VPN Certificats IPCOP 1.4b3 (j'ai cassé ma CA)

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

VPN Certificats IPCOP 1.4b3 (j'ai cassé ma CA)

Messagepar touffator » 25 Mai 2004 12:18

Bonjour a tous,

je vous expose mon probleme :

je tente désepérément de creer des vpn avec certificats entre mon ipcop et différents clients (ssh sentinel, FW Arkoon, ipcop 1.4b3...) et rien ne marche :(

pour vous faire l'historique de l'histoire, j'avait réussi a faire fonctionner un VPN avec certificats entre mon IPCOP et SSH Sentinel, un jour ca a planté et depuis plus rien ne fonctionne... actuellement je créer mes VPN en PSK ca marche mais pas en Certificat

exemple de log ipsec kan je lance mon vpn avec ssh :
le 81.248.x.x est mon ip pub, je passe en nat-T et ca a deja marché avec cette config :(
le 81.56.x.x c'est l'adresse ip pub de l'ipcop (ki lui est en ipfixe)

Code: Tout sélectionner
11:53:08 pluto[17468] packet from 81.248.x.x:500: SSH Sentinel 1.4.1 found, setting XAUTH_ACK quirk
11:53:08 pluto[17468] packet from 81.248.x.x:500: received Vendor ID payload [SSH Sentinel 1.4.1]
11:53:08 pluto[17468] packet from 81.248.x.x:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
11:53:08 pluto[17468] packet from 81.248.x.x:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
11:53:08 pluto[17468] packet from 81.248.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
11:53:08 pluto[17468] packet from 81.248.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
11:53:08 pluto[17468] packet from 81.248.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
11:53:08 pluto[17468] packet from 81.248.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
11:53:08 pluto[17468] packet from 81.248.x.x:500: ignoring Vendor ID payload [XAUTH]
11:53:08 pluto[17468] packet from 81.248.x.x:500: initial Main Mode message received on 81.56.x.x:500 but no connection has been authorized


la derniere ligne m'inkiette ... je ne sait pas si ca vien du fait ke je ne soit pas en ipfixe et ke j'ai laissé blanc l'adresse ip remote host/IP ou si c'est parceque j'ai mis un nom dns a la place de l'adresse ip dans local VPN Hostname/IP ou si c'est ke tout est cassé lol

pour ma config : j'ai activé les VPN sur le RED
dans la config de mon VPN client to net j'ai mis interface RED
local subnet : mon réseau local avec le mask
remote hoste : rien
enabled : OK

dans les protocoles de criptage (advanced) j'ai tout activé et je coché NAT Trasversal

voila a peut pres tout ce ke j'ai fait et ca marche toutjours pas :'(

merci de vos réponses (nombreuses jespert)

++
TouF
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00
Haut

Messagepar touffator » 25 Mai 2004 12:22

ouaip un petit truc encore mais c'est pareil ca me travail :p

Code: Tout sélectionner
root@ipcopfw:~ # ipsec verify
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path                             [OK]
Checking for KLIPS support in kernel                        [OK]
Checking for RSA private key (/etc/ipsec.secrets)           ipsec showhostkey: no default key in "/etc/ipsec.secrets"
[FAILED]
Checking that pluto is running                              [OK]
DNS checks.
Looking for forward key for ipcopfw.gdp.lan                 /usr/lib/ipsec/verify: line 37: host: command not found
/usr/lib/ipsec/verify: line 37: egrep: command not found
[NO KEY]
Does the machine have at least one non-private address      [OK]
/usr/lib/ipsec/verify: line 1: egrep: command not found
Two or more interfaces found, checking IP forwarding        [OK]
Checking NAT and MASQUERADING                               
tun0x1004@213.56.x.x:0                                  [FAILED]
REDNAT from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 10.10.0.0/16:0 -> 192.168.20.0/22:0
[FAILED]
POSTPORTFW from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 10.10.0.0/16:0 -> 192.168.20.0/22:0
tun0x1006@82.66.x.x:0                                   [FAILED]
REDNAT from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 10.10.0.0/16:0 -> 192.168.81.0/24:0
[FAILED]
POSTPORTFW from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 10.10.0.0/16:0 -> 192.168.81.0/24:0


voila encore des erreurs que j'ai kan je tape ipsec verify
si ca vous dit kelke chose

++
TouF
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00
Haut

Messagepar touffator » 25 Mai 2004 12:52

allez encore une petite info

il me dit :
Checking for RSA private key (/etc/ipsec.secrets) ipsec showhostkey: no default key in "/etc/ipsec.secrets"
[FAILED]

si je vais dans le fichier j'ai :
: RSA /var/ipcop/certs/hostkey.pem
moi.hd.free.Fr 213.56.X.X : PSK "mapsk1"
moi.hd.free.Fr 82.66.x.X : PSK "mapsk2"

et si je vais dans
/var/ipcop/certs/hostkey.pem
j'ai :
-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQDPltlPkEcWoo9LxC0XnqMmbRA9q0iXNWv1j1QnpMO0b2wVPrHj

............................

Mz/dkvNengZHR97upYGvsF9EQEVa7OwTvLjJJmDnUzQs
-----END RSA PRIVATE KEY-----

donc je supose ke la clé RSA est présente
Mais moi aussi je veux des Galons je veux etre "Maitre lieutenant chef capitaine" et donner des ordres
lOl
Avatar de l’utilisateur
touffator
Major
Major
 
Messages: 87
Inscrit le: 10 Juil 2003 00:00
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz