ipsec dans rc.firewall

[nl]

J'aimerais un avis sur ma configuration du rc.firewall : <BR> <BR># Accepte Ipsec <BR> <BR>iptables -I INPUT -i ipsec0 -j ACCEPT <BR>iptables -I OUPUT -o ipsec0 -j ACCEPT <BR> <BR># IKE negotiations <BR>iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT <BR>iptables -I OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT <BR> <BR># ESP encryption and authentication <BR>iptables -I INPUT -p 50 -j ACCEPT <BR>iptables -I OUTPUT -p 50 -j ACCEPT <BR> <BR>Merci <BR>

[nl]

Apparemment, il manquerait encore : <BR> <BR>#IKE negotiations dans le cas de nat_traversal=yes (utilise le port 4500 UDP) <BR> <BR>iptables -I INPUT -p udp --sport 4500 --dport 4500 -j ACCEPT <BR>iptables -I OUTPUT -p udp --sport 4500 --dport 4500 -j ACCEPT <BR> <BR> <BR>(désolé, je parle un peu tout seule, mais ca peut servir à quelqu'un) <IMG SRC="images/smiles/icon_up.gif">

[Gesp]

Pourquoi tu fais cela? <BR> <BR>Qu'est-ce que cela apporte?

[nl]

C'est pour laisser passer les transactions ipsec

[Gesp]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> C'est pour laisser passer les transactions ipsec</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Je me doutes. Mais ne passent-elles pas d'origine avec ce qui est fait ici: <BR><!-- BBCode auto-link start --><a href="http://cvs.sourceforge.net/viewcvs.py/*checkout*/ipcop/ipcop/src/misc-progs/ipsecctrl.c?content-type=text%2Fplain&rev=1.5.2.1" target="_blank">http://cvs.sourceforge.net/viewcvs.py/*checkout*/ipcop/ipcop/src/misc-progs/ipsecctrl.c?content-type=text%2Fplain&rev=1.5.2.1</a><!-- BBCode auto-link end --> <IMG SRC="images/smiles/icon_biggrin.gif">

[nl]

C'est juste, tu as tout à fais raison. Il faut uniquement : <BR> <BR>#Ajout lignes pour configuration du VPN <BR> <BR>iptables -I INPUT -i ipsec0 -j ACCEPT <BR>iptables -I OUTPUT -o ipsec0 -j ACCEPT <BR> <BR>#Accepte le routage ipsec <BR> <BR>iptables -I FORWARD -i ipsec0 -j ACCEPT <BR> <BR>C'est bien juste ? <BR> <BR>

[Gesp]

Je ne pense pas non plus. <BR> <BR>A priori, tout ce qui est nécessaire est fait dans rc.updatered <BR>- quand la connexion est active : /usr/local/bin/ipsecctrl S <BR>- quand la connexion est arrêtée : /usr/local/bin/ipsecctrl D <BR> <BR>C'est pour cela que je posais la question pour savoir si c'était un besoin particulier ou un bug. <BR>Quelle version utilises-tu. <BR>

[nl]

J'utilise 2 ipcop 1.3 fix8. <BR> <BR>Mon problème est le suivant : <BR> <BR>Le tunnel vpn se fait correctement car j'ai le message IPsec SA established (dans /var/log/secure). <BR> <BR>Mais je ne peux pas pinguer de lan1 vers lan2. <BR> <BR>J'ai essayer de parametrer ipsec.conf avec des sous-réseaux en /8 et /16, mais le tunnel vpn ne se fait plus. <BR> <BR>Lorsque je pingue une machine du lan2 avec une machine du lan1, j'ai bien un transit en ipsec0 sur ipcop lan1, mais je n'ai pas de réponse. (tcpdump -i ipsec0) <BR> <BR>Donc je pense que mes paquets ipsec sont bloqués au niveau du firewall. <BR>(ipsec passe-t-il par la table FORWARD ?) <BR> <BR>Voilà ma situation, je déprime <IMG SRC="images/smiles/icon_bawling.gif"> . <BR> <BR>Merci à tous pour votre aide . <BR> <BR> <BR> <BR>############### <BR>Voici ma config : <BR>############### <BR> <BR>Lan1 : 10.0.0.0/24 <BR>Lan2 : 10.0.1.0/24 <BR> <BR>############### <BR>netstat -r sur ipcop lan1 : <BR>############### <BR>Destination Gateway Genmask Flags MSS Window irtt Iface <BR>192.168.1.0 * 255.255.255.248 U 0 0 0 eth1 <BR>192.168.1.0 * 255.255.255.248 U 0 0 0 ipsec0 <BR>10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 <BR>10.0.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ipsec0 <BR>default 192.168.1.1 0.0.0.0 UG 0 0 0 eth1 <BR> <BR>############### <BR>netstat -r sur ipcop lan2 : <BR>############### <BR>Destination Gateway Genmask Flags MSS Window irtt Iface <BR>10.0.0.0 192.168.2.1 255.255.255.0 UG 0 0 0 ipsec0 <BR>10.0.1.0 * 255.255.255.0 U 0 0 0 eth0 <BR>192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 <BR>192.168.2.0 * 255.255.255.0 U 0 0 0 ipsec0 <BR>default 192.168.2.1 0.0.0.0 UG 0 0 0 eth1 <BR> <BR>############### <BR>ipsec.conf ipcop lan1 : <BR>############### <BR>conn MGI <BR> left=192.168.1.2 <BR> compress=no <BR> leftsubnet=10.0.0.0/24 <BR> leftnexthop=192.168.1.1 <BR> right=lan2.dyndns.org <BR> rightsubnet=10.0.1.0/24 <BR> rightnexthop=192.168.2.2 <BR> auto=start <BR> authby=rsasig <BR> leftid=@cust.bluewin.ch <BR> rightid=@cust.bluewin.ch <BR> leftrsasigkey=... <BR> rightrsasigkey=... <BR> <BR> <BR>############### <BR>ipsec.conf ipcop lan2 : <BR>############### <BR>conn MGI <BR> left=192.168.2.2 <BR> compress=no <BR> leftsubnet=10.0.1.0/24 <BR> leftnexthop=192.168.2.1 <BR> right=lan1.dyndns.org <BR> rightsubnet=10.0.0.0/24 <BR> rightnexthop=192.168.1.2 <BR> auto=start <BR> authby=rsasig <BR> leftid=@cust.bluewin.ch <BR> rightid=@cust.bluewin.ch <BR> rightrsasigkey=... <BR> leftrsasigkey=... <BR> <BR> <BR>############### <BR>Architecture réseau vpn : <BR>############### <BR> <BR>/ Lan 1 / / Ipcop 1.3 fix 8 / / Modem ADSL Zyxel Prestige 642ME / <BR> <BR>10.0.0.0/24 --> 10.0.0.100 / 192.168.1.2 --> 192.168.1.1 / ip_dynamique ( <!-- BBcode auto-mailto start --><a href="mailto:lan1@dyndns.org)">lan1@dyndns.org)</a><!-- BBCode auto-mailto end --> --> INTERNET <BR> <BR>/ Lan 2 / / Ipcop 1.3 fix 8 / / modem ADSL RNIS Cayman 3351 - Netopia / <BR> <BR>10.0.1.0/24 --> 10.0.1.100 / 192.168.2.2 --> 192.168.2.1 / ip_dynamique ( <!-- BBcode auto-mailto start --><a href="mailto:lan2@dyndns.org)">lan2@dyndns.org)</a><!-- BBCode auto-mailto end --> --> INTERNET <BR> <BR>

[nl]

J'ai décelé une erreur dans mon rc.firewall : <BR> <BR>iptables -I INPUT -i ipsec0 -j ACCEPT <BR>iptables -I OUTPUT -o ipsec0 -j ACCEPT <BR> <BR>va <BR> <BR>/sbin/iptables -I INPUT -i ipsec0 -j ACCEPT <BR>/sbin/iptables -I OUTPUT -o ipsec0 -j ACCEPT <BR> <BR>Mais rien n'y change. <IMG SRC="images/smiles/icon_bawling.gif">

[nl]

Ajout de :

echo 0 > /proc/sys/net/ipv4/conf/ipsec0/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_forward

dans rc.firewall .