Vpn il faut modifier rc.firewall ??

par **bruno_leite** » 29 Déc 2003 18:07

Bonjour, Je m'arrache les cheveux avec ipcop 1.4.0a5 et l'install d'un vpn. J'ai lu pas mal des doc sur le net et j'ai remarqué que certain preconisent de modifier le fichier rc.firewall ??? avec ces lignes : iptables -I INPUT -i ipsec0 -j ACCEPT iptables -I OUPUT -o ipsec0 -j ACCEPT Vu que j'ai deux ipcop 1.4.0a5 (un de chaque coté) faut il que je modifie aussi le fichier rc.firewall ??? et si oui à quel endroit du fichier ??? car il y a un paquet de ligne et je ne voudrais pas me tromper Merci à tous Bruno

par **poudre** » 29 Déc 2003 18:27

Pour faire plus simple tu peux directement les ajouter dans rc.local il est executé après rc.firewall et comme dans le rc.firewall il n'y a pas de règle en fin de fichier pour dropper tout ce qui n'a pas été traité mais uniquement les polices par defaut cela devrait marcher. Pascal.

par **bruno_leite** » 29 Déc 2003 18:44

Tu penses à rc.local ou rc.firewall.local ??? Et il faut juste rajouter les lignes sans supplements ??? pas de start ou de stop ?? ni de ; ou autre ??? Merci Bruno

par **belugha** » 29 Déc 2003 19:46

Tu les mets juste à la fin du fichier rc.firewall le -I veut dire que tu insère des régles. Tu les mets tel qu'ils t'ont été décrites plus haut. Un petit tour sur le site d'Antolien, te fera le plus grand bien <IMG SRC="images/smiles/icon_wink.gif"> <a href="http://antolien.nerim.net/" target="_blank">http://antolien.nerim.net/</a>

par **bruno_leite** » 29 Déc 2003 21:39

j'ai donc ajouté dans le fichier rc.firewall à la fin du fichier après le "exit 0" les lignes suivantes : /sbin/iptables -I INPUT -i ipsec0 -j ACCEPT /sbin/iptables -I OUTPUT -o ipsec0 -j ACCEPT il faut que je fasse pareil sur le site distant et que je redémarre les deux ipcop en même temps (enfin je suppose). Y a t'il autre chose que je doive faire pour faire fonctionner un vpn entre deux site (j'ai bien sur créé sur les deux serveur une connection vpn avec l'ip/host et les subnet distant, au fait il me met dans local VPN hostname/ip lns-81-87-29-15.proxad.net est ce normal ou dois je le remplacer juste par l'ip du routeur 81.87.29.15 ?) souhaitons qu'avec tout ça le vpn fonctionne, et que je n'ai oublié aucun fichier important à modifier Bye Bruno

par **bruno_leite** » 30 Déc 2003 10:43

Voici la fin de mon fichier rc.firewall (ipcop 1.4.0a5), pourriez vous me dire si j'ai fait une erreur sur les lignes ou sur l'emplacement des lignes car mon vpn n'a pas l'air de vouloir fonctionnner correctement. j'ai rajouté 4 lignes après iptable_red : _________________________________________________________________ # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local fi ;; reload) iptables_red /sbin/iptables -I INPUT -i ppp0 -p udp --source-port 500 -j ACCEPT /sbin/iptables -A INPUT -p 50 -i ppp0 -j ACCEPT /sbin/iptables -I INPUT -i ipsec0 -j ACCEPT /sbin/iptables -I OUTPUT -o ipsec0 -j ACCEPT ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0 ________________________________________________________________ malgré ça mon vpn reste fermé avec ipcop 1.4.0a5 et lorsque je clique sur redemarrer dans la console web, la ligne du vpn disparait. J'ai vraiment l'impression de tourner en rond dans une cage carrée Merci

par **belugha** » 30 Déc 2003 10:48

Merci bruno_leite d'avoir continuer ton post ici cela permettra de suivre ton sujet plus facilement et la duplication de post alourdi la base d'Ixus <IMG SRC="images/smiles/icon_wink.gif">

par **bruno_leite** » 30 Déc 2003 13:25

Voici l'erreur qu'il me met dans mon var/log/messages avec la commande tail -f /var/log/messages Dec 30 12:17:50 ARES pluto[459]: "head" #233: responding to Main Mode Dec 30 12:17:50 ARES pluto[459]: "head" #233: Can't authenticate: no preshared key found for `194.149.187.172' and `81.56.206.66'. Attribute OAKLEY_AUTHENTICATION_METHOD Dec 30 12:17:50 ARES last message repeated 5 times Dec 30 12:17:50 ARES pluto[459]: "head" #233: no acceptable Oakley Transform Dec 30 12:17:50 ARES pluto[459]: "head" #233: sending notification NO_PROPOSAL_CHOSEN to 81.56.206.66:500 D'ou pourrais provenir l'erreur je ne comprend pas son histoire de clé ??? Merci Bruno

par **belugha** » 30 Déc 2003 14:23

Bon reprenons tout depuis le début car là j'ai du mal à suivre <IMG SRC="images/smiles/icon_confused.gif"> Tu veux établir un VPN entre quoi et quoi ? Quels sont tes fichiers de config ? Comment lance tu tes VPN ? Peux-tu ns donner ton adressage réseau ? Merci <IMG SRC="images/smiles/icon_smile.gif">

par **bruno_leite** » 30 Déc 2003 15:33

ok on est parti : ------------------------------------------------------------------------------ le ipsec.conf du site a (appeler head) config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.10.0/255.255.255.0,%v4:!192.168.4.0/255.255.255.0 conn %default keyingtries=0 disablearrivalcheck=no conn head left=194.149.187.172 leftnexthop=%defaultroute leftsubnet=192.168.10.0/255.255.255.0 right=81.56.206.66 rightsubnet=192.168.4.0/255.255.255.0 rightnexthop=%defaultroute dpddelay=30 dpdtimeout=120 dpdaction=hold authby=secret auto=start ----------------------------------------------------------------------- le ipsec.conf du site b (appeler site) config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.10.0/255.255.255.0,%v4:!192.168.4.0/255.255.255.0 conn %default keyingtries=0 disablearrivalcheck=no conn site right=81.56.206.66 rightsubnet=192.168.4.0/255.255.255.0 rightnexthop=%defaultroute left=194.149.187.172 leftnexthop=%defaultroute leftsubnet=192.168.10.0/255.255.255.0 dpddelay=30 dpdtimeout=120 dpdaction=hold authby=secret auto=start ------------------------------------------------------------------- Le fichier ipsec.secrets es imbittable, et la fin du fichier rc.firewall est dans l'un des précédents messages, et est le même sur les deux machines. si il faut plus d'info je suis présent toute l'am Merci

par **belugha** » 30 Déc 2003 15:45

Est-tu obligé de faire du NAT, car Ipsec et NAT ne sont pas compatible <IMG SRC="images/smiles/icon_wink.gif"> En effet, le NAT modifie les paquets IP et cela a pour conséquence directe de casser tout contôle d'intégrité au niveau IP. Si tu n'a pas d'autre routeur qu'Ipcop, je te conseillerai de virer le NAT.

par **bruno_leite** » 30 Déc 2003 16:16

Euh pourquoi tu me parles du nat tu penses qu'il est actif sur le pc avec ipcop 1.4 ??? si oui alors je veux bien le désactiver Mais je ne savais pas qu'il faisait du nat Au fait c'est où ??? ce ne serait pas le nat traversal = yes qu'il faudrait mettre à no??? par hasard ??? Et faut il le desactiver ailleurs ??? Bruno _________________ Bruno Rien de sert de courir, non ça ne sert à rien

par **belugha** » 30 Déc 2003 16:19

Dans tes fichiers tu as: nat_traversal=yes J'ai posté la config d'un VPN entre un Ipcop 1.4 et 1.3 sur le forum ici: <a href="http://forums.ixus.net/viewtopic.php?t=8194" target="_blank">http://forums.ixus.net/viewtopic.php?t=8194</a> Bon courage

par **bruno_leite** » 30 Déc 2003 17:45

ce qui est bizarre, c'est qu'a chaque fois il me remet le transversal_nat=yes que je mette no ou que je supprime la ligne, il me l'a remet avec transversal_nat=yes a devenir fou et pour le fichier rc.firewall, est ce que l'emplacement des lignes sont bonnes ou non et surtout dois je mettre toutes les lignes ou seulement les deux dernières (ipsec 0 -j accept) ________________________________________________________________ iptables_red /sbin/iptables -I INPUT -i ppp0 -p udp --source-port 500 -j ACCEPT /sbin/iptables -A INPUT -p 50 -i ppp0 -j ACCEPT /sbin/iptables -I INPUT -i ipsec0 -j ACCEPT /sbin/iptables -I OUTPUT -o ipsec0 -j ACCEPT ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0 __________________________________________________________ c'est dingue cette histoire de vpn ça a l'air de marcher partout sauf chez moi Bruno

par **bruno_leite** » 30 Déc 2003 23:16

ca vous dit quelque chose ça ??? c'est dans /var/log/messages Attribute OAKLEY_AUTHENTICATION_METHOD Dec 30 22:07:26 Fw1 last message repeated 5 times Dec 30 22:07:26 Fw1 pluto[2162]: "site" #3: no acceptable Oakley Transform Dec 30 22:07:26 Fw1 pluto[2162]: "site" #3: sending notification NO_PROPOSAL_CHOSEN to 194.149.187.172:500 Dec 30 22:07:29 Fw1 pluto[2162]: packet from 194.149.187.172:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN Dec 30 22:07:29 Fw1 pluto[2162]: packet from 194.149.187.172:500: received and ignored informational message Dec 30 22:07:31 Fw1 kernel: martian source 81.56.206.66 from 127.0.0.1, on dev ppp0 Je pense que le problème vient de la mais qu'est ce que cela veut bien dire ??? Bruno

Vpn il faut modifier rc.firewall ??

Qui est en ligne ?