[Resolu] VPN impossible suite MAJ 1.4.15

[DWAM2]

Bonjour

j'utilise IPCop 1.4.11 depuis environ 1 an avec plusieurs VPN IPSec "Net2Net" et quelques VPN RoadWarriors (Zerina). Tout fonctionnait à merveille jusqu'à ce que le disque dur me lâche la semaine dernière...

Nouveau disque... Réinstall 1.4.11... et tentative d'importation du dernier backup de la config globale... Pas bon... Argh !

Bon reconfiguration de base à la mano et puis finalement je fais les majs... 1.4.12... .13... reboot... .14... .15... reboot... install des addons... ok... Test de backup et restore... ok...

Bon reconfig du premier VPN IPSec... Pas bon...
En face, c'est un ZyXel Prestige 662H avec lequel tout marchait parfaitement avec la 1.4.11. Des IPs fixes des 2 côtés...

Ca fait maintenant une semaine que je tourne en rond sans aucun résultat probant, malgré différentes tentatives/configs... Quoique je fasse j'obtiens toujours :
ipcop : encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
zyxel : Phase 1 ID mismatch


Voici mon ipsec.conf :
config setup
interfaces="%defaultroute "
klipsdebug="none"
plutodebug="none"
plutoload=%search
plutostart=%search
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.0.0/255.255.255.0,%v4:!192.168.2.0/255.255.255.0,%v4:!192.168.2.0/255.255.255.0,%v4:!192.168.2.0/255.255.255.0,%v4:!192.168.4.0/255.255.255.0

conn %default
keyingtries=0
disablearrivalcheck=no

conn StPierre #RED
left=213.41.242.aa
leftnexthop=%defaultroute
leftsubnet=192.168.0.0/255.255.255.0
right=213.41.242.bb
rightsubnet=192.168.2.0/255.255.255.0
rightnexthop=%defaultroute
leftid="@213.41.242.aa"
rightid="@213.41.242.bb"
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-sha-modp768,aes128-md5-modp1536,aes128-md5-modp1024,aes128-md5-modp768
esp=aes128-sha1
ikelifetime=1h
keylife=8h
compress=yes
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=no
authby=secret
auto=start

J'ai aussi essayé avec pfs=yes... pas mieux...

Pour info :
LAN1 > ipcop > modem bridgé > www < zyxel < LAN2

Bref, je comprends plus rien. Qu'est-ce qui a changé au niveau du vpn ipsec entre ipcop 1.4.11 et 1.4.15 ? Pourquoi les 2 machines n'arrivent plus à matcher sur les IDs ?

Merci pour vos suggestions...
Guillaume

[Franck78]

Salut,

Le '@' sur les ID n'est pas très clair. Obligatoire, pas obligatoire, ..., il y a eu surement quelques petits changements d'interprétation dans le GUI (fait par moi, il faut rechercher dans cvs).

En gros, essaie avec des mots, genre @ICI ou @Paris et pas de simples IP. Certains peers ajoutent seul le '@', donc prévoir quelques tatonnements. Mais ca fonctionne.


bye

[DWAM2]

Salut Franck et merci... Ca marche !!!!

Effectivement le problème venait des IDs. En mettant des adresses email, ca passe... L'utilisation des IPs était possible avec la version 1.4.11...

Je fignole/optimise ma config VPN pour le ZyXel Prestige (j'en ai 4) et je poste les infos sur le forum. Après je m'attaque au VPN vers un Netopia 3346-ENT avec ip dynamique, puis au VPN vers un NetGear DG834 avec ip dynamique aussi.

Encore merci pour le tuyau et bien à vous tous,
Guillaume