[résolu] VPN d'IPCOP à IPCOP

[gunsnroses]

Bonjour a tous,
je cherche de l'aide pour mettre en place un vpn entredeux IPCOP;
J'ai d'abord essayer d'utiliser le systeme rpvs intégrer à ipcop, tout en suivant l'un des howto trouver sur ce forum. Tout ce passe bien mais mon etat de connexion reste fermé.

Je me suis donc intéressé à zerina (la dernière version) pour faire mon vpn réseau à réseau mais je reste confronté au même problème, mon état de connection reste fermé.

Que faut-il faire après avoir mis en place les certificats pour que les connections s'ouvrent.

Merci d'avance.

[Gandalf]

Salut, vu que ça fonctionne chez tout le monde, c'est que tu as du faire une bourde ! Mais soit un peu plus bavard : que disent tes logs ? Quel est le message d'erreur exact ?
Avec ça on va peut-être avancé un peu plus ...

[Nemric]

Salut,

Ce sera plus facile par l'onglet rpv (ipsec) que par openvpn, puisqu'il ne gere pas (encore) le net to net.

enfin, c'est ce que je deduit de cette phrase "Adds a new connection, currently only host2net roadwarrior connection are possible: ..."

A bientôt

Nemric

[erreipnaej]

Bonsoir,
Il y a la version Zerina-0.9.7a6 qui supportes le net 2 net.
http://www.zerina.de/wp-content/uploads/2006/05/ZERINA-0.9.7a6-Installer.tar.gz
@+

[gunsnroses]

Pour ce qui est de zerina, j'ai bien sur mis la version 0.9.7a6.
En ce qui concerne les journaux je ne l'ai trouve pas.

Où puis-je mettre la main sur ces journaux.

Merci d'avance

[testeur290306]

bonjour,

je suis d'accord avec les autres membres, tu as du faire une mauvaise manipulation.

tu as bien mis les certificats générer par un ipcop sur l'autre et réciproquement?

ensuite si tu l'as pas fait active le service ntp sur tes ipcops, ça peut aider.

tu fonctionne en ip fixe ou en dyndns?

sinon après tu te connecte sur les deux ipcops, et tu ouvre les connexions en même temps.

en réseau à réseau je n'ai pas utiliser zerina je pensais qu'il était utilisé pour le road warrior.

merci erreipnaej pour l'info

reprend le howto dans le newbie kit vpn depuis le début, ça devrait fonctionner

[gunsnroses]

J'ai viré zerina et je viens de reprendre pour la troisième fois le Howto pour les newbies (ca ma fais un peu mal au coeur mais quand on est obligé...).

Je suis en IP dynamique sur mes deux IPCOP 1.4.10 (avec squidguard de Franck)

Mon IPCOP 1 est sur le réseau 192.168.1.0/24 et à pour dns dynamique ccpaysflechois.dyndns.org
Mon IPCOP 2 est sur le réseau 192.168.100.0/24 et à pour dns dynamique cyberlafleche.dyndns.org

Sur les deux IPCOP tous les pluto débug sont coché sauf le raw.

Je ne comprend pas pourquoi mon etat de connexion reste FERME alors que j'ai suivi à la lettre la Howto !!!

Où puis-je trouver les log.

Merci d'avance.

[Franck78]

Salut,

Quand ca foire vraiment, il faut diviser tant que faire se peut en grosse partie. La première chose, c'est de repasser un mode PSK.

Ca permet d'être sur d'une grande partie du système quand cela fonctionne. Ensuite on passe en x509 et quand ca délire, il y a quand même moins de possibilité d'erreur.

Sinon c'est toujours pareil:

#ipsec auto --status
#ipsec auto -? .... est assez utile sur la console IPCOp!

[gunsnroses]

Excuse moi franck, mais j'ai pas tout compris ce que tu vien de me dire.

Désolé mais je suis plus newbie que le pensais.

Réponse de la console a ipsec auto --status
/usr/local/bin$ ipsec auto --status
000 interface ipsec0/ppp0 81.48.146.45
000 interface ipsec0/ppp0 81.48.146.45
000
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=64, keysizemin=168, keysizemax=168
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=64, keysizemin=96, keysizemax=448
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=128, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=128, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=128, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000
000 algorithm IKE encrypt: id=65289, name=OAKLEY_SSH_PRIVATE_65289, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=6, name=OAKLEY_CAST_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=2, name=OAKLEY_SHA, hashsize=20
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE dh group: id=1, name=OAKLEY_GROUP_MODP768, bits=768
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,8,36} trans={0,8,96} attrs={0,8,160}
000
000 "ccpaysflechois": 192.168.100.0/24===81.48.146.45[C=FX, O=cyberlafleche, CN=cyberlafleche.dyndns.org]---193.253.160.3...193.253.160.3---86.214.240.166[C=FX, O=ccpaysflechois, CN=ccpaysflechois CA]===192.168.1.0/24
000 "ccpaysflechois": CAs: 'C=FX, O=cyberlafleche, CN=cyberlafleche CA'...'C=FX, O=ccpaysflechois, CN=ccpaysflechois CA'
000 "ccpaysflechois": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "ccpaysflechois": policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ppp0; unrouted
000 "ccpaysflechois": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "ccpaysflechois": IKE algorithms wanted: 7_128-2-5, 7_128-2-2, 7_128-1-5, 7_128-1-2, 5_000-2-5, 5_000-2-2, 5_000-1-5, 5_000-1-2, flags=-strict
000 "ccpaysflechois": IKE algorithms found: 7_128-2_160-5, 7_128-2_160-2, 7_128-1_128-5, 7_128-1_128-2, 5_192-2_160-5, 5_192-2_160-2, 5_192-1_128-5, 5_192-1_128-2,
000 "ccpaysflechois": ESP algorithms wanted: 12_128-2, 12_128-1, 3_000-2, 3_000-1, flags=-strict
000 "ccpaysflechois": ESP algorithms loaded: 12_128-2_160, 12_128-1_128, 3_168-2_160, 3_168-1_128,
000
000 #8: "ccpaysflechois" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 31s
000

[Franck78]

STATE MAIN I1: tes machines ne trouvent même pas sur internet....!


000 "ccpaysflechois": 192.168.100.0/24===81.48.146.45[C=FX, O=cyberlafleche, CN=cyberlafleche.dyndns.org]---193.253.160.3...193.253.160.3---86.214.240.166[C=FX, O=ccpaysflechois, CN=ccpaysflechois CA]===192.168.1.0/24


Les '...' c'est internet, le milieu de la description d'un tube.

193.253.160.3...193.253.160.3

En partant de la tu trouves
Les routeurs utilisés pour aller sur internet (193.253.160.3)
Les deux cotés utilisent le même routeur. Louche mais pas impossible...

---86.214.240.166[auth type]
Décrit l'interface connectée à l'internet et comment identifier la machine.

===192.168.1.0/24
Décrit ce qui est mis en relation a cette extrémité. Un réseau, une station....


Pour l'instant, tu dois avoir une erreur basique de conf genre tu n'as pas mis le nom DNS correct dans
'Nom d'hôte ou IP locale du RPV:' ou config réseau foireuse (le routeur...)

[gunsnroses]

Les adresses en 193... sont celle de chez wanadoo.
Par contre j'ai trouveé cette ligne dans etat connexion
udp (17) 10 81.48.146.45:500 86.214.240.166:500 86.214.240.166:500 81.48.146.45:500 [UNREPLIED] 1

l'adresse en 81 est celle de l'ipcop2 et l'adresse en 86 est celle de lipcop1.

Je reverifie les info que j'ai taper.

Pour info ce sont mes ipcop qui font office de routeur

[Franck78]

Les deux ne s'entendent pas.... C'est clair.

[gunsnroses]

ce que je ne comprend pas c'est que depuis l'ipcop 2, j'arrive a pinger sur le ccpaysflechois.dyndns.org qui me renvois vers 86.214.240.166 qui est bien l'adresse IP publique indiquer par l'ipcop1.

Je suis en train de m'arracher les cheveux.

Voici la config d'ipsec sur l'ipcop2

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug="crypt parsing emitting control klips dns nat_t "
plutoload=%search
plutostart=%search
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.100.0/255.255.255.0,%v4:!192.168.1.0/255.255.255.0

conn %default
keyingtries=0
disablearrivalcheck=no

conn ccpaysflechois
right=cyberlafleche.dyndns.org
rightsubnet=192.168.100.0/255.255.255.0
rightnexthop=%defaultroute
rightcert=/var/ipcop/certs/hostcert.pem
left=ccpaysflechois.dyndns.org
leftsubnet=192.168.1.0/255.255.255.0
leftnexthop=%defaultroute
leftcert=/var/ipcop/certs/ccpaysflechoiscert.pem
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
ikelifetime=1h
keylife=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=yes
authby=rsasig
auto=start



Je regarderai (voir afficherai) la config ipsec de l'ipcop1 cet après midi (car je ne l'ai pas sous les yeux)

A l'aide

[gunsnroses]

Désolé de vous avoir dérangé car c'était une brouitille.
Le nom d'hote local était ccpaysflechois.dyndns.og au lieu de ccpaysflechois.dyndns.org.

Merci à tous.