ipsec_process_proposal): invalid local address
A.A.A.A
*Jun 29 08:04:37.275: ISAKMP:(2011): IPSec policy invalidated proposal with
error 8
*Jun 29 08:04:37.275: ISAKMP:(2011): phase 2 SA policy not acceptable! (local
A.A.A.A remote B.B.B.B)
*Jun 29 08:04:37.275: ISAKMP: set new node 1894913583 to QM_IDLE
*Jun 29 08:04:37.275: crypto_engine: Generate IKE hash
Sur le Routeur1 l'IP public est sur une loopback.
Sur l'erreur je vois invalid local address/policy not acceptable. Je ne sais
pas comment remédier au problème. J'ai testé plusieurs ACL mais sans succès...
Une idée pour résoudre ça ?
Merci d'avance.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
